Authentication

กูเกิลเปิดตัว Google Identity Services SDK ใหม่สำหรับล็อกอินด้วยบัญชีกูเกิล

By mk

on 4 August 2021 - 09:54 Tag: Google, Authentication, Development

Google

กูเกิลประกาศรวม API ด้านการล็อกอินและยืนยันตัวตนหลายๆ ตัว (ที่กระจัดกระจาย) เข้าด้วยกันเป็นตัวเดียว ภายใต้ชื่อ Google Identity Services เพื่อให้นักพัฒนาเว็บ-แอพที่ต้องการเรียกใช้การล็อกอินผ่านบัญชีกูเกิล มี SDK เหลือเพียงตัวเดียวไม่ให้สับสน

ระบบล็อกอินภายใต้ Google Identity Services SDK มีด้วยกัน 2 วิธี ทั้งสองวิธีจะใช้ token ยืนยันตัวตนว่าล็อกอินกับบัญชีกูเกิลแล้วจริงๆ ไม่ต้องใช้รหัสผ่าน

Twitter เพิ่มทางเลือกล็อกอินด้วย Google Account หรือ Apple ID ได้แล้ว

By arjin

on 3 August 2021 - 01:52 Tag: Twitter, Authentication

Twitter

Twitter ประกาศเพิ่มสองทางเลือกสำหรับการล็อกอินหรือสมัครสร้างบัญชีใหม่ โดยสามารถใช้ Google Account หรือ Apple ID (ผ่าน Sign in with Apple) ในการล็อกอินได้แล้ว

ทั้งนี้การล็อกอินผ่านบัญชีกูเกิล จะรองรับการล็อกอินผ่านทั้งแอปและบนเว็บ ส่วนการล็อกอินด้วย Apple ID รองรับเฉพาะแอปบน iOS ในตอนนี้ โดยเวอร์ชันบนเว็บจะมีเร็ว ๆ นี้

ทางเลือกใหม่ที่เพิ่มมานี้ น่าจะเพิ่มความสะดวกสำหรับคนที่ต้องการสมัครบัญชีใหม่ แต่ก็อาจดูแปลกสำหรับผู้ใช้ปัจจุบันเพราะ Twitter เอง ก็มีบริการใช้บัญชี Twitter ในการล็อกอินเข้าสู่ระบบต่าง ๆ ด้วยอยู่แล้ว

Google Authenticator บน iOS ออกอัพเดต รองรับการยืนยันตัวตนก่อนใช้งานด้วย Face ID/Touch ID

By arjin

on 26 June 2021 - 15:19 Tag: Google, Authentication

Google

กูเกิลออกอัพเดต Google Authenticator บน iOS และ iPadOS เวอร์ชัน 3.2.0 (ห่างจากเวอร์ชันก่อนหน้าครึ่งปี) โดยมีฟีเจอร์ใหม่ที่สำคัญคือรองรับการยืนยันตัวตนด้วย Touch ID หรือ Face ID ก่อนเข้าใช้งานเพื่อรับรหัสผ่าน 2FA

ฟีเจอร์นี้กูเกิลเรียกว่า Privacy Screen แบบเดียวกับในแอป Google Drive ที่เพิ่มมากก่อนหน้านี้ นอกจากนี้ยังสามารถกำหนดว่าให้มีการยืนยันตัวตนซ้ำเมื่อเวลาผ่านไปเท่าใดได้ด้วย

Apple สาธิตการล็อกอินแบบไม่ใช้รหัสผ่านด้วย Passkey ใน iCloud Keychain

By arjin

on 11 June 2021 - 07:25 Tag: Apple, Security, Authentication, iCloud, Face ID, Touch ID

Apple

ในงาน WWDC21 แอปเปิลได้นำเสนอรูปแบบใหม่ของการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) เรียกว่า Passkeys in iCloud Keychain โดยใช้วิธีการรับรองตัวตนแบบเดียวกับ WebAuthn สร้างกุญแจไว้ที่ iCloud Keychain

ตัวอย่างที่แอปเปิลสาธิตนั้น สามารถสร้างบัญชีผู้ใช้งานใหม่หรือล็อกอินโดยยืนยันผ่าน Touch ID และ Face ID เมื่อระบุชื่อผู้ใช้งาน ทำให้เสร็จสิ้นการยืนยันตัวตนในขั้นตอนเดียว แต่ยังมีความปลอดภัยและไม่ผูกติดกับอุปกรณ์ เนื่องจากอยู่ที่ iCloud Keychain

