Tags:
Node Thumbnail

Ken Thompson เป็นหนึ่งในผู้สร้างระบบปฎิบัติการยูนิกซ์ ที่เป็นต้นแบบของมาตรฐาน POSIX ที่ไลนัสนำมาสร้างลินุกซ์อีกที เป็นหนึ่งในผู้พัฒนา BSD 3.0 มาตั้งแต่ปี 1980 และซอร์สโค้ดก็อยู่รอดมาจนทุกวันนี้ โดยพบว่ามีไฟล์ /etc/passwd ที่เก็บค่าแฮชรหัสผ่านหลุดมาด้วย ล่าสุดรหัสผ่านของ Thompson ที่มีค่าแฮชเป็น ZghOT0eRm4U9s ก็ถูกถอดรหัสออกมาแล้ว

Tags:
Node Thumbnail

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

Tags:
Node Thumbnail

Fernando Corbato นักวิทยาการคอมพิวเตอร์จาก MIT ผู้คิดค้นระบบรหัสผ่านและ Compatible Time-Sharing System ได้เสียชีวิตแล้วในวัย 93 ปี

แต่เดิม ระบบคอมพิวเตอร์จะใช้งานได้ทีละคน แต่ Compatible Time-Sharing System หรือ CTSS ที่ Corbato และทีมคิดค้นขึ้นมาเป็นระบบคอมพิวเตอร์แชร์การใช้งาน คือผู้ใช้หลายคนสามารถเข้าใช้คอมพิวเตอร์เครื่องเดียวกันในเวลาเดียวกันไปพร้อม ๆ กัน ซึ่งเป็นต้นฉบับของระบบปฏิบัติการในยุคปัจจุบัน

การแชร์คอมพิวเตอร์กันใช้งานในระบบคอมพิวเตอร์ CTSS นี้เองที่ทำให้เกิดระบบรหัสผ่านขึ้น เพื่อเป็นเครื่องมือควบคุมความเป็นส่วนตัวขั้นพื้นฐานของผู้ใช้งานคอมพิวเตอร์ที่แชร์ทรัพยากรร่วมกัน

Tags:
Node Thumbnail

การตั้งพาสเวิร์ดของผู้ใช้น่าจะเป็นหนึ่งในปัญหาที่น่าปวดหัว สำหรับผู้ที่เกี่ยวข้องไอทีด้านความปลอดภัย ล่าสุดไมโครซอฟท์เลยกำลังแพลนจะยกเลิกการล็อกอิน Windows 10 ด้วยพาสเวิร์ดและอาศัย Windows Hello หรือ PIN แทน

ไมโครซอฟท์เคยแย้งเอาไว้ด้วยว่า PIN มีความปลอดภัยมากกว่า เพราะความเป็นตัวเลข (ไม่ใช่ตัวหนังสือที่รวมเป็นคำ) รวมถึงตัว PIN จะถูกเก็บอยู่ใน TPM บนเครื่องด้วย

Tags:
Node Thumbnail

Chrome 75 เข้าสถานะ stable ทั้งเวอร์ชันเดสก์ท็อปและเวอร์ชัน Android

Chrome 75 เวอร์ชันเดสก์ท็อป เพิ่มฟีเจอร์สำหรับนักพัฒนา โดยลด latency ของวัตถุในแท็ก canvas, เว็บแอพสามารถแชร์ไฟล์ระหว่างกันได้ง่ายขึ้น, ปรับปรุงของใหม่ในเครื่องมือสำหรับนักพัฒนา (developer tools)

ส่วนฟีเจอร์สำหรับผู้ใช้ทั่วไป เพิ่มตัวเลือก manage security keys ในหน้า Settings และเพิ่มโหมดช่วยอ่าน (Reader Mode) ที่เว็บเบราว์เซอร์ตัวอื่นมีกันไปนานแล้ว ตอนนี้ผู้ใช้ต้องเปิดใช้เองในหน้า chrome://flags ก่อน

Chrome 75 for Android เพิ่มฟีเจอร์สร้างรหัสผ่านที่แข็งแรง (generating strong password) ได้จากตัว password manager เลย และสามารถกดดูรหัสผ่านที่เราบันทึกไว้ได้ โดยแตะที่ช่องกรอกรหัสผ่านบนหน้าเว็บ

Tags:
Node Thumbnail

กูเกิลแถลงถึงความผิดพลาดในการอิมพลีเมนต์ฟีเจอร์ในหน้าจอคอนโซลของ G Suite ทำให้รหัสผ่านของผู้ใช้จำนวนหนึ่งถูกเก็บไว้โดยไม่ได้แฮช โดยมีสองฟีเจอร์ด้วยกัน คือ

