FIDO Alliance

Tags:
Node Thumbnail

เฟซบุ๊กประกาศรองรับมาตรฐาน FIDO U2F นับเป็นบริการขนาดใหญ่ล่าสุดที่ประกาศรองรับ หลังจากกูเกิล, Dropbox, และ GitHub

เฟซบุ๊กรองรับการล็อกอินเฉพาะเว็บเท่านั้น ทำให้ต้องล็อกอินด้วย U2F เป็นทางเลือกเพิ่มเติมไปก่อน แต่เว็บสำหรับโทรศัพท์มือถือก็สามารถใช้งานได้ หากตัวโทเค็น U2F รองรับ NFC

U2F มีความได้เปรียบกว่าการล็อกอินสองขั้นตอนอื่นๆ ที่มันสามารถป้องกันการโจมตี phishing ได้เพราะตัวกุญแจจะไม่ส่งรหัสผ่านจากเว็บหนึ่งไปยังเว็บอื่นๆ โดยตัวเบราว์เซอร์เป็นผู้แจ้งชื่อเว็บเข้าไปยังกุญแจ USB

Tags:
Node Thumbnail

มาตรฐาน FIDO U2F เป็นมาตรฐานการยืนยันตัวตนขั้นสองที่สอง (second factor) ที่กูเกิลผลักดันและมีแนวโน้มจะได้รับการยอมรับเป็นวงกว้าง ตอนนี้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายใหญ่ในเกาหลีอย่าง SK Telecom ก็เข้ามาตลาดนี้ด้วยการเปิดตัวสมาร์ตวอชที่มี FIDO

ประกาศของ SK Telecom ไม่ได้บอกโดยตรงว่าสมาร์ตวอชนี้มีสเปคอย่างไรและใช้มาตรฐาน U2F หรือ UAF แต่หน้ารายการสินค้าที่ได้รับการรับรองของ FIDO ก็ระบุถึงสมาร์ตวอชของ SK Telecom เอาไว้เป็น SK Telecom U2F Authtenticator 1.0 for Android Wear

Tags:
Node Thumbnail

eBay เข้าร่วม FIDO Alliance กลุ่มบริษัทไอทีที่มุ่งหาทางทดแทนรหัสผ่าน โดยประกาศสนับสนุน FIDO UAF กระบวนการล็อกอินด้วยโทรศัพท์มือถือ โดยช่วงแรกทาง eBay เปิดโค้ดของเซิร์ฟเวอร์และไคลเอนต์แอนดรอยด์ตามมาตรฐาน UAF 1.0

ทาง eBay ยังไม่ได้ประกาศว่าจะรองรับ UAF อย่างเป็นทางการเมื่อใด แต่ระบุว่ารหัสผ่านเป็นปัญหาสำหรับลูกค้าจำนวนหนึ่ง โดยเฉพาะสมาร์ตโฟนที่ใส่รหัสผ่านได้ลำบาก และตอนนี้ eBay จะเน้นที่ UAF ก่อนและอาจจะพิจารณา U2F สำหรับการใช้งานในอนาคต

โค้ด FIDO UAF อยู่บน GitHub

ที่มา - eWeek

Tags:
Node Thumbnail

ปัญหาความปลอดภัยพื้นฐานที่สุดที่เราพบกันได้เสมอในทุกวันนี้ไม่ใช่ช่องโหว่ซอฟต์แวร์ที่ต้องอาศัยความรู้ทางเทคนิค แต่ยังคงเป็นการขโมยรหัสผ่านด้วยวิธีการต่างๆ ไม่ว่าจะเป็นผู้ใช้บอกให้ผู้อื่นรับรู้ หรือแม้แต่เก็บรหัสผ่านไว้อย่างไม่ปลอดภัย ไม่ว่าจะเป็นการจดไว้ตามที่ต่างๆ หรือเก็บไว้ในไฟล์ หรือกระทั่งการตั้งรหัสผ่านี่ง่ายมากๆ เช่น "1234" หรือ "password"

Tags:
Node Thumbnail

Dropbox ประกาศรองรับการใช้ USB key เป็นการยืนยันตัวตนสองชั้น (two factors authentication) นอกเหนือจากการใส่รหัส PIN จากมือถือแบบของเดิม วิธีใช้งานคือเสียบ USB key (เป็นอุปกรณ์เฉพาะ คนละอย่างกับไดรฟ์ USB ทั่วไป) ที่ลงทะเบียนไว้กับ Dropbox ค้างไว้ แล้วป้อนรหัสผ่านได้เลย

Dropbox บอกว่าการยืนยันตัวตนด้วยฮาร์ดแวร์นั้นปลอดภัยว่าการป้อน PIN เพราะในบางกรณี เราอาจโดนหลอกให้เข้าหน้าเว็บ Dropbox ปลอม เพื่อแฮ็กเกอร์จะได้รหัส PIN ของเราไปกรอกเข้าเว็บ Dropbox ของจริงอีกทีหนึ่ง แต่ถ้าเป็นการใช้ฮาร์ดแวร์ด้วยก็ไม่สามารถหลอกข้อมูลแบบนี้ได้

