เทคโนโลยี Passkey ถูกโปรโมตว่าจะ "ยุติยุครหัสผ่าน" แต่เมื่อนำไปใช้จริงกับบัญชีหลัก ผลลัพธ์กลับซับซ้อนกว่าที่คาด ทั้งจำนวนขั้นตอนที่ไม่ได้ลดลง ปัญหา OTP ที่ยังคงอยู่ และข้อจำกัดของ Verified Email ฟีเจอร์ใหม่จาก Google ที่ใช้ได้เฉพาะกลุ่มผู้ใช้บางส่วนเท่านั้น
เปลี่ยนมาใช้ Passkey แล้ว ขั้นตอนยังเท่าเดิม
Karandeep Singh นักข่าวจาก Android Authority ได้ทดลองเปลี่ยนบัญชี Google หลักของตัวเองจากระบบอีเมล + รหัสผ่าน มาเป็น Passkey โดยเลือกใช้ Enpass ซึ่งเป็น Password Manager จากบุคคลที่สาม แทนที่จะใช้ระบบของ Google โดยตรง เพื่อหลีกเลี่ยงการผูกติดกับแพลตฟอร์มใดแพลตฟอร์มหนึ่ง
ผลที่ได้คือ แม้การตั้งค่าครั้งแรกจะรู้สึกแปลกใหม่ แต่ในการใช้งานจริงกลับต้องผ่านขั้นตอนการยืนยันตัวตนในจำนวนที่ใกล้เคียงกับระบบเดิมแทบทุกประการ Singh ชี้ว่าสาเหตุหลักคือผู้ที่ใช้ Password Manager อยู่แล้วนั้น ไม่ได้ "จำรหัสผ่าน" อยู่แล้วตั้งแต่ต้น สิ่งที่ต้องจำมีเพียง Master Password ของ Password Manager เท่านั้น ดังนั้นข้อได้เปรียบของ Passkey จึงเล็กกว่าที่คาดไว้มาก
"Passkeys claim to replace remembering a password, but I anyway don't remember mine, thanks to my password manager."
Microsoft บังคับสร้าง Passkey แต่ OTP ยังไม่หายไปไหน
ปัญหาที่เห็นได้ชัดเจนที่สุดในการทดสอบครั้งนี้เกิดขึ้นกับบัญชี Microsoft ทุกครั้งที่ล็อกอิน ระบบจะแสดงหน้าต่างกระตุ้นให้สร้าง Passkey อย่างต่อเนื่อง จนในที่สุด Singh ตัดสินใจสร้าง Passkey ตามที่ระบบร้องขอ
แต่ผลลัพธ์ที่ได้กลับน่าผิดหวัง เพราะหลังจากสร้าง Passkey เสร็จแล้ว หน้าจอยืนยัน OTP (One-Time Password) แบบเดิมก็ยังปรากฏขึ้นมาอีกครั้ง Singh ตั้งคำถามว่า "สุดท้ายแล้วมีอะไรถูกทำให้ง่ายขึ้นบ้าง?" พร้อมระบุว่า Passkey ไม่ได้ถูกออกแบบมาเพื่อแทนที่ขั้นตอนการยืนยันตัวตนในระดับที่สอง ดังนั้นระบบฝั่งรับจึงต้องพัฒนาให้ฉลาดขึ้นด้วย
Verified Email ของ Google — ฟีเจอร์ดี แต่มีเงื่อนไขซ่อนอยู่
Google เปิดตัว Verified Email ซึ่งใช้ Credential Manager API บน Android เพื่อตัดขั้นตอนการยืนยันอีเมลแบบวนซ้ำออกไป ไม่ต้องสลับไปที่แอปอีเมล คัดลอก OTP แล้ววางกลับมาอีกต่อไป ซึ่งฟังดูตรงกับสิ่งที่ Singh กำลังมองหา
อย่างไรก็ตาม เมื่ออ่านรายละเอียดเงื่อนไขอย่างละเอียด พบข้อจำกัดหลายประการดังนี้
- ต้องเป็นบัญชี Gmail — ไม่ใช่ฟีเจอร์ที่ใช้ได้กับอีเมลทั่วไป
- ไม่เชื่อมต่อกับ "Sign in with Google" — ยังต้องผ่านการยืนยันตัวตนสองขั้นตอนของ Google ในบางสถานการณ์
- ผูกกับอุปกรณ์ — ไม่รองรับการใช้งานข้ามอุปกรณ์ (Cross-device)
- ใช้ไม่ได้กับบัญชีที่เปิด Two-Factor Authentication ไว้แล้ว — และยังไม่มีกลไกนำบัญชีเดิมเข้าสู่ระบบใหม่