  • ฟีเจอร์กู้คืนรหัสผ่านโดยผู้ดูแล เริ่มใช้มาตั้งแต่ปี 2005 และยกเลิกไปแล้ว
  • กระบวนการสมัครใช้งาน G Suite เมื่อเดือนมกราคมที่ผ่านมา เก็บรหัสผ่านไม่ได้แฮชโดยไม่ตั้งใจไว้ไม่เกิน 14 วัน

กูเกิลแจ้งเตือนผู้ดูแลบัญชี G Suite ที่ได้รับผลกระทบทั้งหมดแล้ว และหากผู้ใช้ยังไม่ยอมรีเซ็ตรหัสก็จะบังคับรีเซ็ตอีกครั้งเพื่อความปลอดภัย โดยกูเกิลขออภัยในความผิดพลาดครั้งนี้

ที่มา - Google Cloud Blog

Tags:
Node Thumbnail

Azure AD บริการจัดการผู้ใช้แบบรวมศูนย์กลางของไมโครซอฟท์ประกาศขยายความยาวรหัสผ่านจากเดิมจำกัดที่ 16 ตัวอักษรมาเป็น 256 ตัวอักษร

แนวทางการอนุญาตให้ตั้งรหัสผ่านได้ยาวขึ้นเรื่อยๆ เป็นมาตรฐานความปลอดภัยที่เป็นมาตรฐานในช่วงหลัง โดยมาตรฐาน NIST 800-63B ระบุให้บริการควรรับรหัสผ่านอย่างน้อย 64 ตัวอักษร และควรรองรับตัวอักษรภาษาอื่นๆ รวมถึงช่องว่าง สำหรับการปรับนโยบายของ Azure AD นี้ยังไม่รองรับตัวอักษรภาษาอื่น

Active Directory ของไมโครซอฟท์ที่ติดตั้งในองค์กรนั้นรองรับรหัสผ่านความยาวเกิน 16 ตัวอักษรมานานแล้ว แต่บริการ Azure AD เพิ่งปรับในสัปดาห์นี้

Tags:
Node Thumbnail

ไมโครซอฟท์เผยรายละเอียดของการเปลี่ยนแปลงด้านความปลอดภัยใน Windows 10 May 2019 Update (v1903) ที่จะออกตัวจริงช่วงปลายเดือนหน้า

ประเด็นสำคัญคือการเปลี่ยนค่าดีฟอลต์คอนฟิกของ Windows 10 (ศัพท์อย่างเป็นทางการคือ security baseline) ที่ใช้กับผู้ใช้องค์กร โดยเลิกบังคับให้รหัสผ่านมีวันหมดอายุ (password expiration) ที่ส่งผลให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านใหม่ทุกระยะเวลาที่กำหนด (ค่าดีฟอลต์คือ 60 วัน)

Tags:
Node Thumbnail

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

Tags:
Node Thumbnail

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

ล่าสุดเมื่อวานนี้ Facebook อัพเดตข้อมูลเพิ่มเติมว่า ค้นพบกรณีเดียวกันแต่เป็นรหัสผ่านของ Instagram ที่ถูกเก็บแบบ plaintext อีกชุดหนึ่ง มีผู้ใช้ที่ได้รับผลกระทบ "หลักล้านคน" (millions of Instagram users) และบริษัทก็จะแจ้งเตือนผู้ใช้กลุ่มนี้เช่นกัน

Tags:
Node Thumbnail

วันนี้ World Wide Web Consortium หรือ W3C ได้ประกาศให้ Web Authentication API หรือ WebAuthn เป็นมาตรฐานเว็บอย่างเป็นทางการแล้ว

WebAuthn นั้นเป็นมาตรฐานระบบล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านของ W3C โดยระบบนี้พัฒนาต่อมาจาก FIDO2 และ CTAP ซึ่งสามารถทำงานร่วมกับ FIDO UAF และ U2F ที่ออกมาก่อนหน้านี้ได้

ระบบล็อกอิน WebAuthn ออกแบบมาเพื่อให้ผู้ใช้ไม่ต้องใช้รหัสผ่านในการล็อกอิน (หรือจะนำมาใช้ร่วมกับรหัสผ่านก็ได้) โดยการใช้อุปกรณ์ต่าง ๆ เช่น เซนเซอร์สแกนลายนิ้วมือ หรือกุญแจความปลอดภัย ซึ่งตอนนี้ WebAuthn รองรับทั้งบน Android และ Windows 10 ส่วนเบราว์เซอร์ที่รองรับก็มีทั้ง Chrome, Firefox, Edge (ส่วน Safari ยังอยู่ในช่วงเบต้า)

