กูเกิลประกาศผลักดันให้ผู้ใช้งานเปลี่ยนมาล็อกอินด้วย Passkeys มากขึ้น หลังจากประกาศรองรับมาตั้งแต่เดือนพฤษภาคม โดยเมื่อผู้ใช้งานทำการล็อกอินเข้าบัญชี จะมีข้อความแจ้งแนะนำให้สร้าง Passkeys

ในข้อความแนะนำนั้น กูเกิลบอกว่าเมื่อใช้ Passkeys ผู้ใช้งานสามารถใช้ลายนิ้วมือ สแกนใบหน้า หรือระบบปลดล็อกหน้าจออุปกรณ์ เพื่อยืนยันตัวตน ซึ่งเป็นขั้นตอนที่ง่ายมากขึ้น กูเกิลบอกว่าวิธีการนี้เร็วกว่าการใส่รหัสผ่าน 40%

กูเกิลยังประกาศร่วมมือกับพาร์ทเนอร์ต่าง ๆ เพื่อนำ Passkeys มาใช้งานร่วมกับ Chrome และ Android เป้าหมายเพื่อลดการใส่รหัสผ่านให้มากที่สุด พร้อมประกาศให้อุตสาหกรรมต่าง ๆ เปลี่ยนมาใช้แนวทาง Passkeys กันให้มากขึ้นด้วย

GitHub ประกาศว่าผู้ใช้งานสามารถเปิดการใช้งาน Passkey ได้แล้วในสถานะ Public Beta โดยไปที่ Settings หัวข้อ Feature Preview ซึ่ง Passkey จะแทนที่ขั้นตอนใส่รหัสผ่านและ 2FA เดิม

Passkey เป็นวิธียืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน โดยใช้การยืนยันกับอุปกรณ์แทน ซึ่งใช้วิธีปลดล็อกด้วยข้อมูลอื่นเช่น ลายนิ้วมือ สแกนใบหน้า จึงปลอดภัยมากกว่าการยืนยันด้วยรหัสผ่านเดิม ซึ่งตอนนี้บริการของบริษัทเทคโนโลยีรายใหญ่ต่างทยอยรองรับ Passkey มากขึ้น

ที่มา: GitHub

กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ

Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO

ก่อนวันที่ 4 พฤษภาคมเป็นวันรหัสผ่านโลก NordPass ได้เผยแพร่รายงาน Password habits die hard แสดงรหัสผ่านที่คนใช้มากที่สุด โดยทาง NordPass ได้ร่วมกับนักวิจัยอิสระเพื่อหา 200 อันดับรหัสผ่านที่ใช้มากที่สุดใน 30 ประเทศ

NordPass ได้บอกว่าแม้ว่าจะมีการตระหนักด้านความปลอดภัยทางไซเบอร์มากขึ้น แต่ผลการสำรวจพบว่าคนก็ยังคงใช้รหัสผ่านที่ง่ายในการเข้าบัญชีอยู่

“Password” เป็นรหัสผ่านที่คนใช้มากที่สุด ส่วนในสหรัฐปี 2023 เป็นคำว่า “guest” แซงหน้ารหัสผ่าน “123456” ในปี 2022 รวมไปถึงการรวมตัวอักษรและตัวเลขง่ายๆ อย่าง "a1b2c3" "abc123" หรือ "qwerty" ก็เป็นนิยมมากในสหรัฐ อีกประเภทคือ รหัสผ่านที่ได้รับแรงบันดาลใจจากไลฟ์สไตล์, กีฬา หรือแฟชั่น เช่น Detroit Red Wings, Boston Red Sox เป็นต้น

