Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้

แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง

GitHub ประกาศว่าผู้ใช้งานสามารถเปิดการใช้งาน Passkey ได้แล้วในสถานะ Public Beta โดยไปที่ Settings หัวข้อ Feature Preview ซึ่ง Passkey จะแทนที่ขั้นตอนใส่รหัสผ่านและ 2FA เดิม

Passkey เป็นวิธียืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน โดยใช้การยืนยันกับอุปกรณ์แทน ซึ่งใช้วิธีปลดล็อกด้วยข้อมูลอื่นเช่น ลายนิ้วมือ สแกนใบหน้า จึงปลอดภัยมากกว่าการยืนยันด้วยรหัสผ่านเดิม ซึ่งตอนนี้บริการของบริษัทเทคโนโลยีรายใหญ่ต่างทยอยรองรับ Passkey มากขึ้น

ที่มา: GitHub

ไมโครซอฟท์เพิ่มประกาศปรับสินค้ากลุ่ม Azure AD เป็นแบรนด์ Entra ID ที่เป็นบริการกลุ่มยืนยันตัวตนและแยกแบรนด์ออกมาก่อนหน้านี้ โดยไมโครซอฟท์ประกาศไว้แต่แรกว่าจะรวมบริการ Azure AD เข้ามาด้วย วันนี้ก็ประกาศแล้วว่าชื่อทั้งหมดจะเปลี่ยนวันที่ 1 ตุลาคมปีนี้

พร้อมกันนี้ไมโครซอฟท์ประกาศบริการใหม่ของ Entra อีก 2 ตัว คือ Microsoft Entra Internet Access บริการเกตเวย์แบบยืนยันตัวตนเพื่อให้แน่ใจว่ามีเฉพาะผู้ที่ได้รับสิทธิ์ใช้งานเท่านั้นจึงใช้งานได้ และ Microsoft Entra Private Access บริการเชื่อมต่อเน็ตเวิร์คแบบ Zero Trust ใช้งานแทน VPN

เรียกได้ว่าเป็นยุคของ Passkeys ก็ว่าได้ หลังจากบริษัทด้านเทคโนโลยีหลาย ๆ แห่ง เริ่มประกาศใช้งาน Passkeys แทนระบบ password แบบเก่าที่ถูกใช้มามากว่า 60 ปี ไม่ว่าจะเป็น Bitwarden, Paypal, Nordpass หรือแม้แต่ตัว Google Account สำหรับผู้ใช้ทั่วไป ต่างก็ประกาศรองรับ Passkeys แล้ว คราวนี้ก็มาถึงระบบที่ใช้งานในองค์กรต่าง ๆ อย่าง Google Workspace กันบ้าง

กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ

Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO

เมื่อไม่กี่วันที่ผ่านมา กูเกิลได้ประกาศเพิ่มคุณสมบัติซิงก์ข้อมูลข้ามอุปกรณ์ผ่านบัญชีกูเกิลของ Google Authenticator แอปจัดการรหัสผ่าน 2FA ซึ่งหลายคนรอคอยมานาน (หรือไม่รอแล้ว?) อย่างไรก็ตามฟีเจอร์นี้มาพร้อมประเด็นด้านความปลอดภัย

โดยนักวิจัยความปลอดภัยชื่อ Mysk เปิดเผยว่า จากการตรวจสอบทราฟิกในการซิงก์ข้อมูลของ Google Authenticator พบว่าข้อมูลที่รับ-ส่งเข้าเซิร์ฟเวอร์กูเกิลนั้นไม่มีการเข้ารหัสแบบ end-to-end จึงเป็นความเสี่ยงหากมีผู้เข้าถึงข้อมูลดังกล่าว และอาจสร้างรหัส 2FA ขึ้นมาซ้ำได้หากรู้ seed ของโค้ดนั้น

Google Authenticator โปรแกรมจัดการรหัส 2FA ประกาศอัพเดตฟีเจอร์สำคัญ ที่ผู้ใช้งานเรียกร้องมานาน นั่นคือสามารถซิงก์ข้อมูลผ่านบัญชีกูเกิลหลักได้แล้ว