Tags:
Node Thumbnail

มีรายงานการแฮกข้อมูลครั้งมโหฬารด้วยเป็นอีเมลและพาสเวิร์ดกว่า 773 ล้านแอคเคาท์ จากกว่า 340 เว็บไซต์ถูกแฮกและถูกนำมาปล่อยโหลดว่าเว็บไซต์ฝากไฟล์ MEGA ซึ่งข้อมูลนี้ถูกเรียกว่า Collection #1 เป็นข้อมูลกว่า 87GB และถึงแม้จะถูกลบไปแล้ว แต่ก็มีนักวิจัยความปลอดภัยไปพบว่าถูกโพสต์บนฟอรัมอื่นๆ อีก

ใครสงสัยว่าแอคเคาท์ตัวเองถูกแฮกไปหรือไม่ สามารถตรวจได้จาก Have I been pawned หากพบว่า Oh, no pwned ให้รีบเปลี่ยนพาสเวิร์ดทันที

ส่วนข้อแนะนำหลักๆ ในการใช้งานแอคเคาท์หลายๆ เว็บไซต์หรืออย่าตั้งพาสเวิร์ดซ้ำกัน, ให้ใช้พาสเวิร์ดเดายากๆ โดยมีตัวเลขหรือสัญลักษณ์อยู่ด้วย, ใช้กระบวนการยืนยันตน 2 ขั้น (2FA) สุดท้ายคือใช้โปรแกรม Password Manager เข้ามาช่วยครับ

Tags:
Node Thumbnail

ไมโครซอฟท์ออก Windows 10 Insider Preview Build 18309 รุ่นทดสอบตัวแรกของปี 2019

ของใหม่ที่สำคัญเป็นการปรับฟีเจอร์ด้านการล็อกอินที่เริ่มเพิ่มเข้ามาใน Build 18305 ตัวก่อนหน้านี้ ให้ใช้ได้กับ Windows 10 ทุก edition (ตัวก่อนหน้านี้มีเฉพาะรุ่น Home)

สิ่งที่น่าสนใจคือไมโครซอฟท์ปรับให้บัญชี Microsoft Account สามารถใช้งานได้แบบไม่ต้องมีรหัสผ่านอีกแล้ว โดยผู้ใช้สามารถสร้างบัญชี Microsoft Account ด้วยหมายเลขโทรศัพท์เพียงอย่างเดียว แล้วล็อกอินด้วยโค้ดจาก SMS แทนรหัสผ่านแบบเดิม ไมโครซอฟท์เรียกมันว่า password-less phone number account

Tags:
Node Thumbnail

บริษัทความปลอดภัย SplashData เจ้าของแอป TeamsID, Gpass และ SplashID ประกาศผลอันดับรหัสผ่านยอดแย่ของปี 2018 ซึ่งปีนี้เป็นปีที่ 8 แล้วของการจัดอันดับ โดยการจัดอันดับนั้นใช้วิธีการรวบรวมรหัสผ่านที่หลุดออกมาจากในอินเทอร์เน็ตหลายล้านชุด เพื่อดูว่ารหัสใดที่คนนิยมใช้กัน

ผลรหัสผ่านยอดแย่ในสองอันดับแรก ยังคงเป็น 123456 และ password ซึ่งครองอันดับ 1 และ 2 คู่กัน ติดต่อกันมาเป็นปีที่ 5 แล้ว (ดูอันดับปี 2017) ทั้งนี้ SplashData ประเมินว่าคนในอินเทอร์เน็ตราว 10% ใช้รหัสผ่านที่อยู่ใน 25 อันดับแรก และประมาณ 3% ใช้ 123456 นอกจากนี้มีข้อสังเกตว่ารหัสผ่านยอดแย่ที่ติดอันดับหลายอัน เป็นชุดตัวเลข

Tags:
Node Thumbnail

รัฐแคลิฟอร์เนียร์ผ่านกฎหมายควบคุมอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต (SB-327 Information privacy: connected devices.) ที่ควบคุมให้ผู้ผลิตต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมหากอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดยระบุว่าผู้ผลิตต้องเลือกระหว่างใช้รหัสผ่านเริ่มต้นไม่ซ้ำกันในอุปกรณ์แต่ละชิ้นที่ขายไป หรือตั้งให้ผู้ใช้ต้องตั้งรหัสผ่านเองเมื่อเปิดใช้งานครั้งแรก