ช่วงสองสามปีที่ผ่านมาปัญหาบัญชีถูกแฮกยังคงเป็นปัญหาใหญ่ของระบบความปลอดภัยจำนวนมาก แม้บริการต่างๆ จะพยายามต่อสู้กับการโจมตีบัญชีผู้ใช้ช่องทางต่างๆ ทั้งการเปิดการล็อกอินสองขั้นตอน หรือการตั้งกฎรหัสผ่านให้ยากขึ้นเรื่อยๆ แม้ว่า NIST จะบอกให้เลิกตั้งกฎไปแล้ว ขอแค่อย่าใช้รหัสที่เคยหลุดมาแล้วก็พอก็ตามที แต่ผลสุดท้ายเรายังเห็นผู้ใช้ตั้งรหัสผ่านซ้ำกันไปมา ไม่ยอมเปิดใช้ฟีเจอร์ล็อกอินสองขั้นตอนหากไม่ใช่บัญชีองค์กรที่บังคับ หรือหากบังคับก็จะเลือกช่องทางที่สะดวกที่สุด เช่น SMS แต่ปลอดภัยน้อยที่สุด

1Password ผู้ให้บริการระบบจัดการรหัสผ่าน ประกาศเดินหน้าสนับสนุนแนวทาง Passkey ให้เป็นมาตรฐานของการล็อกอินยืนยันตัวตนเต็มรูปแบบ โดยตั้งแต่กลางปีนี้เป็นต้นไป (ฤดูร้อนอเมริกา) 1Password จะล็อกอินใช้งานด้วย Passkey เท่านั้น ไม่มีการกรอกรหัสผ่านรูปแบบเดิมอีกแล้ว รวมถึงผู้สมัครใช้งานใหม่ก็ไม่ต้องตั้งรหัสผ่านอีกต่อไป

วิธีการดังกล่าว 1Password ใช้คำว่า All In หรือไปแบบเต็มตัว ไม่มีทางเลือกอื่นอีกแล้ว ซึ่งบริษัทเคยเปิดตัวรองรับ Passkey ไปเมื่อปลายปีที่แล้ว

สำนักงานผู้ตรวจการกระทรวงมหาดไทยสหรัฐฯ (Department of Interior - DOI) รายงานถึงการตรวจสอบรหัสผ่านในระบบพบว่ามีการใช้รหัสผ่านที่อ่อนแอจำนวนมาก และผู้ตรวจสอบสามารถหารหัสผ่านจากค่าแฮชได้ถึง 16% ของผู้ใช้ทั้งหมดที่มีอยู่ 85,944 คนได้ภายใน 90 นาที และเมื่อหารหัสต่อไปก็สามารถหารหัสผ่านเจอถึง 21% ของผู้ใช้ทั้งหมด

Bitwarden ผู้ให้บริการซอฟต์แวร์จัดการรหัสผ่านโอเพนซอร์สชื่อดังได้ประกาศเข้าซื้อกิจการ Passwordless.dev บริษัทสัญชาติสวีเดนผู้พัฒนา API สำหรับการเปิดให้เว็บไซต์ต่างๆ รองรับการล็อกอินแบบไร้รหัสผ่านได้ง่ายๆ

บริการของ Passwordless.dev นั้นพัฒนาขึ้นบนมาตรฐานกลางอย่าง WebAuthn ที่รองรับการล็อกอินด้วย Face ID, Windows Hello, สแกนนิ้ว และ security key โดยที่นักพัฒนาไม่ต้องศึกษามาตรฐานของ W3C รวมถึงเสี่ยงพัฒนาเองแล้วเกิดช่องโหว่ด้านความปลอดภัย

บริการจัดการรหัสผ่าน Bitwarden เพิ่มฟีเจอร์ "Log in with device" สามารถเข้าถึงฐานข้อมูลรหัสผ่านได้โดยไม่ต้องใส่รหัสผ่านหลักอีก แต่อาศัยการกดยืนยันจากแอปในโทรศัพท์มือถือ บริษัทยืนยันว่ากระบวนการนี้ยังคงปลอดภัย และบริษัทไม่มีกุญแจถอดรหัสฐานข้อมูลอยู่กับบริษัทเอง

