ไม่ต้องใช้รหัสผ่าน Windows Hello รองรับการยืนยันตัวตนด้วยคีย์ FIDO2 แล้ว

By mk Founder on Tag: Windows Hello, FIDO, Microsoft, Windows 10, Authentication
Windows Hello

สมาชิก Blognone อาจเคยผ่านตาชื่อ FIDO Alliance กลุ่มพันธมิตรอุตสาหกรรมที่ผลักดันการยืนยันตัวตนรูปแบบใหม่ๆ ที่ไม่ใช้รหัสผ่าน ตัวอย่างที่เราเห็นกันบ่อยๆ คือ USB key แต่ก็รวมถึงการใช้ PIN หรือ biometric ด้วย

เมื่อไม่นานมานี้ กลุ่ม FIDO มีโครงการ FIDO2 ซึ่งประกอบด้วยมาตรฐาน WebAuthn ของ W3C และ Client-to-Authenticator Protocol (CTAP) เป็นโปรโตคอลระหว่างเบราว์เซอร์และระบบยืนยันตัวตน ทำให้เราสามารถใช้อุปกรณ์ที่ผ่านมาตรฐาน FIDO ล็อกอินเข้าเว็บไซต์ต่างๆ แทนรหัสผ่านได้

Read more

Facebook เปลี่ยนนโยบาย Facebook Login ผู้ใช้ต้องยืนยันการใช้งานทุก 90 วัน

By mk Founder on Tag: Facebook, Authentication, API
Facebook

ข่าวสำคัญสำหรับนักพัฒนาที่ใช้ Facebook Login ครับ วันนี้ Facebook ประกาศเปลี่ยนแปลงระบบ Facebook Login เพื่อแก้ปัญหาเรื่องความเป็นส่วนตัวของผู้ใช้งาน โดยแอพที่ใช้ Facebook Login จำเป็นต้องขอ user access token ใหม่จากผู้ใช้เสมอทุก 90 วัน

ผลในทางปฏิบัติคือบริการออนไลน์หรือแอพใดๆ ที่ใช้ Facebook Login จะต้องแสดงข้อความให้ผู้ใช้ยืนยันการเข้าถึงข้อมูลส่วนตัวทุก 90 วัน เมื่อครบ 90 วันแล้วผู้ใช้จะไม่ถูกล็อกอินอัตโนมัติ แต่จะเห็นข้อความและให้กดปุ่ม Continue ก่อนเสมอ

Read more

สู่ยุคหลังรหัสผ่าน W3C เปิดตัวมาตรฐาน WebAuthn ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่าน

By lew Founder on Tag: FIDO, Authentication, Security
FIDO

W3C องค์กรมาตรฐานเว็บ เปิดตัวมาตรฐาน WebAuthn ที่พัฒนาต่อมาจาก FIDO2 และ Client to Authenticator Protocol (CTAP) โดยได้รับการสนับสนุนจาก Chrome, Edge, และไฟร์ฟอกซ์

มาตรฐาน CTAP สร้างมาตรฐานการเชื่อมต่อระหว่างเบราว์เซอร์ และอุปกรณ์สำหรับยืนยันตัวตน ไม่ว่าจะเป็นกุญแจอิเล็กทรอนิกส์หรือโทรศัพท์มือถือ โดยสามารถเชื่อมต่อได้ทั้ง NFC, USB, หรือ Bluetooth เพื่อการยืนยันตัวตนผู้ใช้กับบริการที่ใช้ทางอินเทอร์เน็ต

Read more

AWS เปิดตัว Secrets Manager บริการเก็บรหัสผ่านและคีย์ ไม่ต้องฮาร์ดโค้ดในแอพ

By mk Founder on Tag: AWS, Password, Authentication, Security, Cloud Computing
AWS

ทุกวันนี้การพัฒนาแอพพลิเคชันจำนวนมาก มักจำเป็นต้องเก็บรหัสผ่านหรือคีย์บางอย่าง เช่น รหัสผ่านเข้าถึงฐานข้อมูล หรือ คีย์สำหรับเข้าถึง API ภายนอก

