Tags:
Node Thumbnail

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

Tags:
Node Thumbnail

ทีมวิศวกรชีวการแพทย์จาก Purdue University และ National Institute of Agricultural Sciences จากเกาหลีใต้ ร่วมมือกันวิจัยพัฒนาแผ่น QR code แบบกินได้ ใช้สำหรับติดภายในขวดบรรจุเหล้าหรือติดบนเม็ดยา ทำให้ผู้ที่ต้องการซื้อเหล้าหรือผู้ที่จะทานยาสามารถใช้สมาร์ทโฟนเพื่อสแกนตรวจสอบยืนยันได้ว่าเหล้าขวดดังกล่าวหรือยาเม็ดดังกล่าวเป็นของแท้หรือไม่

ในขณะที่สติ๊กเกอร์ป้องกันการปลอมแปลงที่ใช้กันในปัจจุบันนี้สามารถติดลงได้บนกล่องหรือขวดที่เป็นบรรจุภันฑ์ภายนอกเท่านั้น จุดอ่อนประการแรกคือการปลอมแปลง QR code ที่เป็นงานพิมพ์บรรจุภัณฑ์ทั่วไปก็ยังทำได้ไม่ยากนัก ในขณะที่จุดอ่อนอีกประการคือมีความเสี่ยงที่จะพบเหล้าปลอมหรือยาปลอมที่อาศัยการสวมรอยนำเอาสินค้าปลอมมาใส่ในบรรุจภัณฑ์จริงได้

Tags:
Node Thumbnail

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

Tags:
Node Thumbnail

แอปเปิลอัพเดตแอพพลิเคชัน iCloud บน Windows เพิ่มการรองรับ 2FA สำหรับตัวจัดการรหัสผ่าน iCloud‌ Keychain ซึ่งเป็นเครื่องมือใหม่ที่เพิ่มเข้ามาตั้งแต่ปีที่แล้ว ทั้งนี้โปรแกรม iCloud บน Windows รองรับการทำงานหลายส่วนรวมทั้ง iCloud Drive และ Photos ด้วย

การรองรับ 2FA ทำให้ผู้ใช้งานบริการต่าง ๆ ที่ต้องใช้รหัสผ่านสองชั้น สามารถเพิ่มการสร้างรหัส 2FA ผ่านส่วนจัดการรหัสผ่านของ iCloud ได้เลย เหมือนกับโปรแกรมจัดการรหัสผ่านอื่น

ทั้งนี้ 2FA ของส่วนจัดการรหัสผ่านของ iCloud บน Windows รองรับเฉพาะเบราว์เซอร์ Edge และ Chrome เท่านั้น ไม่รองรับ Firefox

Tags:
Node Thumbnail

PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี

โครงการที่เข้าข่ายสำคัญยิ่งยวดจะคำนวณจากโครงการที่มียอดดาวน์โหลดสูงสุด 1% แรกจากโครงการบน PyPI ทั้งหมด 350,000 โครงการในห้วงเวลา 6 เดือน ดังนั้นจึงมีโครงการชุดแรกเข้าข่าย 3,500 โครงการ แต่รายชื่อโครงการจะคำนวณใหม่ทุกวัน และโครงการที่หลุดจาก 1% แรกก็ยังได้สถานะสำคัญยิ่งยวดต่อไป ทำให้โดยรวมจะมีโครงการที่เข้าข่ายเกิน 1% และทางกูเกิลก็เตรียมคูปองสำหรับสั่งซื้อกุญแจไว้ให้ทั้งหมด 4,000 ชุด

Tags:
Node Thumbnail

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

Tags:
Node Thumbnail

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

Tags:
Node Thumbnail

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

Tags:
Node Thumbnail

วันนี้ในงาน NDID Day ทาง AIS ประกาศเปิดบริการ Public IDP (identity provider) ให้บริการยืนยันตัวตนแก่บริการอื่นๆ เช่น การเปิดบัญชีธนาคาร, การสมัครกองทุน, หรือการใช้บริการประกันภัย

