Tags:
Node Thumbnail

NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)

ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ

Tags:
Node Thumbnail

Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

Tags:
Node Thumbnail

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

Tags:
Node Thumbnail

จากกรณีการแฮ็ก SolarWinds ครั้งประวัติศาสตร์ ที่ส่งผลให้หน่วยงานภาครัฐในหลายประเทศโดนแฮ็กตามไปด้วย ทำให้คณะกรรมาธิการด้านความมั่นคงของสภาผู้แทนราษฎรสหรัฐ เรียกผู้บริหารของ SolarWinds มาชี้แจง

ประเด็นหนึ่งที่น่าสนใจคือความอ่อนแอของระบบความปลอดภัย SolarWinds เอง โดยในปี 2019 มีนักวิจัยด้านความปลอดภัยค้นพบรหัสผ่าน "solarwinds123" ถูกโพสต์อยู่ในอินเทอร์เน็ตสาธารณะตั้งแต่ปี 2017 และพบว่าเป็นรหัสผ่านเข้าเซิร์ฟเวอร์ภายในของบริษัท (กรณีนี้ไม่เกี่ยวกับ SolarWinds ถูกแฮ็กโดยตรง แต่สะท้อนว่าบริษัทไม่ค่อยระวัง)

Tags:
Node Thumbnail

กูเกิลออก Chrome 88 รุ่นเสถียรตัวแรกของปี 2021 ของใหม่ไปโฟกัสอยู่ที่หน้าจัดการรหัสผ่าน (chrome://settings/passwords)

Tags:
Node Thumbnail

Ticketmaster บริษัทขายตั๋วในสหรัฐฯ ยอมความกับ FBI หลังถูกดำเนินคดีเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ด้วยการซื้อตัวพนักงานบริษัทคู่แข่ง แล้วเอารหัสผ่านระบบหลังบ้านของคู่แข่งมาให้ผู้บริหารของ Ticketmaster เข้าไปสำรวจได้ว่าคู่แข่งมีใครเป็นลูกค้าบ้าง

Tags:
Node Thumbnail

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

Tags:
Node Thumbnail

ทีมวิจัยของ vpnMentor พบฐานข้อมูลที่คาดว่าจะเป็นของกลุ่มแฮกเกอร์ที่เก็บผลการแฮกบัญชีผู้ใช้ Spotify ด้วยการเดารหัสผ่านไปเรื่อยๆ จนสามารถล็อกอินบัญชีผู้ใช้ได้ประมาณ 300,000 ถึง 350,000 ราย จากฐานข้อมูลที่มีชื่อผู้ใช้ทั้งหมด 380 ล้านรายการ

ฐานข้อมูล Elasticsearch ที่เปิดสู่อินเทอร์เน็ตนี้ไม่ได้มาจาก Spotify เอง แต่คาดว่าแฮกเกอร์น่าจะรวบรวมรายชื่อผู้ใช้มาจากแหล่งอื่นๆ จากนั้นค้นหาว่ามีบัญชีใดใช้รหัสผ่านที่คาดเดาได้ง่าย (credential stuffing attack)

ทาง vpnMentor พบฐานข้อมูลนี้ตั้งแต่ต้นเดือนกรกฎาคมที่ผ่านมาแล้วจึงแจ้งไปยัง Spotify ทางบริษัทได้ไล่รีเซ็ตรหัสผ่านของบัญชีที่ถูกแฮกในห้วงเวลา 12 วันหลังได้รับแจ้ง

Tags:
Topics: 
Node Thumbnail

NordPass บริษัทแอปช่วยเก็บพาสเวิร์ด เปิดเผยพาสเวิร์ดที่มีผู้ใช้มากที่สุด 200 อันดับในปี 2020 ผลออกมาว่า “123456” ขึ้นมาครองตำแหน่งอันดับ 1 จากอันดับ 2 ในปีที่แล้ว โดยมีผู้ใช้กว่า 2.5 ล้านคน และแชมป์เก่าอย่าง “12345” ตกลงไปอยู่อันดับ 8 มีผู้ใช้ประมาณ 1.9 แสนคน ผู้เขียนคาดว่าน่าจะเพราะความยาวไม่ถึง 6 ตัวอักษร ที่เป็นขั้นต่ำของรหัสผ่านในหลายๆ บริการและแอปที่มีคนใช้มากขึ้นในปีนี้

Tags:
Node Thumbnail

Victor Gevers นักวิจัยความปลอดภัยไซเบอร์อ้างว่าสามารถล็อกอินบัญชี @realDonaldTrump ของโดนัลด์ ทรัมป์ ประธานาธิบดีสหรัฐฯ ได้สำเร็จ ว่าใช้รหัสผ่าน "maga2020!" พร้อมกับระบุว่าทรัมป์ไม่ได้เปิดการล็อกอินสองขั้นตอนเอาไว้

