แฮ็กกาธอนพาสคีย์ในโตเกียว: พาสคีย์ในอุปกรณ์ IoT และอื่นๆ

Milica Mihajlija

ในเดือนมิถุนายน 2024 Google ได้ร่วมมือกับ FIDO Alliance เป็นเจ้าภาพจัดแฮ็กกาธอนพาสคีย์ในโตเกียว เป้าหมายคือการให้ผู้เข้าร่วมได้สัมผัสกับ การพัฒนาพาสคีย์และ การสร้างพาสคีย์ต้นแบบสำหรับผลิตภัณฑ์ในชีวิตจริงโดยใช้ Google และ FIDO Alliance และมีเจ้าหน้าที่คอยให้คำแนะนำ

Hackathon พบ 9 ทีมที่ดำดิ่งสู่พาสคีย์และกรรมการได้เลือกมา 4 ทีม และเป็นโครงการที่สร้างสรรค์และมีประสิทธิภาพ

ผู้ชนะเลิศ: ทีม Keio University SFC-RG pkLock (มหาวิทยาลัย Keio)

ทีม PKLock

ทีม SFC-RG pkLock ของมหาวิทยาลัย Keio เป็นทีมเดียวในการแข่งขันครั้งนี้ รับมือกับความท้าทายในการรวมอุปกรณ์ IoT เข้ากับพาสคีย์ นำเครื่องพิมพ์ 3 มิติมา

pkLock (อ่านว่า "pic-lock") มีจุดประสงค์เพื่อแก้ปัญหาที่พบบ่อยเกี่ยวกับ การส่งมอบกุญแจที่ยุ่งยากสำหรับ Airbnb และที่พักส่วนตัวอื่นๆ โดยใช้พาสคีย์ การตรวจสอบสิทธิ์ข้ามอุปกรณ์

อุปกรณ์ที่สร้างขึ้นประกอบด้วยอุปกรณ์แสดงคิวอาร์โค้ดที่ติดตั้งอยู่ใน ด้านนอกประตูและอุปกรณ์ปลดล็อกที่ติดตั้งด้านใน นอกจากนี้ จะมีเว็บแอปพลิเคชันที่ ผู้ใช้ใช้จองและ การปลดล็อก ผู้เข้าร่วมสามารถปลดล็อกประตูได้โดยยกมือไว้ใต้คิวอาร์โค้ด อุปกรณ์แสดงรหัสหน้าประตู กำลังอ่านคิวอาร์โค้ดที่แสดงด้วย โทรศัพท์มือถือของตน และดำเนินการตรวจสอบสิทธิ์ด้วยพาสคีย์ (ข้ามอุปกรณ์ การตรวจสอบสิทธิ์)

พวกเขายังให้ความสนใจเป็นพิเศษกับการออกแบบอุปกรณ์ที่ซับซ้อนซึ่งโฮสต์ ต้องการติดตั้งที่พักของตน แนวทางที่ครอบคลุมของพวกเขา ซึ่งยังพิจารณาถึงการใช้อุปกรณ์เหล่านี้ อย่างแพร่หลายด้วย โดนใจกรรมการอย่างมาก

ประตูขนาดเล็กที่มี PKLock

ในระหว่างการนำเสนอ ผู้ชมตื่นเต้นมากด้วยการ จริงๆ แล้วปลดล็อกประตูจิ๋วที่สร้างขึ้นระหว่างงานแฮ็กกาธอน สำหรับกรณีนี้ อุปกรณ์แสดงคิวอาร์โค้ดที่มี URL แบบครั้งเดียว โทเค็นที่นำผู้ใช้ไปยังหน้าการตรวจสอบสิทธิ์ ในอนาคตพวกเขาวางแผนที่จะ ใช้การส่งแบบผสมในอุปกรณ์เพื่อเปิดใช้การปลดล็อกด้วยโดยตรง ชนะ แฮ็กกาธอน สำหรับความพยายามริเริ่มของพวกเขาในการสำรวจความเป็นไปได้ โดยใช้พาสคีย์ในอุปกรณ์ IoT

FIDO Award 1: SKKN (มหาวิทยาลัยวาเซดะ)