ที่ผ่านมาทาง AIS ใช้จุดบริการของตัวเองกว่า 16,277 จุดให้บริการ IDP Agent เป็นบริการแสดงตัวตนที่ลูกค้าจะต้องไปแสดงตัวเพื่อพิสูจน์ตัวตน การขยายบริการเป็น Public IDP จะทำให้ผู้ใช้บริการ myAIS สามารถแสดงตัวได้ทันที จากเดิมที่ผู้ให้บริการ IDP มักเป็นธนาคารเป็นหลัก

ตอนนี้ยังไม่มีกำหนดว่าบริการ Public IDP จะเปิดให้บริการจริงช่วงใด แต่ทาง AIS ระบุว่าจะเปิดเร็วๆ นี้

Tags:
Node Thumbnail

ไมโครซอฟท์ออกรายงานสถิติด้านความปลอดภัยไซเบอร์ชื่อ Cyber Signals เป็นครั้งแรก สิ่งที่น่าสนใจคือการเปิดเผยข้อมูลภายในของบริการไมโครซอฟท์เอง

Tags:
Node Thumbnail

GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง ทำให้เกิดปัญหาผู้ดูแลถูกแฮ็กบัญชี แล้วเปลี่ยนแพ็กเกจที่ยัดไส้มัลแวร์อยู่บ่อยครั้ง สร้างผลกระทบเป็นวงกว้าง หนึ่งในมาตรการของ GitHub คือเพิ่มความปลอดภัยของบัญชีผู้ดูแลก่อน โดยเริ่มจากกลุ่ม Top 100 และขั้นต่อไปคือ GitHub จะบังคับ 2FA กับแพ็กเกจที่มียอดดาวน์โหลดเกิน 1 ล้านครั้งต่อสัปดาห์ หรือมีโครงการอื่นเรียกใช้งานเกิน 500 โครงการ

Tags:
Node Thumbnail

Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

Tags:
Node Thumbnail

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

Tags:
Node Thumbnail

Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Salesforce บังคับใช้ MFA โดยระบุชัดเจนว่าการยืนยันตัวตนผ่านโทรศัพท์, SMS, และอีเมล นั้นไม่นับเป็นการยืนยันตัวตนที่น่าเชื่อถือ ต้องใช้กระบวนการยืนยันตัวตนสมัยใหม่ เช่น แอป TOTP เช่น Google Authenticator หรือ Microsoft Authenticator, กุญแจ U2F/WebAuthn, ตลอดจนการยืนยันตัวตนกับอุปกรณ์ เช่น Touch ID/Face ID/Windows Hello

Tags:
Node Thumbnail

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Tags:
Node Thumbnail

ปัญหารหัสผ่านรั่วไหล หรือรหัสผ่านไม่ปลอดภัยเพียงพอเป็นปัญหาของบริการออนไลน์จำนวนมาก ในบริการออนไลน์จากผู้ให้บริการรายใหญ่ๆ มักมีความสามารถในการดูแลบริการ ไล่บล็อคไอพีของบอตที่ยิงรหัสผ่าน แต่กับเซิร์ฟเวอร์ขนาดเล็กที่ใช้งานในบ้านหรือในธุรกิจขนาดเล็กนั้นหากตั้งเซิร์ฟเวอร์ออกอินเทอร์เน็ตก็มักจะไม่มีเจ้าหน้าที่หรือระบบมอนิเตอร์มาตรวจสอบการล็อกอินผิดปกติจริงจัง ส่งผลให้มีความเสี่ยงถูกยิงรหัสผ่านจนคนร้ายยึดเครื่องได้โดยง่าย

Tags:
Node Thumbnail

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

Tags:
Node Thumbnail

กูเกิลประกาศแจกคีย์ความปลอดภัย 10,000 ชิ้นให้กับนักข่าว นักการเมือง นักเคลื่อนไหวทั่วโลก ที่กำลังเผชิญการสอดส่องโดยรัฐ และอาจถูกแฮ็กบัญชีเพื่อดูว่าทำอะไรอยู่