กฎหมายนี้ยกเว้นให้กับอุปกรณ์ที่เชื่อมต่อเฉพาะเน็ตเวิร์กภายใน (LAN) เท่านั้น หากเปิดทางให้ผู้ใช้เชื่อมต่อจากเน็ตเวิร์กภายนอกไม่ว่าทางตรงหรือทางอ้อมจึงจะเข้าข่ายบังคับ และกฎหมายจะเริ่มบังคับตั้งแต่วันที่ 1 มกราคม 2020 ทำให้ผู้ผลิตมีเวลาปรับตัวประมาณ 15 เดือนนับจากนี้ไป

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศว่า Microsoft Edge รองรับฟีเจอร์ Web Authentication (WebAuthn) ตามสเปกของ W3C เปิดให้ผู้ใช้สามารถล็อกอินเข้าใช้งานเว็บไซต์ต่างๆ ด้วยวิธีการยืนยันตัวตนแบบอื่นที่ไม่ใช่รหัสผ่าน เช่น ใบหน้า ลายนิ้วมือ PIN หรืออุปกรณ์ยืนยันตัวตนที่เป็น FIDO2

การที่ไมโครซอฟท์มีระบบยืนยันตัวตน Windows Hello ฝังมากับ Windows 10 อยู่แล้ว ทำให้สามารถต่อยอด Windows Hello กับ Microsoft Edge ได้ทันทีโดยผู้ใช้ไม่ต้องทำอะไรเพิ่ม เมื่อเจอกับหน้าจอเว็บไซต์ที่เปิดให้ยืนยันตัวตนผ่าน Web Authentication เราจะเห็นหน้าจอของ Windows Hello ขึ้นมาให้ยืนยันตัวตนทันที

Tags:
Node Thumbnail

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex"

Tags:
Node Thumbnail

Twitter ออกประกาศคำเตือนเรื่องความปลอดภัย มีผลกับผู้ใช้งานทุกคน โดยแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านทันที เนื่องจากพบบั๊กภายใน ที่มีการเก็บรหัสผ่านไว้โดยไม่ได้แฮช

คำอธิบายของบั๊กนี้ Twitter บอกว่ามีการเก็บล็อกภายใน ที่พบว่าไม่ได้ทำการแฮชรหัสผ่านไว้ ซึ่งบั๊กนี้ได้ถูกแก้ไขไปแล้ว และจากการตรวจสอบก็ไม่พบการหลุดของล็อกดังกล่าว หรือข้อมูลในนั้นถูกนำไปใช้ อย่างไรก็ตาม Twitter ก็คงคำแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านในหน้า Settings และไม่แนะนำให้ใช้รหัสผ่านที่ซ้ำกับบริการอื่น

Twitter ยังแนะนำว่านอกจากรหัสผ่านที่แข็งแรงแล้ว ผู้ใช้ควรเปิดยืนยันตัวตนสองขั้นตอนด้วย

Tags:
Node Thumbnail

ทุกวันนี้การพัฒนาแอพพลิเคชันจำนวนมาก มักจำเป็นต้องเก็บรหัสผ่านหรือคีย์บางอย่าง เช่น รหัสผ่านเข้าถึงฐานข้อมูล หรือ คีย์สำหรับเข้าถึง API ภายนอก

ปัญหาในแง่ความปลอดภัยคือการเก็บข้อมูลลับเหล่านี้ไม่ควรเก็บอยู่ในโค้ดของตัวโปรแกรม (hard code) เพราะอาจรั่วไหลไปยังบุคคลอื่นได้ ที่ผ่านมาก็มี หลายกรณี ที่รหัสผ่านหลุด จากการฝังไว้แบบ hard code

Tags:
Node Thumbnail

บริการจัดการรหัสผ่าน 1Password ได้เพิ่มฟีเจอร์ใหม่เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้รั่วออกไปหรือยัง โดยใช้บริการของ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อว่า Pwned Passwords โดยบริการนี้มีฐานข้อมูลรหัสผ่านเก็บได้จากการรั่วไหลจำนวนกว่า 500 ล้านรหัส

วิธีใช้งานสำหรับผู้ใช้ 1Password คือจะต้องล็อกอินเข้าไปที่เว็บไซต์ 1Password.com ก่อน จากนั้นคลิก Open Vault เพื่อดูข้อมูลที่เก็บอยู่ภายใน เลือกบัญชีล็อกอินที่เก็บไว้ จากนั้นกด Shift-Control-Option-C จากนั้นจะมีปุ่ม Check Password ปรากฏขึ้นข้าง ๆ รหัสผ่าน เมื่อคลิกแล้ว 1Password ก็จะติดต่อไปยังระบบ Pwned Passwords เพื่อตรวจสอบและแสดงว่ามีรหัสผ่านนี้อยู่ในฐานข้อมูลหรือไม่

