ไมโครซอฟท์รวบบริการยืนยันตัวตนผู้ใช้เข้าเป็นชุดในชื่อ Microsoft Entra

By lew Founder on Tag: Microsoft, Authentication, Security, Entra, Active Directory, Microsoft Azure
Microsoft

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

Read more

Apple, Microsoft และ Google ประกาศความร่วมมือผลักดันล็อกอินไม่ต้องใช้รหัสผ่าน มาตรฐาน FIDO

By arjin Writer on Tag: Passkey, FIDO, Apple, Microsoft, Google, Standard, Security, Authentication, Password
Passkey

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

Read more

GitHub บังคับบัญชีนักพัฒนาต้องเปิดใช้ 2FA มีผลภายในสิ้นปี 2023

By arjin Writer on Tag: GitHub, Security, Authentication
GitHub

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

Read more

AIS เปิดบริการ Public IDP ยืนยันตัวตนด้วยแอป myAIS ผ่านเครือข่าย NDID

By lew Founder on Tag: AIS, NDID, Authentication
AIS

วันนี้ในงาน NDID Day ทาง AIS ประกาศเปิดบริการ Public IDP (identity provider) ให้บริการยืนยันตัวตนแก่บริการอื่นๆ เช่น การเปิดบัญชีธนาคาร, การสมัครกองทุน, หรือการใช้บริการประกันภัย

ที่ผ่านมาทาง AIS ใช้จุดบริการของตัวเองกว่า 16,277 จุดให้บริการ IDP Agent เป็นบริการแสดงตัวตนที่ลูกค้าจะต้องไปแสดงตัวเพื่อพิสูจน์ตัวตน การขยายบริการเป็น Public IDP จะทำให้ผู้ใช้บริการ myAIS สามารถแสดงตัวได้ทันที จากเดิมที่ผู้ให้บริการ IDP มักเป็นธนาคารเป็นหลัก

ตอนนี้ยังไม่มีกำหนดว่าบริการ Public IDP จะเปิดให้บริการจริงช่วงใด แต่ทาง AIS ระบุว่าจะเปิดเร็วๆ นี้

Read more

ไมโครซอฟท์เผยสถิติ 22% ของบัญชี Azure Active Directory เปิดการล็อกอินสองชั้น 2FA

By mk Founder on Tag: Microsoft Azure, Active Directory, Microsoft, Authentication, Security
Microsoft Azure

ไมโครซอฟท์ออกรายงานสถิติด้านความปลอดภัยไซเบอร์ชื่อ Cyber Signals เป็นครั้งแรก สิ่งที่น่าสนใจคือการเปิดเผยข้อมูลภายในของบริการไมโครซอฟท์เอง

Read more

GitHub เริ่มบังคับผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 อันดับแรก ต้องล็อกอิน 2FA

By mk Founder on Tag: NPM, GitHub, Authentication, Security
NPM

GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

Read more

ทำเนียบขาวแจ้งเตือนหน่วยงานภาครัฐ ห้ามใช้ SMS ยืนยันตัวตนเพราะไม่ปลอดภัยมากพอ

By mk Founder on Tag: Whitehouse, Authentication, SMS, Security, Cybersecurity
Whitehouse

Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

Read more

Chrome หยุดซัพพอร์ต U2F API รุ่นเดิม ย้ายไป WebAuthn เพื่อล็อกอินด้วย USB Key

By mk Founder on Tag: U2F, Chrome, Security, Authentication, FIDO
U2F

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

Read more

Salesforce บังคับผู้ใช้ต้องล็อกอินแบบ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ ห้ามใช้ SMS หรือโทรศัพท์

By lew Founder on Tag: Salesforce, Authentication, Security
Salesforce

Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Read more

Facebook ขยายโครงการ Protect ให้คนดัง-นักการเมือง ล็อกอิน 2FA ป้องกันโดนแฮ็กบัญชี

By mk Founder on Tag: Facebook, Authentication, Security
Facebook

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Read more

การล็อกอินแบบสองขั้นตอนและแบบไม่ใช้รหัสผ่านใน Synology DSM 7.0

By lew Founder on Tag: Synology, Authentication, FIDO
Synology

ปัญหารหัสผ่านรั่วไหล หรือรหัสผ่านไม่ปลอดภัยเพียงพอเป็นปัญหาของบริการออนไลน์จำนวนมาก ในบริการออนไลน์จากผู้ให้บริการรายใหญ่ๆ มักมีความสามารถในการดูแลบริการ ไล่บล็อคไอพีของบอตที่ยิงรหัสผ่าน แต่กับเซิร์ฟเวอร์ขนาดเล็กที่ใช้งานในบ้านหรือในธุรกิจขนาดเล็กนั้นหากตั้งเซิร์ฟเวอร์ออกอินเทอร์เน็ตก็มักจะไม่มีเจ้าหน้าที่หรือระบบมอนิเตอร์มาตรวจสอบการล็อกอินผิดปกติจริงจัง ส่งผลให้มีความเสี่ยงถูกยิงรหัสผ่านจนคนร้ายยึดเครื่องได้โดยง่าย