Cloudflare เริ่มเช็คว่าเป็นคนหรือบ็อตแบบไร้ CAPTCHA ตรวจสอบด้วย USB Key แทน

By mk

on 14 May 2021 - 19:52 Tag: Cloudflare, Authentication, CAPTCHA

Cloudflare

ในฐานะบริษัทจัดการทราฟฟิกอินเทอร์เน็ตรายใหญ่ Cloudflare ย่อมเจอปัญหาบ็อตในปริมาณมหาศาล ที่ผ่านมาโซลูชันการแยกมนุษย์จริงๆ ออกจากบ็อตคือ CAPTCHA แต่ก็ต้องแลกมาด้วยความน่ารำคาญของมนุษย์ที่ต้องมายืนยันว่าตัวเองเป็นมนุษย์อยู่บ่อยๆ

เมื่อปีที่แล้ว Cloudflare เพิ่งประกาศย้ายจาก reCAPTCHA ของกูเกิลมาเป็น hCAPTCHA ด้วยเหตุผลเรื่องเงิน ล่าสุดบริษัทออกมาประกาศนโยบายว่า พยายามจะไปไกลกว่านั้นด้วยการยกเลิก CAPTCHA อย่างถาวร เพราะมองว่าน่าเบื่อ ยุ่งยาก สิ้นเปลือง

กูเกิลจะเริ่มเปิดใช้ล็อกอิน 2FA เป็นดีฟอลต์ ต้องยืนยันตัวตนอีกชั้นผ่านมือถือ

By mk

on 7 May 2021 - 09:37 Tag: Google, Authentication, Security

Google

กูเกิลประกาศยกระดับความปลอดภัยของบัญชีผู้ใช้ โดยจะเปิดใช้ two-step verification (2SV หรือที่รู้จักกันทั่วไปว่า 2FA) เป็นค่าดีฟอลต์ ผู้ใช้จะต้องยืนยันตัวตนผ่าน Google prompt บนสมาร์ทโฟน แม้ไม่ได้เปิดใช้งาน 2SV/2FA ก็ตาม

กูเกิลบอกว่าจะเปิด 2SV สำหรับบัญชีที่มีคอนฟิกไว้อย่างเหมาะสม (appropriately configured) ซึ่งไม่ได้บอกชัดว่าหมายถึงอะไร แต่น่าจะหมายถึงมีล็อกอินบัญชีกูเกิลไว้บนสมาร์ทโฟนอยู่แล้ว ในกรณีที่เป็นมือถือ iOS สามารถใช้แอพ Google Smart Lock เพื่อยืนยันตัวตนได้แบบเดียวกับ Android

Okta ผู้ให้บริการ Identity Management ซื้อกิจการคู่แข่ง Auth0 มูลค่า 6,500 ล้านดอลลาร์

By arjin

on 5 March 2021 - 21:46 Tag: Okta, Authentication, Acquisition, Auth0

Okta

Okta ผู้ให้บริการด้านการจัดการข้อมูลระบุตัวตนบนคลาวด์ (Identity Management) ประกาศซื้อกิจการบริษัทคู่แข่ง Auth0 ด้วยมูลค่า 6,500 ล้านดอลลาร์ โดยจ่ายเป็นหุ้นของ Okta ทั้งนี้ Auth0 ได้เพิ่มทุนรอบล่าสุดเมื่อปีที่แล้ว ที่มูลค่ากิจการราว 1,920 ล้านดอลลาร์ โดยมี Salesforce Ventures เป็นผู้ลงทุนหลักในรอบนั้น

Todd McKinnon ซีอีโอและผู้ก่อตั้ง Okta พูดถึงดีลนี้ว่าบริการของ Auth0 เน้นไปที่กลุ่มนักพัฒนา โดยสร้างเครื่องมือ API เพื่อให้จัดการระบบระบุตัวตนได้ง่าย การรวมกับบริการของ Okta ที่เน้นเชื่อมต่อกับผู้ให้บริการคลาวด์ จึงทำให้เกิดประโยชน์สูงสุดกับลูกค้าของทั้งสองบริษัท