บัญชีกูเกิลมีฟีเจอร์ใช้งานความปลอดภัยระดับสูง (Advanced Protection Program หรือ APP) ที่บังคับต้องล็อกอินด้วยคีย์ฮาร์ดแวร์เท่านั้น ช่วยยกระดับความปลอดภัยของบัญชีเพิ่มอีกมาก กูเกิลจึงตัดสินใจแจกคีย์เพื่อให้คนที่มีความเสี่ยงสูงเหล่านี้ สามารถใช้งาน APP ได้ด้วย

วิธีการแจกคีย์ของกูเกิลจะทำผ่านองค์กรพาร์ทเนอร์ เช่น International Foundation for Electoral Systems, UN Women Generation Equality Action Coalition for Technology and Innovation, Defending Digital Campaigns

Tags:
Node Thumbnail

Google เคยประกาศช่วงเดือนพฤษภาคมว่าจะบังคับการยืนยันตัวตน 2 ขั้น (2FA/2SV) แบบดีฟอลต์ แต่ยังไม่ระบุช่วงเวลา

ล่าสุดประกาศแล้วว่าจะบังคับบัญชีผู้ใช้งาน Google 150 ล้านคนและบัญชี YouTube Creator 2 ล้านให้ใช้ภายในสิ้นปีนี้ โดย Google จะเริ่มบังคับจากแอคเคาท์ที่การตั้งค่ามีความพร้อมในการเปิดการยืนยันตัวตนก่อน (ตรวจสอบจากหน้า Security Checkup และบอกด้วยว่าการยืนยันตัวตน 2 ขั้นอาจไม่ได้สะดวกสบายสำหรับทุกคน ตอนนี้กำลังพัฒนาแมคนาคินหรือเทคโนโลยีที่ทำให้กระบวนการยืนยันตัวตน 2 ขั้นเป็นไปอย่างราบรื่นที่สุด

Tags:
Node Thumbnail

Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว

Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น

YubiKey Bio Series ปัจจุบันมีให้เลือก 2 แบบ คือ YubiKey Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-A ราคา 80 ดอลลาร์ และ YubiKey C Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-C ราคา 85 ดอลลาร์

Tags:
Node Thumbnail

Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

Tags:
Node Thumbnail

ต่อจากข่าว Cloudflare เลิกใช้ CAPTCHA เปลี่ยนมาตรวจสอบบ็อต/คนด้วย USB Key ด้วยวิธีที่มีชื่อเรียกอย่างเป็นทางการว่า "Cryptographic Attestation of Personhood"

ล่าสุด Cloudflare ขยายอุปกรณ์ที่รองรับให้กว้างขึ้นแล้ว โดยรองรับ biometric หลากหลายแพลตฟอร์ม เช่น Apple Face ID, Windows Hello, Android Biometric Authentication เราสามารถยืนยันว่าเป็นมนุษย์ด้วยการสแกนหน้าหรือสแกนนิ้ว

ผู้สนใจสามารถลองได้จากหน้าเว็บ https://cloudflarechallenge.com ผมลองทดสอบด้วย Windows Hello ก็พบว่าสามารถใช้งานได้แล้ว

Tags:
Node Thumbnail

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

Tags:
Node Thumbnail

กูเกิลเริ่มวางขายกุญแจ U2F Titan Security Key มาตั้งแต่ปี 2018 โดยแยกเป็นรุ่น USB-A/NFC และรุ่น USB-A/Bluetooth แล้วออกรุ่น USB-C ตามมาในปี 2019

ล่าสุดกูเกิลประกาศหยุดขายกุญแจ Titan รุ่น USB-A/Bluetooth แล้ว ด้วยเหตุผลว่าสมาร์ทโฟนยุคใหม่รองรับ NFC กันหมดแล้ว ความจำเป็นของกุญแจแบบ Bluetooth จึงน้อยลงไป (แต่กุญแจเดิมก็ยังใช้งานได้ตามปกติ)

Pages