ที่ผ่านมาผู้ใช้ Google Authenticator หากต้องการย้ายแอปไปที่อุปกรณ์ใหม่ จะต้องส่งออกข้อมูลและสแกนผ่านคิวอาร์โค้ดเท่านั้น ไม่สามารถย้ายด้วยบัญชีกูเกิลแบบบริการตัวอื่นได้

กูเกิลบอกว่า Google Authenticator เป็นโปรแกรมที่ออกมาตั้งแต่ปี 2010 เพื่อให้ผู้ใช้งานสามารถจัดการรหัสผ่านครั้งเดียวของ 2FA แต่ผู้ใช้งานก็พบปัญหาโดยเฉพาะกรณีอุปกรณ์สูญหาย ซึ่งทำให้ข้อมูลใน Google Authenticator ไม่สามารถกู้คืนได้ด้วย จึงเพิ่มความสามารถการซิงก์และกู้ข้อมูลผ่านบัญชีกูเกิลได้เข้ามา

PayPal เริ่มรองรับ Passkey มาตั้งแต่ปลายปีที่แล้ว โดยเริ่มรับรองบน iOS ก่อน

ล่าสุด PayPal รองรับ Passkey บน Android แล้ว ทั้งแอปและ paypal.com ผ่านเว็บบนมือถือ โดยจะเริ่มรองรับในสหรัฐก่อนขยายไปประเทศอื่นๆ ต่อไป โดยจะรองรับ Android 9 (ที่รองรับ Passkey) ขึ้นไป

ที่มา - PayPal

Nordpass แอปจัดการรหัสผ่าน ประกาศรองรับ Passkey โดยผู้ใช้งานสามารถเลือกเก็บข้อมูลคีย์เหล่านี้ได้สำหรับเว็บไซต์หรือแอปที่รองรับ

ในประกาศนั้น Nordpass บอกว่าตามที่บริษัทรายใหญ่ไม่ว่าจะเป็นไมโครซอฟท์ แอปเปิล กูเกิล ต่างสนับสนุน Passkey โดยมองว่าเป็นแนวทางอนาคตของการยืนยันตัวตน Nordpass จึงเพิ่มการรองรับ Passkey ด้วยนั่นเอง

สำหรับการใช้งานบนเบราว์เซอร์นั้น Firefox และ Chrome ตัว Extension ได้เพิ่มการรองรับ Passkey แล้ว ส่วน Safari จะออกมาภายในปีนี้

Nordpass เป็นแอปจัดการรหัสผ่านรายล่าสุดที่ประกาศสนับสนุน Passkey ก่อนหน้านี้ 1Password ก็ประกาศเตรียมรองรับ Passkey ภายในช่วงกลางปีนี้

GitHub ประกาศมาตรการใหม่ บังคับผู้ใช้ทุกคนที่ส่งโค้ดเข้าในระบบต้องเปิด 2FA ตามที่ประกาศไว้เมื่อปลายปี 2022 โดยจะเริ่มค่อยๆ บังคับตั้งแต่วันที่ 13 มีนาคมนี้เป็นต้นไป

การบังคับจะเป็นการแจ้งผู้ใช้บางกลุ่ม และเมื่อผู้ใช้ได้รับแจ้งเตือนแล้วจะมีเวลา 45 วันในการเปิด 2FA ขึ้นมาใช้งาน หากไม่เปิดใช้งานตามกำหนดก็จะใช้งานตามปกติไม่ได้จนกว่าจะเปิดใช้งาน

สำหรับกระบวนการใช้งาน 2FA นั้นทาง GitHub แก้ไขปัญหาโดยเฉพาะกรณีที่ผู้ใช้เข้าบัญชีตัวเองไม่ได้เพราะคอนฟิก 2FA ผิดพลาด มาตรการได้แก่