Tags:
Node Thumbnail

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

ไมโครซอฟท์เคยประกาศว่า Windows 10 จะรองรับ FIDO ด้วย แต่เป็น FIDO เวอร์ชัน 2.0 ที่ต้องรอกระบวนการออกมาตรฐานอีกระยะเวลาหนึ่ง

Tags:
Node Thumbnail

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

Tags:
Node Thumbnail

หลังจากที่ทาง FIDO เพิ่งออกมาตรฐานรุ่น 1.0 มา ทาง Synaptics ที่เป็นหนึ่งในสมาชิกระดับบอร์ดก็ได้ออกอุปกรณ์มารองรับทันทีในชื่อ SecurePad

Tags:
Node Thumbnail

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

Tags:
Node Thumbnail

FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน

FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้กุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น

Tags:
Node Thumbnail

ไมโครซอฟท์เข้าร่วมกลุ่ม FIDO Alliance เป็นรายล่าสุด หลังจากที่กลุ่มนี้ตั้งขึ้นมาโดยบริษัท Lenovo, Infineon, และ PayPal และ Google, NXP สมัครเข้าเป็นสมาชิกเมื่อเดือนเมษายน

กลุ่ม FIDO หวังว่าจะสร้างมาตรฐานใหม่สำหรับการยืนยันตัวตนด้วยระบบกุญแจสาธารณะ (public key) โดยเมื่อผู้ใช้ยืนยันตัวตนกับบริการใดๆ เพียงแต่สร้างกุญแจสาธารณะส่งไปยังบริการนั้นๆ และเก็บกุญแจส่วนตัวไว้ในเครื่องที่ต้องการใช้งานก็จะใช้งานไปได้เรื่อยๆ โดยไม่ต้องพิมพ์รหัสผ่านใหม่ทุกครั้งไป

Tags:
Node Thumbnail

Michael Barrett ผู้บริหารของ PayPal และประธานของกลุ่มพันธมิตร FIDO ที่ผลักดันมาตรฐานการล็อกอินแบบไม่ต้องใช้รหัสผ่าน (ข่าวเก่า) ให้สัมภาษณ์ว่าภายใน 6 เดือนข้างหน้า เราจะเห็นมือถือ Android หลากหลายรุ่นที่มีเซ็นเซอร์ทางชีวภาพ สามารถยืนยันตัวตนกับบริการต่างๆ ได้ผ่านการตรวจสอบลายนิ้วมือ

Barrett บอกว่าเป้าหมายของ FIDO คือผลักดันมาตรฐานการล็อกอินแบบเดียวกับที่ Wi-Fi เคยผลักดันมาตรฐานการเชื่อมต่อไร้สายได้สำเร็จ โดยจะกำหนดมาตรฐานเปิดที่ใครๆ ก็สามารถนำไปใช้ได้ โดยมือถือ Android ชุดแรกที่รองรับมาตรฐาน FIDO จะวางตลาดช่วงต้นปี 2014

Tags:
Node Thumbnail

Michael Barrett ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (information security) ของ PayPal และประธานของกลุ่ม FIDO Alliance (Fast Identity Online - ข่าวเก่า) ไปพูดที่งานสัมมนาด้านความปลอดภัย Interop

Barrett อธิบายเป้าหมายของกลุ่ม FIDO ว่าต้องการกำจัดระบบล็อกอินด้วยรหัสผ่านและ PIN ออกไปจากโลกนี้ รหัสผ่านเป็นวิธีการที่คิดขึ้นตั้งแต่ปี 1961 แต่ปัจจุบันเรามีเว็บไซต์ที่ต้องใช้รหัสผ่านจำนวนมหาศาล ทำให้ผู้ใช้มักตั้งรหัสผ่านเหมือนๆ กัน แถมการจดจำรหัสผ่านทำให้ผู้ใช้ตั้งรหัสผ่านง่ายๆ ทำให้รหัสผ่านถูกเจาะได้ง่ายมาก

Tags:
Node Thumbnail

การใช้รหัสผ่านเป็นวิธีการยืนยันตัวตนที่ใช้กันมานานมาก จุดอ่อนของมันคือความยุ่งยากของฝั่งผู้ใช้เองที่ต้องจำรหัสผ่านหลายๆ ชุด และถูกเจาะหรือขโมยได้ง่ายมาก

ทางออกที่ปลอดภัยกว่าคือการใช้วิธียืนยันตัวตนแบบอื่นๆ (เช่น ลายนิ้วมือ เสียง หรืออุปกรณ์ฮาร์ดแวร์) เข้าช่วยยืนยันอีกชั้นหนึ่ง แต่ปัญหาคือยังไม่มีมาตรฐานกลางสำหรับการยืนยันตัวตน 2 ชั้นลักษณะนี้ ทำให้ผู้ใช้ยุ่งยากและพลอยไม่ใช้งานไปในที่สุด

บริษัทไอทีอย่าง Lenovo, Infineon, PayPal จึงรวมกันตั้งกลุ่มมาตรฐานอุตสาหกรรมชื่อ FIDO Alliance ขึ้นมาเพื่อสร้างแพลตฟอร์มกลางสำหรับเว็บไซต์หรือเบราว์เซอร์ เพื่อให้รองรับวิธีการยืนยันตัวตนที่หลากหลายมากขึ้น

Pages