Tags:
Node Thumbnail

บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID เปิดเผยสถิติ รหัสผ่านยอดแย่ หรือพูดอีกอย่างก็คือรหัสผ่านยอดนิยม ประจำปี 2017

โดยอันดับ 1 และ 2 นั้น ก็ยังคงเดิมไม่เปลี่ยนแปลง นั่นคือ 123456 และ password ส่วนอันดับสามคือ 12345678 ภาพรวมนั้นก็เป็นรหัสผ่านที่คุ้นชิน แต่ Morgan Slain ซีอีโอของ SplashData ให้ข้อสังเกตในอันดับที่ 16 คือ starwars โดยแนะนำว่าแฮกเกอร์มักเลือกใช้คำที่เป็นกระแสนิยมในการคาดเดาะ เพราะผู้ใช้งานมักเลือกคำแนวนี้เป็นรหัสเนื่องจากจำได้ง่าย แต่จริงๆ ไม่ควรนำมาใช้

10 อันดับรหัสผ่านยอดฮิตดูได้ท้ายข่าว

Tags:
Node Thumbnail

รัฐสภาอังกฤษตรวจพบว่าอีเมลบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต ทำให้ตัดสินใจปิดระบบอีเมลไม่ให้เข้าถึงจากภายนอกรัฐสภา โดยระบุว่ามีบัญชีที่ได้รับผลกระทบน้อยกว่า 1% จากทั้งหมดกว่า 9,000 บัญชี สาเหตุที่ถูกแฮกได้เพราะบัญชีเหล่านี้ตั้งรหัสผ่านที่อ่อนแอเกินไป

มาตรฐานการตั้งรหัสผ่านตาม NIST SP 800-63B เวอร์ชั่นใหม่ยกเลิกการบังคับเงื่อนไขการตั้งรหัสผ่านให้ซับซ้อน แต่ก็แนะนำให้ระบบแสดงมิตเตอร์ความซับซ้อนของรหัสผ่านให้ผู้ใช้เห็น พร้อมกับรวบรวมรายการรหัสผ่านต้องห้ามเพื่อไม่ให้ผู้ใช้นำรหัสผ่านเหล่านั้นไปใช้งานและจำกัดปริมาณการล็อกอินที่ล้มเหลว

ตอนนี้ยังไม่มีข้อมูลว่าแฮกเกอร์ได้ข้อมูลอะไรออกไปบ้าง

Tags:
Node Thumbnail

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง

Tags:
Node Thumbnail

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

การห้ามแปะรหัสผ่านจากคลิปบอร์ดทำให้ผู้ใช้ไม่สามารถใช้ซอฟต์แวร์จัดการรหัสผ่านบางตัวได้ และไปกระตุ้นให้ผู้ใช้เลือกทางออกที่อันตรายกว่า เช่น การใช้รหัสผ่านซ้ำๆ กัน, ใช้รหัสผ่านที่ง่ายมากๆ, หรือเขียนรหัสผ่านไว้ในที่ที่มองเห็นได้ง่าย

Tags:
Node Thumbnail

Keeper Seecurity แอพจัดการรหัสผ่าน รวบรวมสถิติรหัสผ่านที่หลุดในปี 2016 รวมกว่า 10 ล้านบัญชี เพื่อมาวิเคราะห์ดูแนวโน้มว่า "รหัสผ่านยอดนิยม" ของประชากรชาวโลกคืออะไรกันแน่

ผลลัพธ์ยังเป็นเหมือน ไม่ได้แตกต่างอะไรจากสถิติในปี 2015 มากนัก รหัสผ่านยอดนิยมยังเป็น 123456 ที่มีคนใช้มากถึง 17% ของรหัสผ่านทั้งหมด และอันดับ Top 10 ก็เต็มไปด้วยรหัสผ่านที่คาดเดาได้ง่าย เช่น password, qwerty, 111111, 123123 เป็นต้น

Keeper บอกว่ารหัสผ่าน 25 อันดับแรกถูกใช้บ่อยมาก และคิดเป็นสัดส่วน 50% ของรหัสผ่าน 10 ล้านชุดที่นำมาวิเคราะห์เลยทีเดียว บริษัทแนะนำว่าถ้าใครยังตั้งรหัสผ่านเหล่านี้อยู่ก็ควรเปลี่ยนทันที

Pages