ปัญหาในแง่ความปลอดภัยคือการเก็บข้อมูลลับเหล่านี้ไม่ควรเก็บอยู่ในโค้ดของตัวโปรแกรม (hard code) เพราะอาจรั่วไหลไปยังบุคคลอื่นได้ ที่ผ่านมาก็มี หลายกรณี ที่รหัสผ่านหลุด จากการฝังไว้แบบ hard code

Read more

Facebook ยอมรับปัญหา SMS แจ้งเตือนโพสต์ไปยังเบอร์ 2FA บอกเป็นบั๊ก และกำลังแก้ไขอยู่

By arjin Writer on Tag: Facebook, Bug, Authentication
Facebook

จากปัญหาผู้ใช้ Facebook ที่ตั้งค่าเบอร์โทรศัพท์มือถือเพื่อรับรหัสผ่านยืนยันตัวตนสองปัจจัย (2-Factor Authentication) ได้รับข้อความอื่น เช่น การเตือนโพสต์ของเพื่อน และหากตอบ SMS นี้ ก็ยังสร้างโพสต์ใน Facebook อีกด้วย ล่าสุด Facebook ได้ออกมายอมรับปัญหานี้แล้ว

Read more

Facebook ใช้เบอร์โทรที่รับรหัสจาก 2FA ส่งข้อความแจ้งเตือนโพสต์ ถ้าตอบกลับก็โพสต์ลงโปรไฟล์ให้ด้วย

By nutmos Writer on Tag: Facebook, Authentication
Facebook

Facebook ถูกตั้งข้อสงสัยเกี่ยวกับเบอร์โทรศัพท์มือถือที่ผู้ใช้ผูกไว้เพื่อรับรหัสผ่านจากวิธีการยืนยันตัวตนสองปัจจัยหรือ two-factor authentication ว่าทางบริษัทได้นำเบอร์โทรศัพท์เหล่านี้มาเพื่อส่ง SMS เกี่ยวกับโพสต์ของเพื่อน (เพื่อเชิญชวนให้ไปเล่น Facebook) รวมถึงถ้าเกิดตอบข้อความผ่าน SMS แล้ว ข้อความนั้น ๆ จะถูกโพสต์ลงไปบน Facebook ส่วนตัวอีกด้วย

Read more

Facebook เข้าซื้อสตาร์ทอัพพัฒนาเทคโนโลยีระบบยืนยันตัวตน Confirm.io

By nutmos Writer on Tag: Facebook, Acquisition, Authentication
Facebook

Facebook ประกาศเข้าซื้อ Confirm.io สตาร์ทอัพพัฒนาระบบยืนยันตัวตนพร้อมเปิด API ให้บริษัทต่าง ๆ นำไปใช้งานกับระบบภายในของบริษัทเองได้โดยไม่ต้องทำระบบยืนยันตัวตนของตัวเองขึ้นมาใหม่

Read more

AWS เปิดบริการ Single Sign-On (SSO) ผ่านคลาวด์ ให้บริการฟรี เชื่อมต่อภายนอกได้

By mk Founder on Tag: AWS, Authentication, Cloud Computing, Amazon
AWS

AWS เปิดบริการ Single Sign-On (SSO) ผ่านคลาวด์ ช่วยให้เราบริหารการล็อกอินบริการหลายๆ ตัวของ AWS ได้สะดวกขึ้น

AWS Single Sign-On ยังรองรับการเชื่อมต่อกับ SSO ของแอพพลิเคชันภายนอก (เช่น Salesforce หรือ Office 365) ตามมาตรฐาน Security Assertion Markup Language (SAML) 2.0 ได้ รวมถึงการเชื่อมต่อกับ Active Directory ด้วย

เป้าหมายของบริการตัวนี้คือออกมาแข่งกับ SSO แบบเดิมๆ ที่เป็น on premise และต้องจ่ายค่าติดตั้งในครั้งแรก ความน่าสนใจคือ AWS เปิดให้ใช้งานฟรี ตอนนี้ยังจำกัดเฉพาะเขต US East (N. Virginia) เท่านั้น

