FIDO Alliance

Tags:
Node Thumbnail

กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ทำให้ผู้ใช้ที่เคยล็อกอินบริการและลงทะเบียนโทรศัพท์เอาไว้ สามารถล็อกอินซ้ำโดยไม่ต้องใส่รหัสผ่านอีกครั้งเมื่อใช้โทรศัพท์เครื่องเดิม (local user verification)

การปรับปรุงครั้งนี้ใช้ฟีเจอร์ของมาตรฐาน FIDO2, WebAuthn, และ FIDO CTAP เมื่อเข้าเว็บหรือแอปที่เคยลงทะเบียนโทรศัพท์ไว้ เว็บจะเรียก WebAuthn API เพื่อข้อข้อมูลเข้ารหัสลับยืนยันว่าเป็นโทรศัพท์เครื่องเดิมที่เคยลงทะเบียนไว้ ตัวโทรศัพท์จะขอให้ผู้ใช้ยืนยันลายนิ้วมือหรือปลดล็อกหน้าจอด้วยวิธีอื่น เช่น PIN หรือรหัสผ่านของโทรศัพท์

Tags:
Node Thumbnail

กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว

ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น

กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศปล่อยฟีเจอร์ล็อกอินโดยไม่ใช้รหัสผ่าน (passwordless login) บนบริการ Azure AD ให้ทุกองค์กรใช้งานแล้วหลังจากประกาศฟีเจอร์นี้มาตั้งแต่ปลายปีที่ผ่านมา

ฟีเจอร์นี้เปิดให้ผู้ใช้สามารถล็อกอินได้ผ่านทางกุญแจ FIDO2 (ต้องเวอร์ชั่น 2 เท่านั้น) หรือผ่านทางแอป Microsoft Authenticator ที่จะแจ้งเตือนเมื่อมีการล็อกอิน แล้วให้กดยืนยันจากในแอป

ไมโครซอฟท์ประกาศแนวทางการลดใช้รหัสผ่านด้วย FIDO 2.0 มาเป็นเวลานานตั้งแต่ปี 2015 โดยก่อนหน้านี้เริ่มใช้งานใน Windows Hello มาก่อนแล้ว และหลังจากนี้ก็เริ่มใช้งานในระดับองค์กรได้แล้ว

Tags:
Node Thumbnail

FIDO Alliance ประกาศตั้งกลุ่มกำหนดมาตรฐานอุตสาหกรรมด้าน IoT ขึ้นมาสองกลุ่ม เพื่อนำระบบยืนยันตัวตนของ FIDO เข้ามาใช้งานเป็นมาตรฐานในกลุ่มสินค้าประเภท IoT เพื่อให้ IoT ที่กำลังจะแพร่หลายในอนาคตมีมาตรฐานด้านความปลอดภัยที่ชัดเจนและรัดกุมกว่าปัจจุบัน

กลุ่มที่กำหนดมาตรฐานกลุ่มแรกคือ Identity Verification and Binding Working Group ที่จะกำหนดกฎเกณฑ์ของ remote ID verification รวมถึงพัฒนาเอกสารให้ความรู้และจัดทำกระบวนการออกใบรับรองให้ผู้ผลิตสินค้า IoT ที่ผ่านมาตรฐานด้วย

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศว่าฟีเจอร์ Windows Hello ของ Windows 10 (นับตั้งแต่ v1903 หรือ May 2019 Update เป็นต้นไป) ผ่านการรับรองมาตรฐาน FIDO2 แล้ว นั่นแปลว่าเราสามารถนำ Windows Hello ไปใช้ล็อกอินเว็บไซต์หรือแอพต่างๆ ที่รองรับมาตรฐาน FIDO ได้แล้ว

การรับรองนี้ทำให้เราสามารถใช้ Firefox 66 ที่รองรับ WebAuthn บนวินโดวส์ สามารถนำข้อมูลตัวตนของเราจาก Windows Hello ไปล็อกอินกับเว็บไซต์ที่รองรับ FIDO (เช่น Microsoft Account) ส่วน Microsoft Edge ที่เป็น Chromium จะได้ฟีเจอร์นี้ตามมาในอนาคต