กระบวนการส่งกุญแจปลดล็อกฐานข้อมูลเป็นการส่งแบบ end-to-end จากโทรศัพท์มือถือไปยังเบราว์เซอร์โดยตรง ผู้ใช้ต้องตรวจสอบว่ากุญแจจากเบราว์เซอร์นั้นค่า fingerprint (เป็นคำภาษาอังกฤษ 5 คำ) ตรงกับที่แสดงในโทรศัพท์มือถือ และการปลดล็อกฐานข้อมูลรูปแบบนี้จะใช้ได้กับเบราว์เซอร์ที่เคยล็อกอินแบบปกติมาก่อนแล้วเท่านั้น รวมถึงที่ตัวแอปต้องเปิดฟีเจอร์ Approve login request เอง

NordPass ผู้พัฒนาแอปจัดการรหัสผ่าน ออกรายงานรหัสผ่านยอดนิยมประจำปี 2022 (Top 200 Most Common Passwords) โดยบอกว่าแม้ผู้คนจะตื่นตัวกับความปลอดภัยทางไซเบอร์มากขึ้น แต่พฤติกรรมเก่า ๆ ก็ยังคงอยู่

โดยรหัสผ่านยอดนิยม ที่รวบรวมจากนักวิจัยอิสระและพาร์ตเนอร์ จากฐานข้อมูลหลุดมาซึ่งรวบรวมไว้ขนาด 3TB พบว่า password คือรหัสผ่านยอดนิยมอันดับที่ 1 แซงหน้า 123456 แชมป์เก่าปีที่แล้วไปได้

รหัสผ่านยอดนิยมอื่นที่น่าสนใจ เช่น tinder Oscars batman euphoria encanto ซึ่งมาจากกระแสความนิยมในหัวข้อตามช่วงเวลานั้น

Google เตรียมเพิ่มฟีเจอร์ใหม่ที่สำคัญ 3 อย่างให้กับ Chrome เวอร์ชั่น 108 ที่กำลังจะปล่อยให้ผู้ใช้อัพเดตใช้งานกัน โดยมีทั้งระบบติดตามราคาของสินค้าบนร้านค้าออนไลน์, การเพิ่มแถบแสดงผลการค้นหาด้วย Google Search บริเวณด้านข้างของหน้าจอ รวมถึงการซิงก์รหัสผ่านของผู้ใช้จากการใช้งานอุปกรณ์ต่างๆ ของบัญชีผู้ใช้คนเดียวกัน

รายละเอียดของฟีเจอร์ใหม่ข้างต้นมีดังนี้

ไมโครซอฟท์เริ่มเปิดฟีเจอร์หน่วงเวลา หากผู้ใช้พยายามเข้าถึงไฟล์แชร์ผ่านโปรโตคอล SMB แต่ใส่รหัสผ่านผิด โดยค่าเริ่มต้นจะเป็นการหน่วงเวลา 2 วินาที ทำให้ในกรณีที่แฮกเกอร์เข้าถึงเน็ตเวิร์คได้และพยายามสแกนรหัสผ่านก็จะใช้เวลานานขึ้นมาก เพราะเดิมสามารถยิงได้วินาทีละ 300 ครั้งเลยทีเดียว

ฟีเจอร์นี้ใส่มาใน Windows Insider และ Windows Server Insider ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่ปิดการทำงานไว้เป็นค่าเริ่มต้น ในเดือนนี้ไมโครซอฟท์จะเริ่มเปิดการใช้งานเฉพาะ Window Insider ก่อน โดยปรับได้ทีละ 0.1 วินาที และได้สูงสุด 10 วินาที โดยไม่สามารถตั้งได้ว่าหากผิดซ้ำๆ แล้วให้หน่วงนานขึ้น