Read more

GitHub บังคับบัญชีแพ็กเกจ npm ยอดนิยม ล็อกอิน 2FA ป้องกันการแฮ็กแล้วปล่อยมัลแวร์

By mk Founder on Tag: NPM, GitHub, Security, Authentication
NPM

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

Read more

กูเกิลแจกฮาร์ดแวร์คีย์ 10,000 ชิ้นให้นักข่าว-นักเคลื่อนไหว ป้องกันภัยจากการสอดส่อง

By mk Founder on Tag: Google, Security, Authentication
Google

กูเกิลประกาศแจกคีย์ความปลอดภัย 10,000 ชิ้นให้กับนักข่าว นักการเมือง นักเคลื่อนไหวทั่วโลก ที่กำลังเผชิญการสอดส่องโดยรัฐ และอาจถูกแฮ็กบัญชีเพื่อดูว่าทำอะไรอยู่

บัญชีกูเกิลมีฟีเจอร์ใช้งานความปลอดภัยระดับสูง (Advanced Protection Program หรือ APP) ที่บังคับต้องล็อกอินด้วยคีย์ฮาร์ดแวร์เท่านั้น ช่วยยกระดับความปลอดภัยของบัญชีเพิ่มอีกมาก กูเกิลจึงตัดสินใจแจกคีย์เพื่อให้คนที่มีความเสี่ยงสูงเหล่านี้ สามารถใช้งาน APP ได้ด้วย

Read more

Google เตรียมบังคับเปิดการยืนยันตัวตน 2 ขั้นผ่านมือถือ ภายในสิ้นปีนี้

By nismod Writer on Tag: Google, Authentication, Security
Google

Google เคยประกาศช่วงเดือนพฤษภาคมว่าจะบังคับการยืนยันตัวตน 2 ขั้น (2FA/2SV) แบบดีฟอลต์ แต่ยังไม่ระบุช่วงเวลา

Read more

YubiKey Bio กุญแจล็อกอินพร้อมสแกนลายนิ้วมือจาก Yubico พร้อมวางจำหน่ายแล้ว เริ่มต้น 80 ดอลลาร์

By nutmos Writer on Tag: Yubico, Security, Authentication, U2F
Yubico

Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว

Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น

Read more

Microsoft เปิดให้ผู้ใช้ "ลบรหัสผ่าน" แล้วใช้แอพ Authenticator หรือกุญแจ U2F อย่างเดียว

By BlackMiracle Writer on Tag: Microsoft, Security, Password, U2F, Authentication
Microsoft

Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

Read more

Cloudflare ทดลองระบบทดแทน CAPTCHA ยืนยันว่าเป็นคนด้วยการสแกนนิ้ว-หน้า

By mk Founder on Tag: Cloudflare, CAPTCHA, Biometric, Authentication
Cloudflare

ต่อจากข่าว Cloudflare เลิกใช้ CAPTCHA เปลี่ยนมาตรวจสอบบ็อต/คนด้วย USB Key ด้วยวิธีที่มีชื่อเรียกอย่างเป็นทางการว่า "Cryptographic Attestation of Personhood"

ล่าสุด Cloudflare ขยายอุปกรณ์ที่รองรับให้กว้างขึ้นแล้ว โดยรองรับ biometric หลากหลายแพลตฟอร์ม เช่น Apple Face ID, Windows Hello, Android Biometric Authentication เราสามารถยืนยันว่าเป็นมนุษย์ด้วยการสแกนหน้าหรือสแกนนิ้ว

Read more

GitHub หยุดรองรับการล็อกอินแอปด้วยรหัสผ่าน มีผลวันนี้ ต้องล็อกอินด้วย Token เท่านั้น

By mk Founder on Tag: GitHub, Password, Authentication
GitHub

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

Read more

กูเกิลเลิกขายกุญแจ U2F Titan รุ่น Bluetooth เพราะอุปกรณ์รองรับ NFC กันหมดแล้ว

By mk Founder on Tag: Google, U2F, Security, Bluetooth, Authentication
Google

กูเกิลเริ่มวางขายกุญแจ U2F Titan Security Key มาตั้งแต่ปี 2018 โดยแยกเป็นรุ่น USB-A/NFC และรุ่น USB-A/Bluetooth แล้วออกรุ่น USB-C ตามมาในปี 2019

ล่าสุดกูเกิลประกาศหยุดขายกุญแจ Titan รุ่น USB-A/Bluetooth แล้ว ด้วยเหตุผลว่าสมาร์ทโฟนยุคใหม่รองรับ NFC กันหมดแล้ว ความจำเป็นของกุญแจแบบ Bluetooth จึงน้อยลงไป (แต่กุญแจเดิมก็ยังใช้งานได้ตามปกติ)

Read more

กูเกิลเลิกใช้ Sign-in JavaScript library ปี 2023, ให้ย้ายไป Google Identity Services

By mk Founder on Tag: Google, Authentication, Development
Google

กูเกิลประกาศหยุดรองรับ Google Sign-in JavaScript library สำหรับเว็บไซต์ที่ล็อกอินด้วยบัญชีกูเกิล หลังเปิดตัว Google Identity Services ที่เป็น SDK ตัวใหม่ เมื่อไม่กี่วันก่อน

Google Sign-in JavaScript library ของเดิมจะสามารถใช้งานได้ถึงวันที่ 31 มีนาคม 2023 โดยกูเกิลออกเอกสารคู่มือการย้ายมาใช้ SDK ตัวใหม่ ให้เรียบร้อยแล้ว

Read more
Subscribe to Authentication