Read more

รูดปื๊ด กูเกิลสาธิตการใช้มาตรฐาน Web Authentication ร่วมกับ Web Payment กดสามคลิกแล้วแตะนิ้วมือก็จ่ายเสร็จ

By lew Founder on Tag: Payment, FIDO, Google, Authentication
Payment

ที่งาน Money20/20 ที่อินเทลแถลงข่าวร่วมกับ Visa และ Bank of America ทาง FIDO ก็ออกมาระบุว่ามันคือการใช้มาตรฐาน FIDO เพื่อล็อกอินเว็บ ขณะเดียวกัน Christiaan Brand จากกูเกิลก็สาธิตการซื้อสินค้าออนไลน์ในยุคต่อไป ที่มาตรฐานต่างๆ พร้อมแล้วจะสามารถซื้อเสร็จทั้งหมดพร้อมจ่ายเงินภายในไม่กี่คลิกเท่านั้น

มาตรฐานสองตัวที่ยังอยู่ระหว่างการร่าง คือ Web Authentication ที่พัฒนามาจากมาตรฐาน FIDO2 สำหรับการยืนยันตัวตนผู้ซื้อ และมาตรฐาน Web Payment สำหรับการจ่ายเงินจากข้อมูลบัตรที่เก็บไว้ล่วงหน้า

Read more

กูเกิลเปลี่ยนวิธีหลักในการยืนยันตัวตน 2-Step จาก SMS มาเป็น Google Prompt

By mk Founder on Tag: Google, Authentication, Security, SMS
Google

กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน

ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS

Read more

กูเกิลเพิ่มระดับความปลอดภัยขั้นสูงสุด Advanced Protection บังคับล็อกอินด้วยคีย์ฮาร์ดแวร์

By mk Founder on Tag: Google, Security, U2F, Authentication
Google

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

  • บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
  • ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
  • หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ
Read more

[ลือ] Google จะเพิ่มฟีเจอร์รักษาความปลอดภัยบัญชีขั้นสูง

By nutmos Writer on Tag: Google, Cybersecurity, Authentication
Google

สำนักข่าว Bloomberg รายงานโดยอ้างข้อมูลจากแหล่งข่าวว่า Google เตรียมอัพเกรดเครื่องมือความปลอดภัยสำหรับบัญชีออนไลน์ใหม่โดยเรียกว่า Advanced Protection Program เพื่อรักษาความปลอดภัยของบัญชีผู้ใช้จากการโจมตีทางไซเบอร์ อย่างเช่นการป้องกันการเข้าถึงข้อมูลของแอพพลิเคชั่นจากบุคคลที่สาม หรือการอัพเกรดเครื่องมือการยืนยันตัวตนสองปัจจัย โดยคาดว่าจะเปิดตัวในเดือนหน้า

ในการบล็อกแอพพลิเคชั่นจากบุคคลที่สามนั้น บริการนี้จะบล็อกทั้งหมด ไม่อนุญาตให้แอพเข้าถึงอีเมลหรือไฟล์ที่เก็บไว้บน Google Drive ของผู้ใช้

Read more

4 โอเปอเรเตอร์สหรัฐ ตั้งกลุ่มพัฒนาระบบยืนยันตัวตนด้วยมือถือ ที่ใช้แทน SMS

By mk Founder on Tag: Telecom, AT&T, SMS, Verizon, Security, Authentication, T-Mobile, Sprint
Telecom

4 โอเปอเรเตอร์ใหญ่ของสหรัฐอเมริกาได้แก่ AT&T, Verizon, T-Mobile, Sprint ประกาศตั้งกลุ่ม Mobile Authentication Taskforce เพื่อวางมาตรฐานการยืนยันตัวตนผ่านอุปกรณ์พกพา

เป้าหมายของกลุ่มคือพัฒนาระบบยืนยันตัวตนด้วยอุปกรณ์พกพาที่ใช้แทน SMS (ซึ่ง NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐ แนะนำให้เลิกใช้) โดยแนวทางที่จะนำมาใช้แทนมีทั้งการตรวจสอบซิมการ์ด, พิกัดเครื่อง, การเชื่อมต่อกับโครงข่าย

