Passkey คืออะไร? คู่มือ FIDO2 Passwordless Auth SME 2026

# Passkey และ FIDO2 คืออะไร? คู่มือ Passwordless Authentication ลดเสี่ยง Phishing สำหรับ SME ไทย 2026

ข้อมูลจาก Verizon Data Breach Investigations Report ระบุว่ากว่า 80% ของการรั่วไหลข้อมูลเกิดจากรหัสผ่านที่ถูกขโมยหรือเดา ขณะเดียวกัน Phishing ยังเป็นช่องทางโจมตีอันดับหนึ่งที่ทำให้ SME ไทยสูญเสียเงินปีละหลายพันล้านบาท คำตอบของปัญหานี้ในปี 2026 คือ Passwordless Authentication ที่อาศัยมาตรฐาน FIDO2 และ Passkey

บทความนี้จะอธิบายหลักการทำงานของ Passkey เปรียบเทียบกับรหัสผ่านแบบเดิมและ MFA แบบ SMS/OTP พร้อมขั้นตอนติดตั้ง WebAuthn บนเว็บ Laravel และ Next.js เพื่อให้ SME ไทยสามารถยกระดับความปลอดภัยได้ภายในไม่กี่สัปดาห์

Passkey และ FIDO2 คืออะไร?

FIDO2 คือมาตรฐานเปิดของ FIDO Alliance และ W3C ที่ประกอบด้วย 2 โปรโตคอลหลัก ได้แก่ WebAuthn (API บนเบราว์เซอร์) และ CTAP2 (Client to Authenticator Protocol) หัวใจของ FIDO2 คือการใช้ Public-Key Cryptography แทน Password

Passkey คือชื่อเรียกที่ Apple, Google, และ Microsoft ใช้เรียก FIDO2 Credential ที่สามารถ Sync ข้าม Device ผ่าน iCloud Keychain, Google Password Manager หรือ Microsoft Account ทำให้ผู้ใช้ไม่ต้องจำหรือกรอกรหัสผ่านอีกต่อไป เพียงใช้ Face ID, Touch ID, Windows Hello หรือ PIN บนอุปกรณ์ก็เข้าสู่ระบบได้

เปรียบเทียบ Password, MFA และ Passkey

|------|----------|---------------------|------------------|

ทำไม Passkey ถึงปลอดภัยกว่า Password

1. Private Key ไม่เคยออกจาก Device

เมื่อสมัคร Passkey ครั้งแรก อุปกรณ์จะสร้างคู่กุญแจ Public/Private โดย Private Key ถูกเก็บใน Secure Enclave หรือ TPM ของเครื่องและไม่ถูกส่งขึ้นเซิร์ฟเวอร์เลยแม้แต่ครั้งเดียว

2. Origin Binding ป้องกัน Phishing

WebAuthn ผูก Credential เข้ากับ Domain ของเว็บจริง หากผู้ใช้โดนหลอกไปเว็บปลอมที่ Domain ต่างกัน เบราว์เซอร์จะไม่ยอมใช้ Passkey นั้น ทำให้ Phishing Kit ที่ขโมย OTP ไม่ได้ผล

3. Replay Attack ถูกตัดทิ้ง

การ Login แต่ละครั้งจะมี Challenge สุ่มจากเซิร์ฟเวอร์ที่ต้องเซ็นด้วย Private Key ทำให้ข้อมูลที่ถูก Sniff ระหว่างทางใช้ซ้ำไม่ได้

4 องค์ประกอบหลักของระบบ FIDO2

Relying Party (RP): เว็บไซต์หรือแอปที่ต้องการยืนยันตัวตน เช่น เว็บ SME ของคุณ

Client: เบราว์เซอร์ Chrome, Safari หรือแอปที่รองรับ WebAuthn API

Authenticator: อุปกรณ์ที่เก็บ Private Key เช่น iPhone, YubiKey, Windows Hello

User Verifier: วิธียืนยันเจ้าของ Device เช่น Biometric, PIN

ขั้นตอนติดตั้ง Passkey บน Laravel และ Next.js

Step 1: เลือก Library

ระบบ Laravel แนะนำ spomky-labs/webauthn-framework หรือ laragear/webauthn ส่วน Next.js ใช้ @simplewebauthn/server และ @simplewebauthn/browser