Twitter ประกาศจำกัดการยืนยันตัวตนแบบ 2 ปัจจัย (two-factor authentication หรือ 2FA) แบบส่งโค้ด SMS เป็นฟีเจอร์เฉพาะของสมาชิก Twitter Blue แบบเสียเงินเท่านั้น

ส่วนผู้ใช้แบบฟรี ยังใช้การยืนยัน 2FA ด้วยโค้ดจากแอพ authenticator และการใช้กุญแจฮาร์ดแวร์ ได้ตามปกติ

Twitter ให้เหตุผลว่าพบผู้ประสงค์ร้ายใช้การยืนยันตัวตนผ่าน SMS เยอะขึ้นเรื่อยๆ จึงจำกัดการใช้งานจากกลุ่มผู้ใช้ฟรี และสงวนไว้เฉพาะผู้ใช้ Blue เท่านั้น โดยมีระยะเปลี่ยนผ่านให้ 30 วันสำหรับผู้ใช้ฟรีที่ยืนยันตัวตนผ่าน SMS ให้ย้ายมาใช้การยืนยันตัวตนแบบอื่นแทน

1Password ผู้ให้บริการระบบจัดการรหัสผ่าน ประกาศเดินหน้าสนับสนุนแนวทาง Passkey ให้เป็นมาตรฐานของการล็อกอินยืนยันตัวตนเต็มรูปแบบ โดยตั้งแต่กลางปีนี้เป็นต้นไป (ฤดูร้อนอเมริกา) 1Password จะล็อกอินใช้งานด้วย Passkey เท่านั้น ไม่มีการกรอกรหัสผ่านรูปแบบเดิมอีกแล้ว รวมถึงผู้สมัครใช้งานใหม่ก็ไม่ต้องตั้งรหัสผ่านอีกต่อไป

วิธีการดังกล่าว 1Password ใช้คำว่า All In หรือไปแบบเต็มตัว ไม่มีทางเลือกอื่นอีกแล้ว ซึ่งบริษัทเคยเปิดตัวรองรับ Passkey ไปเมื่อปลายปีที่แล้ว

Chrome เวอร์ชันเดสก์ท็อป เพิ่มฟีเจอร์ยืนยันตัวตนด้วยไบโอเมทริก (เช่น ลายนิ้วมือ) ก่อนช่วยกรอกรหัสผ่านที่เซฟเก็บไว้ เพิ่มความปลอดภัยในการเข้าถึงรหัสผ่านบน Google Password Manager อีกชั้น

ฟีเจอร์นี้เหมาะกับคนที่ใช้คอมพิวเตอร์ร่วมกับคนอื่นๆ และกลัวคนอื่นเข้ามาล็อกอินด้วยบัญชีของเราได้ ก่อนหน้านี้ Chrome ใช้วิธียืนยันตัวตนด้วยรหัสผ่าน (master password) แต่ก็ไม่สะดวกเพราะต้องกรอกใหม่ทุกครั้ง การยืนยันด้วยตนด้วยไบโอเมทริกก็ช่วยให้สะดวกขึ้นกว่าเดิม

Chrome รองรับการยืนยันตัวตนด้วยไบโอเมทริกอยู่แล้ว แต่เฉพาะการกรอกรหัส CVC ตอนจ่ายเงินด้วยบัตรเครดิตเท่านั้น รอบนี้คือขยายมายังการกรอกรหัสผ่านด้วย

Bitwarden ผู้ให้บริการซอฟต์แวร์จัดการรหัสผ่านโอเพนซอร์สชื่อดังได้ประกาศเข้าซื้อกิจการ Passwordless.dev บริษัทสัญชาติสวีเดนผู้พัฒนา API สำหรับการเปิดให้เว็บไซต์ต่างๆ รองรับการล็อกอินแบบไร้รหัสผ่านได้ง่ายๆ

บริการของ Passwordless.dev นั้นพัฒนาขึ้นบนมาตรฐานกลางอย่าง WebAuthn ที่รองรับการล็อกอินด้วย Face ID, Windows Hello, สแกนนิ้ว และ security key โดยที่นักพัฒนาไม่ต้องศึกษามาตรฐานของ W3C รวมถึงเสี่ยงพัฒนาเองแล้วเกิดช่องโหว่ด้านความปลอดภัย

