Tags:
Node Thumbnail

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDO Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา - 1Password

Tags:
Node Thumbnail

PayPal ประกาศรองรับการล็อกอินแบบ Passkeys ที่รองรับโดยแพลตฟอร์มของกูเกิล แอปเปิล ไมโครซอฟท์ ทำให้ไม่ต้องใช้รหัสผ่านในการล็อกอินอีกต่อไป

Passkeys เป็นมาตรฐานที่ร่วมกันพัฒนาโดย FIDO Alliance และ W3C แนวคิดของมันคือยืนยันตัวตนผ่านมาตรฐาน WebAuthn ด้วยกุญแจเข้ารหัส (cryptographic key) ที่เก็บอยู่ในอุปกรณ์ของเราอยู่แล้ว โดยซิงก์กุญแจกไปยังอุปกรณ์อื่นๆ ผ่านบริการของเจ้าของแพลตฟอร์ม (เช่น iCloud หรือ Google Password Manager) อีกที (อธิบายง่ายๆ มันคือการล็อกอินด้วย private key แบบเป็นมิตรกับผู้ใช้ทั่วไป)

Tags:
Node Thumbnail

กูเกิลประกาศรองรับการล็อกอินแบบ Passkey บนโทรศัพท์แอนดรอยด์และเบราว์เซอร์โครม หลังจากก่อนหน้านี้แอปเปิลรองรับไปก่อนแล้ว ทำให้สามารถใช้โทรศัพท์ล็อกอินบริการต่างๆ ได้โดยไม่ต้องตั้งรหัสผ่านอีกต่อไป

Passkey เป็นมาตรฐานบน WebAuthn อีกทีหนึ่ง เปิดทางให้บริการต่างๆ สามารถยืนยันตัวตนผู้ใช้ด้วยกุญแจเข้ารหัสที่เก็บอยู่ในอุปกรณ์ของผู้ใช้ ทั้งโทรศัพท์มือถือและเบราว์เซอร์ โดยกุญแจนี้สามารถซิงก์ข้ามเครื่องไปมาได้ ในกรณีที่ผู้ใช้ต้องการล็อกอินบนอุปกรณ์ที่ไม่รองรับ Passkey แต่สร้างบัญชีไว้โดยไม่ได้ตั้งรหัสผ่าน ก็สามารถใช้งานตั้งล็อกอินผ่าน QR ได้ คล้ายกับการล็อกอิน LINE บนเดสก์ทอปทุกวันนี้

Tags:
Node Thumbnail

Activision Blizzard เดินหน้าบังคับยืนยันตัวตนบัญชี Battle.net ด้วยเบอร์โทรศัพท์ ตามแนวทางที่เริ่มใน Overwatch 2 โดยเกมที่สองที่ตามมาคือ Call of Duty: Modern Warfare II เกมใหญ่ของค่ายประจำปีนี้ (กำหนดขาย 28 ตุลาคม)

ในหน้าเว็บของ Battle.net ระบุว่าบัญชีเกม Call of Duty: Modern Warfare II รวมถึงบัญชีที่สร้างใหม่ของเกม Modern Warfare ภาคแรก จะต้องยืนยันตัวตนด้วยเบอร์โทรศัพท์

Tags:
Node Thumbnail

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

Tags:
Node Thumbnail

ทีมวิศวกรชีวการแพทย์จาก Purdue University และ National Institute of Agricultural Sciences จากเกาหลีใต้ ร่วมมือกันวิจัยพัฒนาแผ่น QR code แบบกินได้ ใช้สำหรับติดภายในขวดบรรจุเหล้าหรือติดบนเม็ดยา ทำให้ผู้ที่ต้องการซื้อเหล้าหรือผู้ที่จะทานยาสามารถใช้สมาร์ทโฟนเพื่อสแกนตรวจสอบยืนยันได้ว่าเหล้าขวดดังกล่าวหรือยาเม็ดดังกล่าวเป็นของแท้หรือไม่

ในขณะที่สติ๊กเกอร์ป้องกันการปลอมแปลงที่ใช้กันในปัจจุบันนี้สามารถติดลงได้บนกล่องหรือขวดที่เป็นบรรจุภันฑ์ภายนอกเท่านั้น จุดอ่อนประการแรกคือการปลอมแปลง QR code ที่เป็นงานพิมพ์บรรจุภัณฑ์ทั่วไปก็ยังทำได้ไม่ยากนัก ในขณะที่จุดอ่อนอีกประการคือมีความเสี่ยงที่จะพบเหล้าปลอมหรือยาปลอมที่อาศัยการสวมรอยนำเอาสินค้าปลอมมาใส่ในบรรุจภัณฑ์จริงได้