Facebook เตรียมผลักดันการล็อกอินด้วย Security Key มากขึ้น เน้นกลุ่มนักการเมือง-คนดัง

By mk

on 23 December 2020 - 21:25 Tag: Facebook, Security, Authentication

Facebook

Nathaniel Gleicher หัวหน้าฝ่ายนโยบายความปลอดภัยของ Facebook ให้สัมภาษณ์กับเว็บไซต์ Axios ว่าบริษัทจะเพิ่มช่องทางการล็อกอินที่ปลอดภัยมากขึ้นในปี 2021 เพื่อรับมือปัญหาความปลอดภัย การแฮ็กบัญชีที่เพิ่มขึ้นเรื่อยๆ

ก่อนหน้านี้ Facebook มีโครงการพิเศษชื่อ Facebook Protect คอยช่วยเฝ้าระวังการแฮ็กบัญชีให้เป็นพิเศษ แต่เปิดเฉพาะผู้ใช้ที่เป็นนักการเมือง พนักงานของรัฐที่เกี่ยวกับการเลือกตั้ง คนดัง นักสิทธิมนุษยชน และสื่อมวลชนในบางประเทศเท่านั้น

เผยสถิติ ผู้ใช้ Windows 10 เกือบ 85% ล็อกอินผ่าน Windows Hello แทนใช้รหัสผ่าน

By mk

on 20 December 2020 - 16:45 Tag: Windows Hello, Windows 10, Authentication, Password, Microsoft, Security

Windows Hello

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

ลาก่อน ActiveX เกาหลีใต้เลิกใช้ใบรับรองของรัฐ เปิดให้เอกชนเปิดบริการยืนยันตัวตนดิจิทัล

By lew

on 10 December 2020 - 01:32 Tag: South Korea, Authentication, Security

South Korea

วันนี้กฎหมาย Electronic Signature Act ฉบับแก้ไขของเกาหลีใต้ที่ประกาศตั้งแต่ช่วงต้นปีที่ผ่านมาจะบังคับใช้เป็นวันแรก ทำให้บริษัทเอกชนสามารถออกใบรับรองเพื่อให้ประชาชนเข้าถึงบริการของภาครัฐได้ เฉพาะบริการยื่นภาษีออนไลน์

เกาหลีใต้ใช้ใบรับรองดิจิทัลเพื่อยืนยันตัวตนผู้ใช้บริการมาตั้งแต่ปี 1999 หรือ 21 ปีแล้ว แม้จะทันสมัยมากในยุคนั้นแต่ระบบแทบไม่มีการอัพเดตเลยในช่วงเวลาที่ใช้งาน เทคโนโลยีที่เคยเป็นเทคโนโลยีล้ำสมัยอย่าง ActiveX กลายเป็นเทคโนโลยีตกรุ่น โดยกฎหมายเดิมกำหนดให้หน่วยงานรัฐเป็นผู้ออกใบรับรองดิจิทัลแต่เพียงผู้เดียว

มาช้าดีกว่าไม่มา? Google Authenticator บน iOS ได้อัพเดต UI ใหม่, รองรับ Transfer account

By nismod

on 3 December 2020 - 11:56 Tag: Google, Authentication

Google

หลัง Google Authenticator ถูกปล่อยร้างมานานและเพิ่งอัพเดตฟีเจอร์และหน้าตาใหม่บนแอนดรอยด์ไปเมื่อกลางปี ล่าสุดบน iOS และ iPadOS ก็ได้รับอัพเดตแล้ว

เวอร์ชันบน iOS คือ 3.1 เปลี่ยนหน้าตา UI ใหม่ รองรับ Dark Mode และการ Transfer account ข้ามเครื่องแล้ว

อัพเดตด่วน พบช่องโหว่ระบบล็อกอินของ cPanel เปิดโอกาสให้ brute-force รหัส 2FA จนล็อกอินได้

By BlackMiracle

on 27 November 2020 - 10:10 Tag: cPanel, Security, Authentication

cPanel

นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยช่องโหว่ของ cPanel และ WebHost Manager (WHM) ซอฟต์แวร์ชื่อดังสำหรับแอดมินที่ใช้จัดการการโฮสต์เว็บไซต์ด้วยหน้าตาที่ใช้งานง่าย