Tags:
Node Thumbnail

วันนี้ World Wide Web Consortium หรือ W3C ได้ประกาศให้ Web Authentication API หรือ WebAuthn เป็นมาตรฐานเว็บอย่างเป็นทางการแล้ว

WebAuthn นั้นเป็นมาตรฐานระบบล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านของ W3C โดยระบบนี้พัฒนาต่อมาจาก FIDO2 และ CTAP ซึ่งสามารถทำงานร่วมกับ FIDO UAF และ U2F ที่ออกมาก่อนหน้านี้ได้

ระบบล็อกอิน WebAuthn ออกแบบมาเพื่อให้ผู้ใช้ไม่ต้องใช้รหัสผ่านในการล็อกอิน (หรือจะนำมาใช้ร่วมกับรหัสผ่านก็ได้) โดยการใช้อุปกรณ์ต่าง ๆ เช่น เซนเซอร์สแกนลายนิ้วมือ หรือกุญแจความปลอดภัย ซึ่งตอนนี้ WebAuthn รองรับทั้งบน Android และ Windows 10 ส่วนเบราว์เซอร์ที่รองรับก็มีทั้ง Chrome, Firefox, Edge (ส่วน Safari ยังอยู่ในช่วงเบต้า)

Tags:
Node Thumbnail

FIDO Alliance ได้ประกาศให้ระบบปฏิบัติการ Android เป็นระบบปฏิบัติการที่ได้รับการรับรอง FIDO2 แล้ว เพื่อให้ผู้ใช้ Android สามารถใช้งานเซนเซอร์ลายนิ้วมือ และ/หรือ กุญแจความปลอดภัยของ FIDO เพื่อล็อกอินเข้าใช้งานเว็บไซต์หรือแอพที่รองรับโปรโตคอล FIDO2 ได้โดยไม่ต้องใช้รหัสผ่าน

การประกาศ FIDO2 Certified ให้ Android หมายความว่าอุปกรณ์ Android 7.0 หรือใหม่กว่าจะพร้อมรองรับโปรโตคอล FIDO2 ตั้งแต่แกะกล่อง หรือหลังจากอัพเดตผ่าน Google Play Services เพื่อให้ระบบ Android พร้อมใช้งาน FIDO2 ทันที

Tags:
Node Thumbnail

LINE ประกาศว่าได้รับใบรับรองจาก FIDO (FIDO Universal Server Certification) สำหรับ LINE Authentication Server ทำให้กระบวนการล็อกอิน (กระบวนการยืนยันตัวตน) ของ LINE ต่อไปนี้จะรองรับไบโอเมตริกและโทเคนอย่าง YubiKey แล้ว

LINE บอกว่าเป้าหมายสูงสุดคือการเอาหน้าจอยืนยันตัวตนที่ต้องกรอกยูสเซอร์เนมและพาสเวิร์ดออกให้หมดในทุกบริการของ LINE อาทิ การใช้ลายนิ้วมือล็อกอินเข้า LINE, ลายนิ้วมือและใบหน้ากับ LINE Pay ไปจนถึงการให้บริการภายนอกมาเชื่อมต่อเพื่อยืนยันตัวตนผ่าน LINE อาทิ อุปกรณ์ IoT ด้วย

กระบวนการยืนยันตัวตนของ LINE จะเริ่มมีการเปลี่ยนแปลงในช่วงฤดูใบไม้ผลินี้

ที่มา - LINE Engineering

Tags:
Node Thumbnail

Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019

สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก

Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศว่าแอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO2 และ Windows Hello แล้ว โดยจะใช้ได้เฉพาะบน Windows 10 (October 2018) ขึ้นไปและเฉพาะบน Microsoft Edge เท่านั้น

การตั้งค่าต้องเข้าไปที่หน้าแอคเคาท์ไมโครซอฟท์ เลือก Security และ More Security Options แล้วกด Windows Hello and Security Keys เพื่อตั้งค่า