ตอนนี้ทางกลุ่มยังไม่มีผลงานออกมา (เพิ่งประกาศตั้งกลุ่ม) โดยตั้งเป้าว่าจะออกผลงานในปี 2018

Read more

[ไม่ยืนยัน] Airbnb, Uber และ Ola ในอินเดียอาจนำระบบยืนยันตัวตนของรัฐมาใช้ด้วย

By sunnywalker Writer on Tag: India, Uber, Ola, Airbnb, Biometric, Authentication, Privacy
India

ประเทศอินเดียมีระบบยืนยันตัวตนประชาชนในชื่อเรียกว่า Aadhaar เป็นการยืนยันตัวตนผ่านส่วนใดส่วนหนึ่งของร่างกาย เช่น ม่านตา ลายนิ้วมือ เป็นต้น แม้ระบบดังกล่าวจะถูกวิพากษ์วิจารณ์เรื่องความเป็นส่วนตัวมาก แต่มีแหล่งข่าววงในระบุว่าสตาร์ทอัพที่ทำธุรกิจในอินเดียเจ้าใหญ่ เช่น Airbnb, Uber และ Ola ก็เตรียมนำระบบนี้มายืนยันตัวผู้ให้บริการบนแพลตฟอร์มด้วย

Uber และ Ola บริการแชร์รถ กำลังพิจารณาใช้ Aadhaar มาตรวจสอบและยืนยันตัวตนของคนขับรถ ในขณะที่ Airbnb ก็กำลังมองหาระบบยืนยันตัวตนมาใช้กับเจ้าของห้องเช่า แหล่งข่าวที่ให้ข้อมูลเป็นบุคคลในสามบริษัทดังกล่าว พวกเขาไม่เปิดเผยตัวตนเพราะยังไม่มีข้อมูลที่เป็นทางการออกมาจากบริษัท

Read more

มาตรฐานการยืนยันตัวตน NIST SP 800-63 เวอร์ชั่นใหม่มาแล้ว ยกเลิก OTP ผ่านอีเมล, เพิ่มการแสดงตนแบบตัวต่อตัว

By lew Founder on Tag: NIST, Authentication, Security
NIST

มาตรฐานการยืนยันตัวตน NIST SP 800-63 (มีเอกสารย่อยอีก 4 ฉบับ) เปิดรับฟังความเห็นมาตั้งแต่ปีที่แล้ว ตอนนี้กระบวนการรับฟังความเห็นได้จบลงแล้วและเอกสารตัวจริงออกมาให้องค์กรต่างๆ นำไปใช้งานต่อไป

ความเปลี่ยนแปลงสำคัญในเวอร์ชั่นใหม่ ได้แก่

Read more

เซลฟี่ไม่ปลอดภัยอีกต่อไป นักวิจัยแฮกระบบยืนยันตนด้วยม่านตา ใช้รูปดวงตาแทน

By nismod Writer on Tag: Galaxy S8, Samsung, Hacking, Authentication, Biometric, Mobile
Galaxy S8

ซัมซุงเปิดตัว Galaxy S8 พร้อมระบบยืนยันตนแบบไบโอเมตริกใหม่คือการใช้เซ็นเซอร์สแกนม่านตา (Iris Scanner) ซึ่งซัมซุงยืนยันว่า เป็นวิธีการที่ปลอดภัยที่สุด ล่าสุดนักวิจัยจาก Chaos Computer Club ในเยอรมนีสามารถแฮกระบบนี้ได้แล้ว

Read more

Firebase รองรับการยืนยันตัวตนด้วยหมายเลขโทรศัพท์ ใช้ฟรีเดือนละหมื่นครั้ง เกินนั้นครั้งละสองบาท

By lew Founder on Tag: Firebase, Authentication
Firebase

Firebase ประกาศเพิ่มความสามารถของ Firebase Auth จากเดิมรองรับการยืนยันตัวตนด้วยอีเมล, เฟซบุ๊ก, กูเกิล, ทวิตเตอร์, และ GitHub มารองรับการยืนยันตัวตนด้วยหมายเลขโทรศัพท์เพิ่มเติม