ช่องโหว่นี้มีรหัส CVE-2020-27641 เปิดโอกาสให้ผู้โจมตีสามารถ brute-force รหัส 2FA ได้เรื่อยๆ จนล็อกอินเข้าระบบ cPanel ได้ในที่สุด เพราะ cPanel ไม่มีการบล็อกผู้ใช้ทิ้งหากใส่รหัส 2FA ผิดติดกันบ่อยๆ โดยนักวิจัยระบุว่าปกติแล้วการ brute-force อาจใช้เวลาหลายชั่วโมง แต่จากการทดสอบในบางกรณีใช้เวลาไม่กี่นาทีก็ล็อกอินได้แล้ว

ทีมทำงาน Joe Biden ใช้ Google Workspace บังคับล็อกอินกุญแจ Titan เพื่อความปลอดภัย

By mk

on 23 November 2020 - 07:33 Tag: Joe Biden, Google Workspace, Security, Enterprise, Authentication

Joe Biden

หลัง Joe Biden ชนะการเลือกตั้งประธานาธิบดีสหรัฐ สิ่งที่ต้องเกิดขึ้นคือทีมทำงานในช่วงเปลี่ยนผ่าน (presidential transition team หรือ ptt) จะเข้าไปรับช่วงงานต่อจากรัฐบาลชุดปัจจุบัน ก่อนเริ่มทำงานจริงหลังพิธีสาบานตนในเดือนมกราคม 2021

แต่เนื่องจาก Donald Trump ยังไม่ยอมรับความพ่ายแพ้ ทำให้ทีมทำงานของ Biden ยังไม่สามารถรับช่วงต่ออย่างเป็นทางการได้ และยังไม่ได้อีเมล @ptt.gov ที่ดูแลโดยหน่วยงานความมั่นคงไซเบอร์ของรัฐบาลสหรัฐ

สิ่งที่เกิดขึ้นคือทีมทำงานของ Biden จึงต้องเซ็ตระบบไอทีของตัวเองกันไปก่อน โดยเลือกใช้ Google Workspace (G Suite เดิม) แบบแพ็กเกจมาตรฐาน (จ่ายเงินกันเอง)

Zoom เปิดใช้ยืนยันตัวตนสองชั้นแล้วในทุกบัญชีการใช้งาน

By sunnywalker

on 11 September 2020 - 16:48 Tag: Zoom, Privacy, Authentication, Security

Zoom

Zoom เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) ในทุกบัญชีการใช้งานแล้ว เพื่อป้องกันไม่ให้เกิดเหตุการณ์แบบ zoombombing หรือการที่คนอื่นเข้ามาป่วนการประชุมได้อีก

Safari 14 จะรองรับระบบล็อกอินแบบไม่ใช้รหัสผ่านตามมาตรฐาน WebAuthn ในปีนี้

By nutmos

on 26 June 2020 - 08:47 Tag: Safari, iOS, macOS, FIDO, Apple, Authentication, Browser

Safari

Apple ปล่อยวิดีโอเซสชั่นใน WWDC 2020 โดยมีตอนหนึ่งโชว์ฟังก์ชันการล็อกอินเว็บไซต์บน Safari 14 แบบ frictionless experience ซึ่ง FIDO Alliance ระบุว่าเป็นการใช้เทคโนโลยี WebAuthn ระบบล็อกอินโดยไม่ต้องใช้รหัสผ่านที่ทาง W3C รับเข้าเป็นมาตรฐานเว็บในปีที่แล้ว

Google เตรียมเปลี่ยนกระบวนการ 2FA ยืนยันผ่านมือถือที่ล็อกอิน แทนการส่ง SMS

By mheevariety

on 17 June 2020 - 14:28 Tag: Google, Security, Authentication

Google

การยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) ปกติใช้การส่ง OTP มาทางเบอร์โทรศัพท์ แต่ก็มีปัญหาการโคลนซิม หรือการขอซิมใหม่จากผู้ให้บริการมือถือที่เป็นช่องโหว่จนมีการโจมตีแฮกบัญชีผู้ใช้ไปแล้วหลายครั้ง