ที่มา - Microsoft

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศรองรับร่างมาตรฐาน Web Authentication ที่พัฒนามาจากมาตรฐาน FIDO2 ทำให้เบราว์เซอร์ Edge เตรียมรองรับกุญแจ U2F ได้

ตัว Edge เองก็ทดสอบการรองรับ Web Authentication มาตั้งแต่ปี 2016 และการรองรับครั้งนี้อาศัยมาตรฐานรุ่นก่อนตัวจริง (candidate recommendation - CR) โดยจะเริ่มรองรับใน Windows Insider Preview build 17723

นอกจากการใช้กุญแจ U2F แล้ว มาตรฐาน Web Authentication ยังเปิดทางให้ยืนยันตัวตนผู้ใช้ด้วยช่องทางต่างๆ เช่น การตรวจสอบลายนิ้วมือและใบหน้า โดยตัว Windows Hello รองรับช่องทางเหล่านี้ด้วย ทำให้สามารถล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านอีกต่อไป

Tags:
Node Thumbnail

กูเกิลเปิดตัวกุญแจยืนยันตัวตน Titan Security Key โดยใช้ชื่อเดียวกับชิป Titan ที่ใช้ยืนยันสถานะของเซิร์ฟเวอร์ แต่ชิปภายในไม่ได้เกี่ยวข้องกัน

กุญแจมาเป็นชุด ชุดละ 50 ดอลลาร์โดยเป็นรุ่น USB/NFC ตัวหนึ่ง และ USB/Bluetooth อีกตัว ชุดละ 50 ดอลลาร์ เข้าคู่กันตามแนวทางของกูเกิลที่ต้องการให้กุญแจตัวหนึ่งรองรับ Bluetooth เพื่อใช้งานกับโทรศัพท์ได้ โดยตัวฮาร์ดแวร์เองน่าจะผลิตโดยบริษัท Feitian ผู้ผลิตระบบรักษาความปลอดภัยฮาร์ดแวร์รายใหญ่ของจีน เช่น บัตรยืนยันตัวตน, หรืออุปกรณ์รับจ่ายบัตรเครดิตต่างๆ แต่กูเกิลไม่ตอบว่าใครคือผู้ผลิตฮาร์ดแวร์ ระบุเพียงว่าไม่ได้ผลิตโดย Yubico

Tags:
Node Thumbnail

สมาชิก Blognone อาจเคยผ่านตาชื่อ FIDO Alliance กลุ่มพันธมิตรอุตสาหกรรมที่ผลักดันการยืนยันตัวตนรูปแบบใหม่ๆ ที่ไม่ใช้รหัสผ่าน ตัวอย่างที่เราเห็นกันบ่อยๆ คือ USB key แต่ก็รวมถึงการใช้ PIN หรือ biometric ด้วย

เมื่อไม่นานมานี้ กลุ่ม FIDO มีโครงการ FIDO2 ซึ่งประกอบด้วยมาตรฐาน WebAuthn ของ W3C และ Client-to-Authenticator Protocol (CTAP) เป็นโปรโตคอลระหว่างเบราว์เซอร์และระบบยืนยันตัวตน ทำให้เราสามารถใช้อุปกรณ์ที่ผ่านมาตรฐาน FIDO ล็อกอินเข้าเว็บไซต์ต่างๆ แทนรหัสผ่านได้

Tags:
Node Thumbnail

W3C องค์กรมาตรฐานเว็บ เปิดตัวมาตรฐาน WebAuthn ที่พัฒนาต่อมาจาก FIDO2 และ Client to Authenticator Protocol (CTAP) โดยได้รับการสนับสนุนจาก Chrome, Edge, และไฟร์ฟอกซ์

มาตรฐาน CTAP สร้างมาตรฐานการเชื่อมต่อระหว่างเบราว์เซอร์ และอุปกรณ์สำหรับยืนยันตัวตน ไม่ว่าจะเป็นกุญแจอิเล็กทรอนิกส์หรือโทรศัพท์มือถือ โดยสามารถเชื่อมต่อได้ทั้ง NFC, USB, หรือ Bluetooth เพื่อการยืนยันตัวตนผู้ใช้กับบริการที่ใช้ทางอินเทอร์เน็ต