มาตรฐาน PCI-DSS ออกเวอร์ชั่น 4.0 เมื่อต้นเดือนกรกฎาคมที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่าง แต่ประเด็นหนึ่งที่สำคัญคือกระบวนการยืนยันตัวตนเข้าระบบที่ตอนนี้มาตรฐานไม่บังคับการเปลี่ยนรหัสผ่านทุก 90 วันแล้ว หากระบบมีการตรวจสอบความปลอดภัยเพิ่มเติม

องค์กรที่ใช้นโยบายบังคับเปลี่ยนรหัสผ่านทุก 90 วันยังคงใช้งานได้ต่อไปในมาตรฐานใหม่นี้ แต่หากมีการวิเคราะห์ความปลอดภัยต่อเนื่อง (dynamically analyzed) ก็สามารถปลดข้อบังคับการเปลี่ยนรหัสผ่านทุก 90 วันไปได้ ตัวมาตรฐานระบุว่าการวิเคราะห์ความปลอดภัยอาจจะใช้ข้อมูลเพิ่มเติม เช่น ตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้เข้าระบบ, พิกัดของผู้เข้าระบบ, หรือวิเคราะห์จากช่วงเวลา/ข้อมูลที่เข้าถึงว่าผิดปกติหรือไม่ และบล็อคการเข้าถึงหากพบความผิดปกติ

กูเกิลประกาศอัพเดตบริการจัดการรหัสผ่าน Google Password Manager ให้หน้าตาเหมือนกันทุกแพลตฟอร์ม

ก่อนหน้านี้ กูเกิลมีแอพ Password Manager ที่หน้าตาคล้ายๆ กันแต่ไม่เหมือนกันซะทีเดียว (ซิงก์ข้อมูลกับบัญชี Google Account ได้เหมือนกันหมด) คือบนเว็บ (โดเมนเท่ๆ คือ passwords.google), บน Chrome และบนแอพ Settings ของ Android

ประกาศครั้งนี้คือแอพทุกเวอร์ชันจะปรับมาใช้หน้าตา Password Manager แบบเดียวกับเวอร์ชันเว็บ และมีฟีเจอร์ทัดเทียมกับเวอร์ชันเว็บ เช่น การแจ้งเตือนว่าใช้รหัสซ้ำ รหัสผ่านไม่แข็งแรง รวมถึงสามารถกดปุ่มเพิ่มรหัสผ่านใหม่โดยตรง แบบไม่ต้องเข้าหน้าเว็บก่อน

แอปเปิลเปิดบริการ Passkeys บริการสร้าง เปิดทางให้ผู้ใช้ล็อกอินบริการต่างๆ ได้โดยง่าย ไม่มีการตั้งรหัสผ่านอีกต่อไป แต่อาศัยมาตรฐาน WebAuthn เพื่อขอล็อกอินกับตัวอุปกรณ์เช่น โน้ตบุ๊กหรือโทรศัพท์ได้เลย

กุญแจ Passkeys จะซิงก์ข้ามอุปกรณ์ของแอปเปิลผ่าน iCloud Keychain ทำให้สามารถล็อกอินด้วยอุปกรณ์อะไรก็ได้ หรือหากต้องการล็อกอินบนอุปกรณ์อื่นที่ไม่ใช่ของแอปเปิลก็ยังแสกน QR มาล็อกอินได้ แบบเดียวกับการล็อกอิน LINE บนเดสก์ทอป

แนวทางนี้ตรงกับแนวทางที่แอปเปิลประกาศร่วมกับไมโครซอฟท์และกูเกิลไว้ก่อนหน้านี้ว่าจะผลักดันมาตรฐานการล็อกอินแบบไร้รหัสผ่าน

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

ไมโครซอฟท์เพิ่มตัวสุ่มรหัสผ่านให้กับแอป Microsoft Authenticator ทำให้แอปมีความสามารถเทียบเท่ากับโปรแกรมจัดการรหัสผ่านเต็มรูปแบบมากยิ่งขึ้น