ทีม SKKN

SKKN เป็นกลุ่มวิจัยจาก Waseda University ที่มีความเชี่ยวชาญในด้านความเป็นส่วนตัว การศึกษา ทีมงานได้นำเสนอกรณีการใช้งานพาสคีย์ที่ล้ำสมัยอย่างมาก โดยผสมผสาน ด้วยเทคโนโลยีใหม่ๆ ซึ่งก็คือข้อมูลเข้าสู่ระบบที่ยืนยันได้ (VC) และการพิสูจน์ความไม่มีความรู้ ข้อมูลเข้าสู่ระบบที่ยืนยันได้และการพิสูจน์ความไม่มีความรู้เป็นที่สนใจของ อัตลักษณ์ที่มีอำนาจในตัวเอง และข้อมูลประจำตัวแบบกระจายศูนย์ (SSI/DID) ได้รับความสนใจอย่างมากจากทั้งกรรมการแฮ็กกาธอน ผู้เข้าร่วมคนอื่นๆ

ข้อมูลเข้าสู่ระบบที่ยืนยันได้ (VC) คือใบรับรองดิจิทัลที่พิสูจน์ผู้ใช้ เช่น ชื่อ แอฟฟิลิเอต และที่อยู่ หากผู้ถือ (กระเป๋าสตางค์) ที่ จัดเก็บและจัดการ VC มีช่องโหว่ ธุรกิจเงินร่วมลงทุนอาจถูกขโมยโดยผู้อื่น และผู้อื่น สามารถแอบอ้างเป็นผู้ใช้ได้โดยการนำเสนอ VC นอกจากการเปิดใช้เฉพาะ ที่มีการรับรอง FIDO ในการนำเสนอ VC ได้มีการพัฒนาวิธีการ ซึ่งอนุญาตให้เฉพาะบริการกระเป๋าเงินที่เชื่อถือได้จัดการ VC

การนำระบบนี้ไปใช้มีข้อดีหลายอย่างดังนี้

  • การลิงก์และการออก VC และข้อมูลรับรอง FIDO จะมีเพียงเจ้าของ FIDO ใช้ VC
  • ใช้ได้เฉพาะกระเป๋าสตางค์ที่ผู้ออกบัตรและ Verifier เชื่อถือเท่านั้น
  • การใช้พาสคีย์ทำให้สามารถสำรองข้อมูลและกู้คืน VC และกระเป๋าเงิน รวมถึง ผู้ใช้สามารถกู้คืนแม้ว่าจะทำอุปกรณ์หายก็ตาม

FIDO Award 2: TOKYU ID (โตเกียว)

ทีมรหัส TOKYU

ทีม URBAN HACKS หรือที่รู้จักกันในชื่อ TOKYU ID ทีมจาก Tokyu Corporation ได้รับรางวัล FIDO Award จากการนำพาสคีย์ที่เป็นนวัตกรรมของ TOKYU มาใช้ ID Tokyu Group เป็นกลุ่มบริษัทญี่ปุ่นขนาดใหญ่ที่ ธุรกิจที่เน้นการคมนาคมขนส่งและการพัฒนาเมือง

TOKYU ID ออกแบบมาเพื่อเพิ่มประสิทธิภาพการโต้ตอบในชีวิตประจำวัน เช่น การนั่งรถไฟ เมื่อเล็งเห็นความสำคัญที่ประสบการณ์ของผู้ใช้ได้รับ ทีมจึงเลือกใช้ ลงชื่อเข้าใช้ด้วยพาสคีย์ในเดือนกุมภาพันธ์ 2024 เพื่อแก้ไขปัญหาที่อาจเกิดขึ้น เช่น ไม่มี ฝึกเนื่องจากความล่าช้าในการตรวจสอบสิทธิ์แบบ 2 ปัจจัยในบริการจำหน่ายตั๋วแบบดิจิทัล ที่มาจากเว็บแอปพลิเคชัน