มาตรฐานนี้ทำงานร่วมกับมาตรฐาน FIDO UAF และ U2F ที่ออกมาก่อนแล้วได้

Tags:
Node Thumbnail

Lenovo ประกาศตัวเป็นผู้ผลิตพีซีแบรนด์แรกที่ได้รับรอง FIDO มาในตัวทำให้ลูกค้าไม่ต้องซื้ออุปกรณ์ใดๆ เพิ่มเติมเพื่อล็อกอินบริการที่ใช้ FIDO ไม่ว่าจะเป็น U2F สำหรับการยืนยันตัวตนสองขั้นตอน หรือ UAF สำหรับการยืนยันตัวตนด้วยลายนิ้วมือ

รายชื่อโน้ตบุ๊กชุดแรกที่ได้รับรอง FIDO ได้แก่ Yoga 920, IdeaPad 720S, ThinkPad X1 Tablet (2nd generation), ThinkPad X1 Carbon (5th generation), ThinkPad Yoga 370, ThinkPad T570, ThinkPad P51s, ThinkPad T470s, ThinkPad X270, และ ThinkPad X270s โดยรุ่นที่จะใช้ UAF ได้ต้องติดตั้งเซ็นเซอร์ลายนิ้วมือของ Synaptics ด้วย

Tags:
Node Thumbnail

ที่งาน Money20/20 ที่อินเทลแถลงข่าวร่วมกับ Visa และ Bank of America ทาง FIDO ก็ออกมาระบุว่ามันคือการใช้มาตรฐาน FIDO เพื่อล็อกอินเว็บ ขณะเดียวกัน Christiaan Brand จากกูเกิลก็สาธิตการซื้อสินค้าออนไลน์ในยุคต่อไป ที่มาตรฐานต่างๆ พร้อมแล้วจะสามารถซื้อเสร็จทั้งหมดพร้อมจ่ายเงินภายในไม่กี่คลิกเท่านั้น

มาตรฐานสองตัวที่ยังอยู่ระหว่างการร่าง คือ Web Authentication ที่พัฒนามาจากมาตรฐาน FIDO2 สำหรับการยืนยันตัวตนผู้ซื้อ และมาตรฐาน Web Payment สำหรับการจ่ายเงินจากข้อมูลบัตรที่เก็บไว้ล่วงหน้า

Tags:
Node Thumbnail

เฟซบุ๊กประกาศรองรับมาตรฐาน FIDO U2F นับเป็นบริการขนาดใหญ่ล่าสุดที่ประกาศรองรับ หลังจากกูเกิล, Dropbox, และ GitHub

เฟซบุ๊กรองรับการล็อกอินเฉพาะเว็บเท่านั้น ทำให้ต้องล็อกอินด้วย U2F เป็นทางเลือกเพิ่มเติมไปก่อน แต่เว็บสำหรับโทรศัพท์มือถือก็สามารถใช้งานได้ หากตัวโทเค็น U2F รองรับ NFC

U2F มีความได้เปรียบกว่าการล็อกอินสองขั้นตอนอื่นๆ ที่มันสามารถป้องกันการโจมตี phishing ได้เพราะตัวกุญแจจะไม่ส่งรหัสผ่านจากเว็บหนึ่งไปยังเว็บอื่นๆ โดยตัวเบราว์เซอร์เป็นผู้แจ้งชื่อเว็บเข้าไปยังกุญแจ USB

Tags:
Node Thumbnail

มาตรฐาน FIDO U2F เป็นมาตรฐานการยืนยันตัวตนขั้นสองที่สอง (second factor) ที่กูเกิลผลักดันและมีแนวโน้มจะได้รับการยอมรับเป็นวงกว้าง ตอนนี้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายใหญ่ในเกาหลีอย่าง SK Telecom ก็เข้ามาตลาดนี้ด้วยการเปิดตัวสมาร์ตวอชที่มี FIDO