GitHub ประกาศเตรียมบังคับผู้ใช้ที่ส่งโค้ดขึ้นโครงการต่างๆ ต้องยืนยันตัวตนหลายขั้นตอน (multi-factor authentication - MFA) ภายในปี 2023 โดยจะเริ่มบังคับบางกลุ่มตั้งแต่เดือนมีนาคม 2023 เป็นต้นไป ผู้ใช้กลุ่มที่เข้าข่ายต้องเปิด MFA ได้แก่

Microsoft เผยว่าจะหยุดให้บริการแอปพลิเคชันระบบยืนยันตัวตน 2 ขั้นตอน Microsoft Authenticator บน Apple Watch ในเดือนมกราคมปีหน้า โดยให้เหตุผลว่าเพราะระบบปฏิบัติการ watchOS ไม่สามารถเข้ากันได้กับฟีเจอร์ความปลอดภัยของแอป

Microsoft แนะนำว่าให้ผู้ใช้ที่มีแอปอยู่บน Apple Watch ลบแอปออกได้เลย ส่วนแอปบน iPhone และ iPad จะยังใช้ได้ตามปกติ (บนอุปกรณ์ที่อัปเดต iOS 14 ขึ้นไป)

ที่มา: 9to5Mac

Chrome 108 Stable เริ่มรองรับการล็อกอินแบบไร้รหัสผ่านหรือ Passkey ตามที่กูเกิลประกาศไว้ตั้งแต่เดือนตุลาคม

Passkey เป็นวิธีการยืนยันตัวตนแบบใหม่ที่พยายามแก้ปัญหาเดิมๆ ของรหัสผ่าน ด้วยการใช้คู่กุญแจดิจิทัล (private/public key) ยืนยันตัวตนแทน แต่ปรับให้ใช้ง่ายขึ้นด้วยการซิงก์กุญแจผ่านคลาวด์ของผู้ให้บริการ (ในที่นี้คือ Google Password Manager แต่ถ้าเป็นของค่ายอื่นก็อย่างเช่น แอปเปิลซิงก์ผ่าน iCloud) ตอนนี้เริ่มมีบริการออนไลน์ดังๆ อย่าง PayPal เริ่มรองรับการล็อกอินวิธีนี้แล้ว

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDO Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา - 1Password

PayPal ประกาศรองรับการล็อกอินแบบ Passkeys ที่รองรับโดยแพลตฟอร์มของกูเกิล แอปเปิล ไมโครซอฟท์ ทำให้ไม่ต้องใช้รหัสผ่านในการล็อกอินอีกต่อไป

Passkeys เป็นมาตรฐานที่ร่วมกันพัฒนาโดย FIDO Alliance และ W3C แนวคิดของมันคือยืนยันตัวตนผ่านมาตรฐาน WebAuthn ด้วยกุญแจเข้ารหัส (cryptographic key) ที่เก็บอยู่ในอุปกรณ์ของเราอยู่แล้ว โดยซิงก์กุญแจกไปยังอุปกรณ์อื่นๆ ผ่านบริการของเจ้าของแพลตฟอร์ม (เช่น iCloud หรือ Google Password Manager) อีกที (อธิบายง่ายๆ มันคือการล็อกอินด้วย private key แบบเป็นมิตรกับผู้ใช้ทั่วไป)

กูเกิลประกาศรองรับการล็อกอินแบบ Passkey บนโทรศัพท์แอนดรอยด์และเบราว์เซอร์โครม หลังจากก่อนหน้านี้แอปเปิลรองรับไปก่อนแล้ว ทำให้สามารถใช้โทรศัพท์ล็อกอินบริการต่างๆ ได้โดยไม่ต้องตั้งรหัสผ่านอีกต่อไป