โดยได้เข้าร่วมแฮ็กกาธอนเพื่อตรวจสอบวิสัยทัศน์สำหรับ TOKYU ID สถานการณ์ในอุดมคตินี้ต้องการให้ผู้ใช้ทุกคนลงทะเบียนและเข้าสู่ระบบ พาสคีย์ควบคู่กับการกู้คืนบัญชีที่ราบรื่น ด้วยเหตุนี้ พวกเขาจึงตระหนักถึงเรื่องนี้ เกี่ยวกับการใช้งานหลัก 2 ประการในแฮ็กกาธอน นั่นคือการเปิดใช้การลงทะเบียนพาสคีย์ ในระหว่างกระบวนการสมัครสมาชิกและแนะนำการเข้าสู่ระบบทางโซเชียลสำหรับ การกู้คืนบัญชี สุดท้าย หลังจากการกู้คืนผ่านการเข้าสู่ระบบทางโซเชียล ผู้ใช้ ได้รับอนุญาตให้ลงทะเบียนพาสคีย์ ซึ่งแสดงให้เห็นถึงความมุ่งมั่นของทีมที่มีต่อ การออกแบบที่เน้นพาสคีย์ และยังผสานรวม FedCM เพื่อปรับปรุงประสบการณ์การใช้งานของผู้ใช้ ในกระบวนการลิงก์บัญชี

ข้อความแจ้งให้ลงชื่อเข้าใช้ Google

แนวทางที่เน้นพาสคีย์ของทีม TOKYU ID แสดงให้เห็นถึงความเข้าใจอย่างลึกซึ้ง ตามความต้องการของผู้ใช้ และข้อกำหนดด้านผลิตภัณฑ์ พวกเขาประสบความสำเร็จที่แฮ็กกาธอน ได้นำโซลูชันมาใช้ และนำเสนองานนำเสนอที่น่าสนใจ ซึ่งได้รางวัล รางวัล FIDO Award เห็นได้ชัดว่า องค์กรได้รวม Google Sign-In ไว้ในระบบโดยไม่ใช้ GIS SDK ที่มีเพียง JavaScript วานิลลาโดยใช้ FedCM!

รางวัล Google: ทีม Nulab (Nulab)

ทีม Nulab

Nulab เป็นบริษัทซอฟต์แวร์ที่ให้บริการ เช่น เป็น Backlog, Cacoo และ Nulab ผ่าน ลูกค้ามีปัจจัยแบบ 2 ปัจจัยหลายอย่าง โซลูชันการตรวจสอบสิทธิ์ (คีย์ความปลอดภัย, SMS OTP, OTP อีเมล, TOTP) และ WebAuthn ในบริการต่างๆ ของตน Nulab เป็นลูกค้ารายแรกสุดที่เปิดรับนวัตกรรม WebAuthn และ มีพาสคีย์ที่รองรับอย่างเต็มรูปแบบมาตั้งแต่เดือนตุลาคม 2023

โดยบริษัทได้นำฟีเจอร์ใหม่ 8 รายการมาใช้ ดังนี้

  • การ์ดพาสคีย์
  • เนื้อหาแนะนำพาสคีย์
  • รางวัลสำหรับผู้ใช้พาสคีย์
  • ความช่วยเหลือสำหรับการกู้คืนบัญชีอย่างราบรื่น
  • ลงชื่อเข้าใช้ด้วยปุ่มพาสคีย์
  • 2FA ที่จำเป็นสำหรับผู้ใช้พาสคีย์
  • การนำรหัสผ่านออกและการโปรโมตพาสคีย์เมื่อมีการรั่วไหลของข้อมูลเข้าสู่ระบบ
  • โปรโมตพาสคีย์เมื่อรีเซ็ตรหัสผ่าน

ซึ่งแสดงให้เห็นถึงความช่วยเหลือที่จะช่วยให้การกู้คืนบัญชีเป็นไปอย่างราบรื่นที่แฮ็กกาธอน แนวคิดก็คือการกระตุ้นผู้ใช้ด้วยการดำเนินการเพิ่มเติม เมื่อผู้ใช้เพิ่ม พาสคีย์ หากพาสคีย์ที่เพิ่มเชื่อมโยงกับอุปกรณ์ โปรดแนะนำให้ผู้ใช้เพิ่มอีก พาสคีย์จากเครื่องมือจัดการรหัสผ่านอื่น หากซิงค์พาสคีย์ที่เพิ่มแล้ว แนะนำให้ผู้ใช้นำรหัสผ่านออก