ประกาศของ SK Telecom ไม่ได้บอกโดยตรงว่าสมาร์ตวอชนี้มีสเปคอย่างไรและใช้มาตรฐาน U2F หรือ UAF แต่หน้ารายการสินค้าที่ได้รับการรับรองของ FIDO ก็ระบุถึงสมาร์ตวอชของ SK Telecom เอาไว้เป็น SK Telecom U2F Authtenticator 1.0 for Android Wear

Tags:
Node Thumbnail

eBay เข้าร่วม FIDO Alliance กลุ่มบริษัทไอทีที่มุ่งหาทางทดแทนรหัสผ่าน โดยประกาศสนับสนุน FIDO UAF กระบวนการล็อกอินด้วยโทรศัพท์มือถือ โดยช่วงแรกทาง eBay เปิดโค้ดของเซิร์ฟเวอร์และไคลเอนต์แอนดรอยด์ตามมาตรฐาน UAF 1.0

ทาง eBay ยังไม่ได้ประกาศว่าจะรองรับ UAF อย่างเป็นทางการเมื่อใด แต่ระบุว่ารหัสผ่านเป็นปัญหาสำหรับลูกค้าจำนวนหนึ่ง โดยเฉพาะสมาร์ตโฟนที่ใส่รหัสผ่านได้ลำบาก และตอนนี้ eBay จะเน้นที่ UAF ก่อนและอาจจะพิจารณา U2F สำหรับการใช้งานในอนาคต

โค้ด FIDO UAF อยู่บน GitHub

ที่มา - eWeek

Tags:
Node Thumbnail

ปัญหาความปลอดภัยพื้นฐานที่สุดที่เราพบกันได้เสมอในทุกวันนี้ไม่ใช่ช่องโหว่ซอฟต์แวร์ที่ต้องอาศัยความรู้ทางเทคนิค แต่ยังคงเป็นการขโมยรหัสผ่านด้วยวิธีการต่างๆ ไม่ว่าจะเป็นผู้ใช้บอกให้ผู้อื่นรับรู้ หรือแม้แต่เก็บรหัสผ่านไว้อย่างไม่ปลอดภัย ไม่ว่าจะเป็นการจดไว้ตามที่ต่างๆ หรือเก็บไว้ในไฟล์ หรือกระทั่งการตั้งรหัสผ่านี่ง่ายมากๆ เช่น "1234" หรือ "password"

Tags:
Node Thumbnail

Dropbox ประกาศรองรับการใช้ USB key เป็นการยืนยันตัวตนสองชั้น (two factors authentication) นอกเหนือจากการใส่รหัส PIN จากมือถือแบบของเดิม วิธีใช้งานคือเสียบ USB key (เป็นอุปกรณ์เฉพาะ คนละอย่างกับไดรฟ์ USB ทั่วไป) ที่ลงทะเบียนไว้กับ Dropbox ค้างไว้ แล้วป้อนรหัสผ่านได้เลย

Dropbox บอกว่าการยืนยันตัวตนด้วยฮาร์ดแวร์นั้นปลอดภัยว่าการป้อน PIN เพราะในบางกรณี เราอาจโดนหลอกให้เข้าหน้าเว็บ Dropbox ปลอม เพื่อแฮ็กเกอร์จะได้รหัส PIN ของเราไปกรอกเข้าเว็บ Dropbox ของจริงอีกทีหนึ่ง แต่ถ้าเป็นการใช้ฮาร์ดแวร์ด้วยก็ไม่สามารถหลอกข้อมูลแบบนี้ได้

Tags:
Node Thumbnail

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

ไมโครซอฟท์เคยประกาศว่า Windows 10 จะรองรับ FIDO ด้วย แต่เป็น FIDO เวอร์ชัน 2.0 ที่ต้องรอกระบวนการออกมาตรฐานอีกระยะเวลาหนึ่ง

Tags:
Node Thumbnail

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

Tags:
Node Thumbnail

หลังจากที่ทาง FIDO เพิ่งออกมาตรฐานรุ่น 1.0 มา ทาง Synaptics ที่เป็นหนึ่งในสมาชิกระดับบอร์ดก็ได้ออกอุปกรณ์มารองรับทันทีในชื่อ SecurePad

Tags:
Node Thumbnail

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

Pages