การยืนยันตัวตนด้วยหมายเลขโทรศัพท์จาก Firebase จะตรวจสอบหมายเลขโทรศัพท์ให้อัตโนมัติหากทำได้ทำให้ผู้ใช้ไม่ต้องกรอกหมายเลขโทรศัพท์เอง และหากผู้ใช้เคยยืนยันตัวตนบนโทรศัพท์เครื่องนั้นมาไม่นานก็จะล็อกอินได้ทันทีโดยไม่ต้องส่ง SMS ซ้ำอีก

Read more

ไม่บีบคั้นอีกต่อไป NIST เลิกกำหนดความซับซ้อนรหัสผ่าน, ไม่บังคับเปลี่ยนรหัส

By lew Founder on Tag: NIST, Authentication, Security
NIST

ร่างมาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ NIST SP 800-63B ที่เปิดรับฟังความเห็นเมื่อปีที่แล้วตอนนี้ปิดช่วงรับฟังความเห็นและมีการแก้ไข จุดเพิ่มเติมสำคัญคือการกำหนดให้บริการไม่ตรวจสอบความซับซ้อนของรหัสผ่าน และไม่บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านตามระยะเวลาอีกต่อไป

ทุกวันนี้บริการต่างๆ มักกำหนดความซับซ้อนของรหัสผ่าน เช่น ต้องมีตัวอักษรเล็ก, อักษรใหญ่, ตัวเลข, สัญลักษณ์ ผสมกัน แต่ในความเป็นจริงการโจมตีรหัสผ่านมักอาศัยการใช้รหัสผ่านที่รั่วออกมาจากบริการอื่นๆ ไม่ว่ารหัสจะมีความซับซ้อนแค่ไหนก็ไม่ได้ช่วยในกรณีเหล่านี้

Read more

ไม่ต้องใช้รหัสผ่าน ไมโครซอฟท์เพิ่มระบบล็อกอินด้วยการกดปุ่มยืนยันจากมือถือ

By mk Founder on Tag: Authentication, Mobile App, Microsoft
Authentication

ทุกวันนี้เรายอมรับกันว่าการยืนยันตัวตนแบบ 2 ปัจจัย มีความปลอดภัยกว่าการใช้รหัสผ่านเพียงอย่างเดียวมาก แต่ข้อเสียของการล็อกอินสองปัจจัยคือความยุ่งยากและไม่สะดวกเท่า โดยเฉพาะการเปิดดูโค้ด OTP (ไม่ว่าจะผ่าน SMS หรือผ่านแอพประเภท Authenticator) เพื่อมาป้อนในอีกเครื่องหนึ่ง

ไมโครซอฟท์นำเสนอวิธีการแก้ปัญหานี้ โดยเปิดให้ผู้ใช้สามารถกดยืนยันการล็อกอินจากมือถือได้เลย โดยไม่ต้องกรอกรหัสผ่านหรือรหัสจาก OTP

Read more

สิงคโปร์เตรียมเก็บ 'ภาพสแกนม่านตา' ของประชาชน เป็นสิ่งยืนยันตัวตนแบบ Biometric

By mk Founder on Tag: Singapore, Authentication, Iris, Government, Biometric
Singapore

รัฐบาลสิงคโปร์ เตรียมประกาศใช้กฎหมาย National Registration Act (NRA) ฉบับใหม่ มีผลวันที่ 1 มกราคม 2017 เป็นต้นไป

ภายใต้กฎหมายฉบับใหม่ หน่วยงานตรวจคนเข้าเมือง Immigration and Checkpoints Authority (ICA) จะเก็บภาพสแกนม่านตา (iris) ของทั้งประชาชนชาวสิงคโปร์ และชาวต่างชาติที่อาศัยอยู่ถาวร (permanent resident) ในฐานะสิ่งยืนยันตัวตน เพิ่มจากภาพถ่ายและลายนิ้วมือที่มีอยู่ก่อนแล้ว

Read more
Subscribe to Authentication