Chrome รองรับ Windows Hello สำหรับการยืนยันตัวตนเมื่อใช้บัตรเครดิตแทน CVC

By nismod

on 22 May 2020 - 20:30 Tag: Chrome, Windows, Windows Hello, Authentication

Chrome

Chrome ที่มีการจดจำบัตรเครดิตผู้ใช้งานเอาไว้ให้ เพื่อความง่ายเวลาต้องกรอกข้อมูลบัตรเครดิต จะใช้การยืนยันตัวตนความเป็นเจ้าของบัตรเครดิตด้วยการให้กรอกเลข CVC 3 หลักข้างหลังบัตร ล่าสุด Chrome รองรับการใช้ Windows Hello เพื่อยืนยันตัวตนแทนการกรอก CVC แล้ว

ฟีเจอร์นี้อาจจะไม่ใช่ฟีเจอร์ใหม่ เพราะมีคนโพสต์ในฟอรัม Google Support ตั้งแต่เดือนมีนาคม ขณะที่ผมลองเช็ค Chrome ของตัวเองก็พบว่ามีฟีเจอร์นี้แล้ว โดยสามารถเข้าไปเปิดได้ที่ Settings > Payment Methods และเลือกเปิด Windows Hello

Google Authenticator เพิ่มฟีเจอร์ Backup & Restore เวลาย้ายเครื่องแล้ว

By mk

on 7 May 2020 - 13:40 Tag: Mobile App, Authentication, Google

Mobile App

หนึ่งในแอพกลุ่ม authenticator ที่ได้รับความนิยมสูงคือ Google Authenticator แต่มันกลับไม่ถูกอัพเดตมานาน (มาก) จนโดนแอพตัวใหม่ๆ หลายตัวแซงหน้าไปแล้วในแง่ฟีเจอร์

ล่าสุด กูเกิลปล่อยอัพเดตใหญ่ของ Google Authenticator (เวอร์ชัน 5.10) ปรับหน้าตาให้รองรับสัดส่วนหน้าจอของโทรศัพท์รุ่นใหม่ๆ, รองรับ Dark Theme และเพิ่มฟีเจอร์สำคัญคือ Backup & Restore ย้ายข้อมูลไปยังโทรศัพท์เครื่องอื่นได้ ไม่จำเป็นต้องมานั่งไล่ authenticate ใหม่ทุกบัญชี เมื่อเปลี่ยนมือถือ

Epic Games Store บังคับใช้ Two Factor Authentication ชั่วคราวหากจะเคลมเกมฟรี

By mk

on 29 April 2020 - 10:44 Tag: Epic Games, Authentication, Security, Games

Epic Games

Epic Games ประกาศมาตรการชั่วคราวสำหรับเกมเมอร์ที่ต้องการเคลมเกมแจกฟรีบน Epic Games Store ว่าจะต้องเปิดใช้ Two Factor Authentication จึงจะสามารถเคลมเกมได้

Epic ให้เหตุผลว่าต้องการยกระดับความปลอดภัยของบัญชีผู้เล่น และยอมรับว่าอาจไม่สะดวกอยู่บ้าง แต่ไม่ได้ให้ข้อมูลเพิ่มเติมว่าพบการโจมตีบัญชี Epic ในช่วงนี้อย่างไร มาตรการนี้เริ่มใช้ในวันนี้ ไปจนถึงวันที่ 21 พฤษภาคม

LINE ประกาศปิดการสมัครใช้งานใหม่ ด้วยล็อกอิน Facebook

By arjin

on 28 March 2020 - 08:28 Tag: LINE, Authentication, Facebook

LINE

LINE ประกาศเปลี่ยนแปลงวิธีการสมัครเปิดใช้งานบัญชีใหม่ โดยจะมีผลตั้งแต่สัปดาห์แรกของเดือนเมษายน ซึ่งผู้สมัครใช้งาน LINE ใหม่ จะไม่สามารถสมัครใช้งานโดยใช้บัญชี Facebook ได้อีก

จากการเปลี่ยนแปลงนี้ LINE แนะนำให้ผู้ใช้งานไปเพิ่มข้อมูลส่วนบุคคลในบัญชีเพิ่มเติม เนื่องจากหากมีการเปลี่ยนระบบล็อกอินบัญชี หรือมีการเปลี่ยนเครื่องโทรศัพท์ จะได้ใช้งานต่อได้เนื่องจากไม่สามารถล็อกอินด้วย Facebook ได้อีก

LINE ยังระบุว่าสำหรับผู้ใช้ iOS จะมีทางเลือกใหม่ในการสมัครใช้งานโดยล็อกอินด้วย Apple ID ได้อีกด้วย

Subscribe to Authentication