ทางด้านทำเนียบขาวให้สัมภาษณ์กับ Forbes ระบุว่าการอ้างของ Victor ไม่เป็นความจริง ขณะที่ Victor อ้างว่าได้รับการติดต่อจาก US Secret Service เพื่อขอบคุณที่แจ้งเตือนช่องโหว่นี้ และ Victor พบว่าบัญชีทวิตเตอร์ของทรัมป์เปิดใช้งานล็อกอินสองขั้นตอนแล้ว

ทรัมป์พูดถึงประเด็นนี้ระหว่างการเดินสายหาเสียง ยืนยันว่าไม่ได้โดนแฮก พร้อมกับระบุว่า "ถ้าใครจะโดนแฮก ต้องใช้[แฮกเกอร์]ที่มีไอคิว 197 แถมต้องรู้รหัสผ่านอย่างน้อย 15%"

Tags:
Node Thumbnail

กูเกิลเพิ่มความปลอดภัยรหัสผ่านใน Chrome เวอร์ชั่นโทรศัพท์มือถือ โดยมีฟีเจอร์สำคัญคือการแจ้งเตือนผู้ใช้เมื่อกำลังใช้งานรหัสผ่านที่เคยหลุดออกสู่สาธารณะมาก่อน และยังนำผู้ใช้ไปยังหน้าเปลี่ยนรหัสผ่านโดยอัตโนมัติ

ฟีเจอร์ใหม่บน iOS/Android คือการรองรับ Enhanced Safe Browsing ที่ตัวเบราว์เซอร์จะส่งข้อมูลกลับไปยังบริการ Safe Browsing เพื่อเช็คว่าเว็บที่กำลังเข้ามีความเสี่ยงหรือไม่ ฟีเจอร์นี้มีบน Chrome เวอร์ชั่นเดสก์ทอปมาก่อนแล้ว โดยกูเกิลระบุว่าผู้ใช้ที่เปิดใช้งานมีอัตราการพิมพ์รหัสผ่านลงเว็บฟิชชิ่งลดลง 20%

Tags:
Node Thumbnail

กรรมการการแข่งขันทางการค้าและการปกป้องผู้บริโภคออสเตรเลีย (Australian Competition and Consumer Commission - ACCC) ยืนยันไม่สอบสวนธนาคารที่แจ้งเตือนลูกค้าไม่ให้ใส่รหัสผ่านล็อกอินธนาคารในแอปฟินเทคเพื่อดูดข้อมูลบัญชีออกจากธนาคาร หลังจากมีบริษัทฟินเทคไม่เปิดเผยชื่อได้ร้องเรียนไปยัง ACCC ว่าการที่ธนาคารแจ้งเตือนเช่นนี้เป็นการทำลายการแข่งขัน

ธนาคารหลายชาติไม่ได้เปิดช่องทางการดาวน์โหลดข้อมูลออกจากระบบ ทำให้บริการฟินเทคที่ต้องการข้อมูลบัญชีผู้ใช้เพื่อให้บริการจัดการทางการเงินอาศัยการดูดเว็บ (screen scraping) โดยผู้ใช้ต้องมอบชื่อผู้ใช้และรหัสผ่านให้กับบริการฟินเทคเหล่านั้นไปโดยตรง เพื่อให้บริการฟินเทคไปล็อกอินและดาวน์โหลดข้อมูลออกมา

Tags:
Node Thumbnail

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

Tags:
Node Thumbnail

บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน

อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4

Tags:
Node Thumbnail

สำนักข่าว NBC รายงานว่า Rudy Giuliani อดีตนายกเทศมนตรีนครนิวยอร์ก และที่ปรึกษาด้านความมั่นคงไซเบอร์ของประธานาธิบดี Donald Trump เกิดลืมรหัสผ่าน iPhone ของตัวเอง และใส่รหัสผ่านผิดครบ 10 ครั้งทำให้เครื่องล็อค ทำให้เขาต้องเดินทางไปยังร้าน Apple Store เพื่อให้แอปเปิลแก้ไขให้

เหตุการณ์เกิดขึ้นเมื่อปี 2017 หลัง Giuliani ได้รับการแต่งตั้งให้เป็นที่ปรึกษาด้านความมั่นคงไซเบอร์ไม่นาน และสุดท้ายทางออกของเรื่องนี้คือ พนักงานแอปเปิลต้องรีเซ็ตเครื่องใหม่ และดึงข้อมูลกลับมาจาก iCloud ให้ Giuliani

Tags:
Node Thumbnail

Ken Thompson เป็นหนึ่งในผู้สร้างระบบปฎิบัติการยูนิกซ์ ที่เป็นต้นแบบของมาตรฐาน POSIX ที่ไลนัสนำมาสร้างลินุกซ์อีกที เป็นหนึ่งในผู้พัฒนา BSD 3.0 มาตั้งแต่ปี 1980 และซอร์สโค้ดก็อยู่รอดมาจนทุกวันนี้ โดยพบว่ามีไฟล์ /etc/passwd ที่เก็บค่าแฮชรหัสผ่านหลุดมาด้วย ล่าสุดรหัสผ่านของ Thompson ที่มีค่าแฮชเป็น ZghOT0eRm4U9s ก็ถูกถอดรหัสออกมาแล้ว