รวมถึงมอบรางวัลให้ผู้ใช้ที่ใช้พาสคีย์ด้วยบัญชีผู้ใช้ ไฮไลต์ไอคอน เมื่อผู้ใช้ใช้พาสคีย์ที่ผูกกับอุปกรณ์ ไอคอนจะเริ่มทำงาน เพื่อวงแหวน เมื่อผู้ใช้ใช้พาสคีย์ที่ซิงค์ ไอคอนจะเริ่มกะพริบ เนื่องจากเครื่องมือนี้เป็นเครื่องมือสำหรับองค์กร ความสามารถนี้จึงช่วยจูงใจให้ผู้ใช้มีเอกลักษณ์ ด้วยการนำพาสคีย์มาใช้

คณะกรรมการต่างประทับใจกับไอเดียสุดสร้างสรรค์ของตนในการปรับปรุงพาสคีย์ โดยเฉพาะอย่างยิ่ง วิธีที่ผู้ใช้สามารถกู้คืนบัญชีของตน

โครงการอื่นๆ ที่น่าสนใจ

ทุกทีมที่งานแฮ็กกาธอนมีไอเดียที่น่าสนใจ และมาดูเบื้องหลังกัน กับโปรเจ็กต์ของตน:

  • Nikkei ID (Nikkei): นำพาสคีย์ไปใช้ร่วมกับ OpenID Connect ซึ่งช่วยลดอุปสรรคของผู้ใช้
  • Dentsu Soken (Dentsu Soken): พาสคีย์ที่รวมกับ Google Sign-In เพื่อการเริ่มต้นใช้งานที่ราบรื่น
  • SST-Tech (Secure Sky Technology): การจำลองพาสคีย์ที่สำรวจสำหรับ การประเมินความปลอดภัย
  • Ajitei Nekomaru (มหาวิทยาลัย Keio): เปิดตัวการตรวจสอบสิทธิ์ด้วยพาสคีย์ ใน LMS แบบโอเพนซอร์ส
  • MyLIXIL (LIXIL): เสร็จสมบูรณ์เพื่อใช้พาสคีย์ในฐานะ วิธีการตรวจสอบสิทธิ์สำหรับ MyLIXIL

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับแต่ละโปรเจ็กต์ โปรดดู รายงานแฮ็กกาธอนพาสคีย์โตเกียว

สิ่งที่ได้เรียนรู้และอนาคต

ตลอดแฮ็กกาธอน ผู้เข้าร่วมได้แชร์ความคิดเห็นและคำถามที่มีประโยชน์ โดยเน้นให้เห็นถึงความสนใจในพาสคีย์และด้านที่ควรปรับปรุง สรุปประเด็นสำคัญจากแฮ็กกาธอนมีดังนี้

  • ผู้คนให้ความสนใจมากขึ้นในการรวมพาสคีย์กับเทคโนโลยีอื่นๆ เช่น ข้อมูลเข้าสู่ระบบที่ยืนยันได้และการพิสูจน์ความรู้ศูนย์
  • ประสบการณ์ของผู้ใช้ยังคงเป็นสิ่งที่มีความสำคัญสูงสุด โดยทีมต่างๆ จะมุ่งเน้นการสร้าง ใช้และนำพาสคีย์ไปใช้ได้ง่ายขึ้น
  • แฮ็กกาธอนไฮไลต์ศักยภาพที่พาสคีย์จะขยายขอบเขตไปได้ไกลกว่า การลงชื่อเข้าใช้แบบเดิมๆ ไปยังด้านต่างๆ เช่น IoT และข้อมูลประจำตัวดิจิทัล

กิจกรรมนี้ประสบความสำเร็จอย่างล้นหลาม ทั้งยังจุดประกายแนวคิดใหม่ๆ และการทำงานร่วมกัน อาส มีการนำพาสคีย์ไปใช้ในวงกว้างขึ้น กิจกรรมเช่นนี้จึงเป็นกุญแจสำคัญในการขับเคลื่อนนวัตกรรมและ แก้ปัญหาที่ท้าทาย

นี่เป็นช่วงเวลาที่น่าตื่นเต้นสำหรับพาสคีย์ และที่โตเกียวแฮ็กกาธอนก็เป็นข้อพิสูจน์ว่า นักพัฒนาซอฟต์แวร์ต่างกระตือรือร้นที่จะก้าวข้ามขอบเขตของสิ่งที่เป็นไปได้