Step 2: สร้าง Database Schema

เก็บอย่างน้อย 3 ฟิลด์ใน passkey_credentials ได้แก่ credential_id (Binary), public_key (Text), counter (Integer) โดย Foreign Key เชื่อมกับ users

Step 3: Endpoint สำหรับ Registration

```

POST /webauthn/register/start -> return challenge + user info

POST /webauthn/register/finish -> verify attestation + save credential

```

Step 4: Endpoint สำหรับ Authentication

```

POST /webauthn/login/start -> return challenge + allowed credentials

POST /webauthn/login/finish -> verify assertion + issue session

```

Step 5: UI ฝั่งเบราว์เซอร์

เรียก navigator.credentials.create() ตอน Register และ navigator.credentials.get() ตอน Login โดยใช้ SimpleWebAuthn เพื่อลดความซับซ้อน

Step 6: Fallback และ Recovery

เพิ่ม Email Magic Link หรือ Backup Code ไว้สำหรับกรณีผู้ใช้เปลี่ยนมือถือและไม่มี Passkey Sync

ตารางความเข้ากันได้กับ Browser/OS ในปี 2026

| Platform | รองรับ Passkey | Sync ข้าม Device |

|----------|-----------------|--------------------|

| iOS 17+ / macOS Sonoma+ | ใช่ | iCloud Keychain |

| Android 14+ / ChromeOS | ใช่ | Google Password Manager |

| Windows 11 | ใช่ | Microsoft Account |

| Firefox 120+ | ใช่ (Security Key) | ขึ้นกับ OS |

Use Case แนะนำสำหรับ SME ไทย

Portal พนักงาน: ให้พนักงานเข้าระบบ ERP/HR ด้วย Passkey แทน AD Password

ลูกค้า E-commerce: ใช้ Passkey ที่ Checkout เพื่อลด Cart Abandonment จาก OTP

ระบบ Internal Admin: บังคับ Passkey สำหรับ Role ที่เข้าถึงข้อมูลลูกค้า (PDPA Compliance)

ร้านค้าปลีก: ใช้ YubiKey ร่วม Passkey บนเครื่อง POS ลดความเสี่ยงพนักงาน Login ด้วยรหัสผ่านร่วมกัน

ข้อผิดพลาดที่ SME ไทยมักเจอ

ใช้ Passkey แต่ไม่เก็บ Counter ทำให้ตรวจ Replay Attack ไม่ได้

ลืมเปิด User Verification (UV) flag ทำให้ระดับความปลอดภัยลดลง

ใช้ Domain ไม่ตรงระหว่าง Production และ Staging จน Credential ใช้ข้ามไม่ได้

ไม่มี Fallback ทำให้ผู้ใช้ติดล็อกเมื่อเปลี่ยนโทรศัพท์

Log ข้อมูลการยืนยันไม่ครบ ทำให้ Audit Trail ไม่ผ่าน ISO 27001

สรุปและ Next Step

Passkey คือก้าวกระโดดด้าน Authentication ที่เปลี่ยนเกมจากรหัสผ่านที่อ่อนแอไปสู่การยืนยันตัวตนที่ผูกกับอุปกรณ์และ Biometric ของผู้ใช้ การปรับระบบไม่ต้องรื้อใหญ่ เพียงเปิด WebAuthn endpoint และเพิ่มฟิลด์ใน Database ก็เริ่มใช้งานได้ทันที

Key Takeaways:

FIDO2 และ Passkey ป้องกัน Phishing ได้เพราะ Credential ผูกกับ Origin

Private Key ไม่เคยออกจาก Device จึงไม่มี Secret ให้รั่วไหล

เริ่มด้วย Hybrid Mode ให้ใช้ได้ทั้ง Password และ Passkey ในระยะเปลี่ยนผ่าน

อย่าลืม Fallback Recovery และ Audit Log เพื่อปฏิบัติตาม PDPA/ISO 27001

ต้องการที่ปรึกษาช่วยออกแบบและติดตั้ง Passkey บนเว็บ SaaS หรือระบบ Intranet ของคุณ? ติดต่อทีม ADS FIT เพื่อรับ Roadmap ฟรี หรืออ่านบทความเกี่ยวกับ Zero Trust, SASE และ ISO 27001 เพิ่มเติมในบล็อกของเรา

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

Passkey และ FIDO2 คืออะไร? คู่มือ Passwordless Authentication ลดเสี่ยง Phishing สำหรับ SME ไทย 2026