Tags:
Node Thumbnail

Michael Barrett ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (information security) ของ PayPal และประธานของกลุ่ม FIDO Alliance (Fast Identity Online - ข่าวเก่า) ไปพูดที่งานสัมมนาด้านความปลอดภัย Interop

Barrett อธิบายเป้าหมายของกลุ่ม FIDO ว่าต้องการกำจัดระบบล็อกอินด้วยรหัสผ่านและ PIN ออกไปจากโลกนี้ รหัสผ่านเป็นวิธีการที่คิดขึ้นตั้งแต่ปี 1961 แต่ปัจจุบันเรามีเว็บไซต์ที่ต้องใช้รหัสผ่านจำนวนมหาศาล ทำให้ผู้ใช้มักตั้งรหัสผ่านเหมือนๆ กัน แถมการจดจำรหัสผ่านทำให้ผู้ใช้ตั้งรหัสผ่านง่ายๆ ทำให้รหัสผ่านถูกเจาะได้ง่ายมาก

กลุ่ม FIDO Alliance ตั้งขึ้นเพื่อแก้ปัญหานี้ โดยสร้างระบบการยืนยันตัวตนที่ใช้ง่ายและปลอดภัย แนวทางของ FIDO คือผู้ใช้ล็อกอินเข้าไปยังอุปกรณ์ฮาร์ดแวร์ (เช่น โทรศัพท์หรือคอมพิวเตอร์ที่มี TPM) ผ่านลายนิ้วมือ-เสียง-ใบหน้า-นัยน์ตา-แฟลชไดรฟ์ จากนั้นซอฟต์แวร์ของ FIDO จะยืนยันตัวตนของอุปกรณ์กับบริการออนไลน์อื่นๆ ให้

Barrett บอกว่า PayPal เตรียมรองรับ FIDO ในเร็วๆ นี้ และต้องรอฝั่งฮาร์ดแวร์สนับสนุนด้วย

ที่มา - PC Magazine, The Register

Get latest news from Blognone

Comments

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 13 May 2013 - 08:42 #572387
PaPaSEK's picture

มันคล้ายๆ กับพวก RSA SecuID ในบทความนี้มั้ยครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 13 May 2013 - 09:22 #572397 Reply to:572387

ผมว่าน่าจะคล้าย ๆ กัน แต่คงไม่ใช่ไดรว์ที่ใช้ Generate เลขสุ่มหรือเลขคงที่อะไร แต่เป็นไดรว์อะไรก็ได้ที่เรามีติดตัวอยู่ (คือเลือกให้มันจำไว้)เพื่อที่จะใช้งานง่าย ไม่ต้องไปลำบากซื้อฮาร์ดแวร์เพิ่ม และป้องกันขโมยได้ระดับหนึ่งเมื่อเรามีหลายไดรว์ (ขโมยไม่รู้ต้องขโมยอันไหน หรือขโมยมาหมดก็ไม่รู้ต้องใช้อันไหน)

อันนี้ผมชอบแนวคิดแฮะ แต่ไม่ชอบที่ใช้ลายมือ นัยตา มันเปลี่ยนกันไม่ได้ โดนขโมยแล้วขโมยเลย


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 13 May 2013 - 20:32 #572660 Reply to:572387
tanersirakorn's picture

RSA SecuID นี่คีย์มันเปลี่ยนไปตามเวลานะครับ

แต่ไอ้พวกนี้คือเราใช้ credenticals ที่เรามีคนเดียว และเข้าถึงได้คนเดียว โดยไม่เปลี่ยนตามเวลาครับ

เข้าใจแบบนี้นะ


Blog | Twitter

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 13 May 2013 - 09:50 #572410
xenatt's picture

คิดจะลอง สั่ง TPM มาเล่นเหมือนกันแต่ข้อมูลน้อยมาก
ไม่แน่ใจว่าจะ support กับ mobo ที่ใช้อยู่แค่ไหน


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: PikaboyZ
Android
on 13 May 2013 - 09:54 #572411