ตัวสุ่มรหัสผ่านของไมโครซอฟท์สามารถกำหนดเงื่อนไขได้บางส่วน เช่น กำหนดความยาว, ตัวอักษรพิเศษ, ตัวเลข แต่ไม่สามารถกำหนดรายละเอียดเช่นหลีกเลี่ยงตัวอักษรคล้ายกัน หรือสุ่มให้อ่านออกเสียงได้ง่ายเหมือนตัวจัดการรหัสผ่านหลายๆ ตัว

ฟีเจอร์นี้ใช้ได้แทบทุกที่ ทั้งผ่านแอป Authenticator บน iOS และ Android, ส่วนขยาย Autofill สำหรับ Chrome, และ Edge

ที่มา - Microsoft

NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)

ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ

Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

จากกรณีการแฮ็ก SolarWinds ครั้งประวัติศาสตร์ ที่ส่งผลให้หน่วยงานภาครัฐในหลายประเทศโดนแฮ็กตามไปด้วย ทำให้คณะกรรมาธิการด้านความมั่นคงของสภาผู้แทนราษฎรสหรัฐ เรียกผู้บริหารของ SolarWinds มาชี้แจง

ประเด็นหนึ่งที่น่าสนใจคือความอ่อนแอของระบบความปลอดภัย SolarWinds เอง โดยในปี 2019 มีนักวิจัยด้านความปลอดภัยค้นพบรหัสผ่าน "solarwinds123" ถูกโพสต์อยู่ในอินเทอร์เน็ตสาธารณะตั้งแต่ปี 2017 และพบว่าเป็นรหัสผ่านเข้าเซิร์ฟเวอร์ภายในของบริษัท (กรณีนี้ไม่เกี่ยวกับ SolarWinds ถูกแฮ็กโดยตรง แต่สะท้อนว่าบริษัทไม่ค่อยระวัง)

กูเกิลออก Chrome 88 รุ่นเสถียรตัวแรกของปี 2021 ของใหม่ไปโฟกัสอยู่ที่หน้าจัดการรหัสผ่าน (chrome://settings/passwords)

Ticketmaster บริษัทขายตั๋วในสหรัฐฯ ยอมความกับ FBI หลังถูกดำเนินคดีเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ด้วยการซื้อตัวพนักงานบริษัทคู่แข่ง แล้วเอารหัสผ่านระบบหลังบ้านของคู่แข่งมาให้ผู้บริหารของ Ticketmaster เข้าไปสำรวจได้ว่าคู่แข่งมีใครเป็นลูกค้าบ้าง

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

ทีมวิจัยของ vpnMentor พบฐานข้อมูลที่คาดว่าจะเป็นของกลุ่มแฮกเกอร์ที่เก็บผลการแฮกบัญชีผู้ใช้ Spotify ด้วยการเดารหัสผ่านไปเรื่อยๆ จนสามารถล็อกอินบัญชีผู้ใช้ได้ประมาณ 300,000 ถึง 350,000 ราย จากฐานข้อมูลที่มีชื่อผู้ใช้ทั้งหมด 380 ล้านรายการ

ฐานข้อมูล Elasticsearch ที่เปิดสู่อินเทอร์เน็ตนี้ไม่ได้มาจาก Spotify เอง แต่คาดว่าแฮกเกอร์น่าจะรวบรวมรายชื่อผู้ใช้มาจากแหล่งอื่นๆ จากนั้นค้นหาว่ามีบัญชีใดใช้รหัสผ่านที่คาดเดาได้ง่าย (credential stuffing attack)

ทาง vpnMentor พบฐานข้อมูลนี้ตั้งแต่ต้นเดือนกรกฎาคมที่ผ่านมาแล้วจึงแจ้งไปยัง Spotify ทางบริษัทได้ไล่รีเซ็ตรหัสผ่านของบัญชีที่ถูกแฮกในห้วงเวลา 12 วันหลังได้รับแจ้ง