Passkey เป็นมาตรฐานบน WebAuthn อีกทีหนึ่ง เปิดทางให้บริการต่างๆ สามารถยืนยันตัวตนผู้ใช้ด้วยกุญแจเข้ารหัสที่เก็บอยู่ในอุปกรณ์ของผู้ใช้ ทั้งโทรศัพท์มือถือและเบราว์เซอร์ โดยกุญแจนี้สามารถซิงก์ข้ามเครื่องไปมาได้ ในกรณีที่ผู้ใช้ต้องการล็อกอินบนอุปกรณ์ที่ไม่รองรับ Passkey แต่สร้างบัญชีไว้โดยไม่ได้ตั้งรหัสผ่าน ก็สามารถใช้งานตั้งล็อกอินผ่าน QR ได้ คล้ายกับการล็อกอิน LINE บนเดสก์ทอปทุกวันนี้

Activision Blizzard เดินหน้าบังคับยืนยันตัวตนบัญชี Battle.net ด้วยเบอร์โทรศัพท์ ตามแนวทางที่เริ่มใน Overwatch 2 โดยเกมที่สองที่ตามมาคือ Call of Duty: Modern Warfare II เกมใหญ่ของค่ายประจำปีนี้ (กำหนดขาย 28 ตุลาคม)

ในหน้าเว็บของ Battle.net ระบุว่าบัญชีเกม Call of Duty: Modern Warfare II รวมถึงบัญชีที่สร้างใหม่ของเกม Modern Warfare ภาคแรก จะต้องยืนยันตัวตนด้วยเบอร์โทรศัพท์

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

ทีมวิศวกรชีวการแพทย์จาก Purdue University และ National Institute of Agricultural Sciences จากเกาหลีใต้ ร่วมมือกันวิจัยพัฒนาแผ่น QR code แบบกินได้ ใช้สำหรับติดภายในขวดบรรจุเหล้าหรือติดบนเม็ดยา ทำให้ผู้ที่ต้องการซื้อเหล้าหรือผู้ที่จะทานยาสามารถใช้สมาร์ทโฟนเพื่อสแกนตรวจสอบยืนยันได้ว่าเหล้าขวดดังกล่าวหรือยาเม็ดดังกล่าวเป็นของแท้หรือไม่

ในขณะที่สติ๊กเกอร์ป้องกันการปลอมแปลงที่ใช้กันในปัจจุบันนี้สามารถติดลงได้บนกล่องหรือขวดที่เป็นบรรจุภันฑ์ภายนอกเท่านั้น จุดอ่อนประการแรกคือการปลอมแปลง QR code ที่เป็นงานพิมพ์บรรจุภัณฑ์ทั่วไปก็ยังทำได้ไม่ยากนัก ในขณะที่จุดอ่อนอีกประการคือมีความเสี่ยงที่จะพบเหล้าปลอมหรือยาปลอมที่อาศัยการสวมรอยนำเอาสินค้าปลอมมาใส่ในบรรุจภัณฑ์จริงได้

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

แอปเปิลอัพเดตแอพพลิเคชัน iCloud บน Windows เพิ่มการรองรับ 2FA สำหรับตัวจัดการรหัสผ่าน iCloud‌ Keychain ซึ่งเป็นเครื่องมือใหม่ที่เพิ่มเข้ามาตั้งแต่ปีที่แล้ว ทั้งนี้โปรแกรม iCloud บน Windows รองรับการทำงานหลายส่วนรวมทั้ง iCloud Drive และ Photos ด้วย

การรองรับ 2FA ทำให้ผู้ใช้งานบริการต่าง ๆ ที่ต้องใช้รหัสผ่านสองชั้น สามารถเพิ่มการสร้างรหัส 2FA ผ่านส่วนจัดการรหัสผ่านของ iCloud ได้เลย เหมือนกับโปรแกรมจัดการรหัสผ่านอื่น

ทั้งนี้ 2FA ของส่วนจัดการรหัสผ่านของ iCloud บน Windows รองรับเฉพาะเบราว์เซอร์ Edge และ Chrome เท่านั้น ไม่รองรับ Firefox