การสร้างกุญแจให้มีความซับซ้อน โดยกุญิดตัวเราไปตลอด หายยากมาก มันก็สร้างวิธีการไขกุญแจยากขึ้นไปอีก

By: Diew
ContributoriPhoneWindows PhoneAndroid
on 13 May 2013 - 09:56 #572413
Diew's picture

ง่ายสุดที่นึกออกก็ TPM ที่อยู่ใน Surface RT

By: EThaiZone
ContributorAndroidUbuntuWindows
on 13 May 2013 - 10:22 #572423
EThaiZone's picture

เอากล้องมือถือสแกนลูกตาได้ไหมเนี่ย LOL


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: Tlecoco
iPhoneAndroid
on 13 May 2013 - 11:45 #572450
Tlecoco's picture

ข่าวต่อมา anonymous เข้ายึด FIDO ฮาา

By: rattananen
AndroidWindows
on 13 May 2013 - 12:43 #572480

รหัสผ่านแบบ one time password ยังก็ OK นะ สะดวกดี ไม่ต้องจำให้ยุ่งยาก

By: Jessy
Red HatUbuntuWindows
on 13 May 2013 - 13:31 #572497 Reply to:572480

ใช่ครับ ปลอดภัยกว่าเยอะ อีกอย่างถ้าหากใช้ด้าน Physical จากร่างกายเราเป็นการ login มันก็ติดตัวเราไปตลอด ท้ายสุดต้องมาจำว่า hotmail ใช้นิ้วชี้? gmail ใช้นิ้วกลาง facebook ใช้นิ้วก้อย? ebay แสกนม่านตา?

โอยไม่อยากคิด ต้องมี sensor กี่แบบถึงจะ login ได้ครบโดยไม่ซ้ำกันเนี่ย

ผมว่า user password แบบเดิมๆ ก็ยังเป็นคำตอบที่ดีเหมือนเดิมถ้าเราใช้โปรแกรมช่วยเก็บ password และใช้ password จากการ Generate ซึ่งมันไม่น่าซ้ำกันอยู่แล้ว

By: tonhady
Red HatUbuntu
on 13 May 2013 - 14:12 #572512 Reply to:572480
tonhady's picture

ใช่ครับ OTP ไม่ต้องจำดี เข้ามือถือปลอดภัย แล้วจะโดนดัก sms ไหมอะครับ -..-

By: frameonthai
ContributoriPhoneAndroidSymbian
on 13 May 2013 - 17:39 #572612 Reply to:572512
frameonthai's picture

ผมว่าทำแบบ Google Authenticator เวิร์คสุดนะครับ

By: Jessy
Red HatUbuntuWindows
on 13 May 2013 - 20:10 #572654 Reply to:572512

ก็ไม่ต้องใช้ smart phone ไงคับ ไม่น่าโดนดัก ใช้ feature phone ปลอดภัยจากทุกอย่าง 555 เข้าเน็ตยังไม่ได้เลย

อีกอย่าง otp ส่วนใหญ่เท่าที่เห็นใช้ๆ กันก็เป็นพวกธนาคารใช้ verify การทำรายการโอนเงิน ถ้าจะโดน hack นั่นหมายถึง ต้องโดนทั้งคอม และมือถือ

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 13 May 2013 - 20:37 #572661 Reply to:572654
tanersirakorn's picture

คือตัว Authenticator ของ Google มันไม่ต้องแม้แต่รับส่งข้อมูลอะไรนะครับ มันคือเอา Key + Time ที่เราป้อนทีเดียวมาคำนวนในเครื่องตรงนั้นเลย

ขณะที่ถ้าส่ง SMS เนี่ยอย่างน้อยก็ต้องติดต่อกับ Operator ครับ


Blog | Twitter

By: LazarusSP1
ContributoriPhone
on 13 May 2013 - 22:44 #572719
LazarusSP1's picture

ข่าวในอนาคต โจรปล้นนิ้วชี้ รูดทรัพย์หมด paypal