Tags:
Node Thumbnail

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

Tags:
Node Thumbnail

แอปเปิลอัพเดตแอพพลิเคชัน iCloud บน Windows เพิ่มการรองรับ 2FA สำหรับตัวจัดการรหัสผ่าน iCloud‌ Keychain ซึ่งเป็นเครื่องมือใหม่ที่เพิ่มเข้ามาตั้งแต่ปีที่แล้ว ทั้งนี้โปรแกรม iCloud บน Windows รองรับการทำงานหลายส่วนรวมทั้ง iCloud Drive และ Photos ด้วย

การรองรับ 2FA ทำให้ผู้ใช้งานบริการต่าง ๆ ที่ต้องใช้รหัสผ่านสองชั้น สามารถเพิ่มการสร้างรหัส 2FA ผ่านส่วนจัดการรหัสผ่านของ iCloud ได้เลย เหมือนกับโปรแกรมจัดการรหัสผ่านอื่น

ทั้งนี้ 2FA ของส่วนจัดการรหัสผ่านของ iCloud บน Windows รองรับเฉพาะเบราว์เซอร์ Edge และ Chrome เท่านั้น ไม่รองรับ Firefox

Tags:
Node Thumbnail

PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี

โครงการที่เข้าข่ายสำคัญยิ่งยวดจะคำนวณจากโครงการที่มียอดดาวน์โหลดสูงสุด 1% แรกจากโครงการบน PyPI ทั้งหมด 350,000 โครงการในห้วงเวลา 6 เดือน ดังนั้นจึงมีโครงการชุดแรกเข้าข่าย 3,500 โครงการ แต่รายชื่อโครงการจะคำนวณใหม่ทุกวัน และโครงการที่หลุดจาก 1% แรกก็ยังได้สถานะสำคัญยิ่งยวดต่อไป ทำให้โดยรวมจะมีโครงการที่เข้าข่ายเกิน 1% และทางกูเกิลก็เตรียมคูปองสำหรับสั่งซื้อกุญแจไว้ให้ทั้งหมด 4,000 ชุด

Tags:
Node Thumbnail

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

Tags:
Node Thumbnail

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

Tags:
Node Thumbnail

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

Tags:
Node Thumbnail

วันนี้ในงาน NDID Day ทาง AIS ประกาศเปิดบริการ Public IDP (identity provider) ให้บริการยืนยันตัวตนแก่บริการอื่นๆ เช่น การเปิดบัญชีธนาคาร, การสมัครกองทุน, หรือการใช้บริการประกันภัย

ที่ผ่านมาทาง AIS ใช้จุดบริการของตัวเองกว่า 16,277 จุดให้บริการ IDP Agent เป็นบริการแสดงตัวตนที่ลูกค้าจะต้องไปแสดงตัวเพื่อพิสูจน์ตัวตน การขยายบริการเป็น Public IDP จะทำให้ผู้ใช้บริการ myAIS สามารถแสดงตัวได้ทันที จากเดิมที่ผู้ให้บริการ IDP มักเป็นธนาคารเป็นหลัก

ตอนนี้ยังไม่มีกำหนดว่าบริการ Public IDP จะเปิดให้บริการจริงช่วงใด แต่ทาง AIS ระบุว่าจะเปิดเร็วๆ นี้

Tags:
Node Thumbnail

ไมโครซอฟท์ออกรายงานสถิติด้านความปลอดภัยไซเบอร์ชื่อ Cyber Signals เป็นครั้งแรก สิ่งที่น่าสนใจคือการเปิดเผยข้อมูลภายในของบริการไมโครซอฟท์เอง

Tags:
Node Thumbnail

GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง ทำให้เกิดปัญหาผู้ดูแลถูกแฮ็กบัญชี แล้วเปลี่ยนแพ็กเกจที่ยัดไส้มัลแวร์อยู่บ่อยครั้ง สร้างผลกระทบเป็นวงกว้าง หนึ่งในมาตรการของ GitHub คือเพิ่มความปลอดภัยของบัญชีผู้ดูแลก่อน โดยเริ่มจากกลุ่ม Top 100 และขั้นต่อไปคือ GitHub จะบังคับ 2FA กับแพ็กเกจที่มียอดดาวน์โหลดเกิน 1 ล้านครั้งต่อสัปดาห์ หรือมีโครงการอื่นเรียกใช้งานเกิน 500 โครงการ