ด้านเทคนิค Verified Email รองรับ Android 9 (API level 28) ขึ้นไป และต้องใช้ Google Play Services เวอร์ชัน 25.49.x ขึ้นไป สำหรับที่อยู่อีเมลที่ไม่ใช่ @gmail.com Google แนะนำให้ใช้ควบคู่กับการส่ง OTP เพิ่มเติม เนื่องจากความเป็นเจ้าของอีเมลอาจเปลี่ยนแปลงได้ในระยะยาว
ผลสำรวจผู้ใช้จริง: Passkey สร้างความสับสนมากกว่ารหัสผ่าน
ในบทความต้นฉบับมีการเปิดโหวตผู้อ่าน (297 คะแนนเสียง) ถามว่า "ระบบยืนยันตัวตนแบบใดที่สร้างความเครียดมากที่สุด" ผลที่ได้น่าสนใจมาก
| ตัวเลือก | สัดส่วน |
|---|---|
| ความสับสนจาก Passkey / อุปกรณ์ | 42% |
| วนซ้ำกับ OTP | 26% |
| การจำรหัสผ่าน | 18% |
| Password Manager ทำงานผิดพลาด | 14% |
ผู้ตอบแบบสอบถามถึง 42% ระบุว่า Passkey และความสับสนเรื่องอุปกรณ์คือปัญหาหลัก ขณะที่มีเพียง 18% เท่านั้นที่บอกว่า "การจำรหัสผ่าน" คือความเครียดสูงสุด ผลนี้สะท้อนว่าเทคโนโลยีที่ออกแบบมาเพื่อลดความยุ่งยาก กลับสร้างแรงเสียดทานรูปแบบใหม่ขึ้นมาแทน
FIDO Alliance รายงาน Passkey 5 พันล้านรายการทั่วโลก แต่ UX ยังตามไม่ทัน
ในแง่ตัวเลขมหภาค FIDO Alliance ประกาศในงาน World Passkey Day 2026 (7 พฤษภาคม 2026) ว่าขณะนี้มี Passkey ถูกใช้งานอยู่ทั่วโลกแล้วกว่า 5,000 ล้านรายการ พร้อมข้อมูลจากรายงาน State of Passkeys 2026 ดังนี้
- 90% ของผู้ใช้รู้จัก Passkey
- 75% เปิดใช้งานกับบัญชีอย่างน้อยหนึ่งบัญชี
- 49% ใช้งานเป็นประจำเมื่อมีตัวเลือก
- 68% ขององค์กรนำไปใช้หรืออยู่ระหว่างนำไปใช้สำหรับพนักงาน
- ในภูมิภาค APAC มี 72% ขององค์กรที่นำ Passkey มาใช้แล้วหรืออยู่ระหว่างขยายผล และ 37% บรรลุสภาพแวดล้อมที่ไม่ต้องใช้รหัสผ่านสำหรับพนักงานอย่างสมบูรณ์
Singh สรุปว่า "เทคโนโลยีมีพร้อมแล้ว แต่ UX ยังตามไม่ทัน" ปัญหาไม่ได้อยู่ที่ว่าระบบทำงานได้หรือไม่ แต่อยู่ที่ระบบยังไม่สามารถ "ซ่อน" ความซับซ้อนให้พ้นสายตาผู้ใช้ได้ โดยเฉพาะกลุ่มที่ยังใช้รหัสผ่านซ้ำกันหลายบัญชี ซึ่งเป็นกลุ่มที่ต้องการการปกป้องมากที่สุด ขณะที่ Verified Email และ Passkey ต่างแก้ปัญหาคนละจุดโดยไม่ได้ถูกรวมเป็นระบบเดียวกัน
สำหรับผู้ใช้ในไทย หากยังไม่แน่ใจว่าควรเปลี่ยนมาใช้ Passkey หรือไม่ คำแนะนำที่ปลอดภัยที่สุดในตอนนี้คือเริ่มจากการหยุดใช้รหัสผ่านซ้ำ ด้วยการเปิด Password Manager และ Two-Factor Authentication ก่อน จากนั้นค่อยทดลอง Passkey กับบัญชีที่ไม่ใช่บัญชีหลัก เพื่อทำความเข้าใจกระบวนการก่อนนำไปใช้กับบัญชีสำคัญอย่างบัญชีธนาคารหรืออีเมลหลัก
แหล่งที่มา
- Android Authority — I tried ditching passwords, but the alternatives feel even more complicated
- FIDO Alliance — Five Billion Passkeys: FIDO Alliance Reports Mainstream Global Usage on World Passkey Day 2026
- Business Wire — Passkeys Hit Mainstream in Singapore: FIDO Alliance Reports Widespread Adoption Following World Passkey Day 2026