Tags:
Node Thumbnail

Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

Tags:
Node Thumbnail

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

Tags:
Node Thumbnail

Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Salesforce บังคับใช้ MFA โดยระบุชัดเจนว่าการยืนยันตัวตนผ่านโทรศัพท์, SMS, และอีเมล นั้นไม่นับเป็นการยืนยันตัวตนที่น่าเชื่อถือ ต้องใช้กระบวนการยืนยันตัวตนสมัยใหม่ เช่น แอป TOTP เช่น Google Authenticator หรือ Microsoft Authenticator, กุญแจ U2F/WebAuthn, ตลอดจนการยืนยันตัวตนกับอุปกรณ์ เช่น Touch ID/Face ID/Windows Hello

Tags:
Node Thumbnail

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Tags:
Node Thumbnail

ปัญหารหัสผ่านรั่วไหล หรือรหัสผ่านไม่ปลอดภัยเพียงพอเป็นปัญหาของบริการออนไลน์จำนวนมาก ในบริการออนไลน์จากผู้ให้บริการรายใหญ่ๆ มักมีความสามารถในการดูแลบริการ ไล่บล็อคไอพีของบอตที่ยิงรหัสผ่าน แต่กับเซิร์ฟเวอร์ขนาดเล็กที่ใช้งานในบ้านหรือในธุรกิจขนาดเล็กนั้นหากตั้งเซิร์ฟเวอร์ออกอินเทอร์เน็ตก็มักจะไม่มีเจ้าหน้าที่หรือระบบมอนิเตอร์มาตรวจสอบการล็อกอินผิดปกติจริงจัง ส่งผลให้มีความเสี่ยงถูกยิงรหัสผ่านจนคนร้ายยึดเครื่องได้โดยง่าย

Tags:
Node Thumbnail

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

Tags:
Node Thumbnail

กูเกิลประกาศแจกคีย์ความปลอดภัย 10,000 ชิ้นให้กับนักข่าว นักการเมือง นักเคลื่อนไหวทั่วโลก ที่กำลังเผชิญการสอดส่องโดยรัฐ และอาจถูกแฮ็กบัญชีเพื่อดูว่าทำอะไรอยู่

บัญชีกูเกิลมีฟีเจอร์ใช้งานความปลอดภัยระดับสูง (Advanced Protection Program หรือ APP) ที่บังคับต้องล็อกอินด้วยคีย์ฮาร์ดแวร์เท่านั้น ช่วยยกระดับความปลอดภัยของบัญชีเพิ่มอีกมาก กูเกิลจึงตัดสินใจแจกคีย์เพื่อให้คนที่มีความเสี่ยงสูงเหล่านี้ สามารถใช้งาน APP ได้ด้วย

วิธีการแจกคีย์ของกูเกิลจะทำผ่านองค์กรพาร์ทเนอร์ เช่น International Foundation for Electoral Systems, UN Women Generation Equality Action Coalition for Technology and Innovation, Defending Digital Campaigns

Tags:
Node Thumbnail

Google เคยประกาศช่วงเดือนพฤษภาคมว่าจะบังคับการยืนยันตัวตน 2 ขั้น (2FA/2SV) แบบดีฟอลต์ แต่ยังไม่ระบุช่วงเวลา

ล่าสุดประกาศแล้วว่าจะบังคับบัญชีผู้ใช้งาน Google 150 ล้านคนและบัญชี YouTube Creator 2 ล้านให้ใช้ภายในสิ้นปีนี้ โดย Google จะเริ่มบังคับจากแอคเคาท์ที่การตั้งค่ามีความพร้อมในการเปิดการยืนยันตัวตนก่อน (ตรวจสอบจากหน้า Security Checkup และบอกด้วยว่าการยืนยันตัวตน 2 ขั้นอาจไม่ได้สะดวกสบายสำหรับทุกคน ตอนนี้กำลังพัฒนาแมคนาคินหรือเทคโนโลยีที่ทำให้กระบวนการยืนยันตัวตน 2 ขั้นเป็นไปอย่างราบรื่นที่สุด

Tags:
Node Thumbnail

Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว

Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น

YubiKey Bio Series ปัจจุบันมีให้เลือก 2 แบบ คือ YubiKey Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-A ราคา 80 ดอลลาร์ และ YubiKey C Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-C ราคา 85 ดอลลาร์

Pages