Tags:
Node Thumbnail

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

Tags:
Node Thumbnail

Fernando Corbato นักวิทยาการคอมพิวเตอร์จาก MIT ผู้คิดค้นระบบรหัสผ่านและ Compatible Time-Sharing System ได้เสียชีวิตแล้วในวัย 93 ปี

แต่เดิม ระบบคอมพิวเตอร์จะใช้งานได้ทีละคน แต่ Compatible Time-Sharing System หรือ CTSS ที่ Corbato และทีมคิดค้นขึ้นมาเป็นระบบคอมพิวเตอร์แชร์การใช้งาน คือผู้ใช้หลายคนสามารถเข้าใช้คอมพิวเตอร์เครื่องเดียวกันในเวลาเดียวกันไปพร้อม ๆ กัน ซึ่งเป็นต้นฉบับของระบบปฏิบัติการในยุคปัจจุบัน

การแชร์คอมพิวเตอร์กันใช้งานในระบบคอมพิวเตอร์ CTSS นี้เองที่ทำให้เกิดระบบรหัสผ่านขึ้น เพื่อเป็นเครื่องมือควบคุมความเป็นส่วนตัวขั้นพื้นฐานของผู้ใช้งานคอมพิวเตอร์ที่แชร์ทรัพยากรร่วมกัน

Tags:
Node Thumbnail

การตั้งพาสเวิร์ดของผู้ใช้น่าจะเป็นหนึ่งในปัญหาที่น่าปวดหัว สำหรับผู้ที่เกี่ยวข้องไอทีด้านความปลอดภัย ล่าสุดไมโครซอฟท์เลยกำลังแพลนจะยกเลิกการล็อกอิน Windows 10 ด้วยพาสเวิร์ดและอาศัย Windows Hello หรือ PIN แทน

ไมโครซอฟท์เคยแย้งเอาไว้ด้วยว่า PIN มีความปลอดภัยมากกว่า เพราะความเป็นตัวเลข (ไม่ใช่ตัวหนังสือที่รวมเป็นคำ) รวมถึงตัว PIN จะถูกเก็บอยู่ใน TPM บนเครื่องด้วย

Tags:
Node Thumbnail

Chrome 75 เข้าสถานะ stable ทั้งเวอร์ชันเดสก์ท็อปและเวอร์ชัน Android

Chrome 75 เวอร์ชันเดสก์ท็อป เพิ่มฟีเจอร์สำหรับนักพัฒนา โดยลด latency ของวัตถุในแท็ก canvas, เว็บแอพสามารถแชร์ไฟล์ระหว่างกันได้ง่ายขึ้น, ปรับปรุงของใหม่ในเครื่องมือสำหรับนักพัฒนา (developer tools)

ส่วนฟีเจอร์สำหรับผู้ใช้ทั่วไป เพิ่มตัวเลือก manage security keys ในหน้า Settings และเพิ่มโหมดช่วยอ่าน (Reader Mode) ที่เว็บเบราว์เซอร์ตัวอื่นมีกันไปนานแล้ว ตอนนี้ผู้ใช้ต้องเปิดใช้เองในหน้า chrome://flags ก่อน

Chrome 75 for Android เพิ่มฟีเจอร์สร้างรหัสผ่านที่แข็งแรง (generating strong password) ได้จากตัว password manager เลย และสามารถกดดูรหัสผ่านที่เราบันทึกไว้ได้ โดยแตะที่ช่องกรอกรหัสผ่านบนหน้าเว็บ

Tags:
Node Thumbnail

กูเกิลแถลงถึงความผิดพลาดในการอิมพลีเมนต์ฟีเจอร์ในหน้าจอคอนโซลของ G Suite ทำให้รหัสผ่านของผู้ใช้จำนวนหนึ่งถูกเก็บไว้โดยไม่ได้แฮช โดยมีสองฟีเจอร์ด้วยกัน คือ

  • ฟีเจอร์กู้คืนรหัสผ่านโดยผู้ดูแล เริ่มใช้มาตั้งแต่ปี 2005 และยกเลิกไปแล้ว
  • กระบวนการสมัครใช้งาน G Suite เมื่อเดือนมกราคมที่ผ่านมา เก็บรหัสผ่านไม่ได้แฮชโดยไม่ตั้งใจไว้ไม่เกิน 14 วัน

กูเกิลแจ้งเตือนผู้ดูแลบัญชี G Suite ที่ได้รับผลกระทบทั้งหมดแล้ว และหากผู้ใช้ยังไม่ยอมรีเซ็ตรหัสก็จะบังคับรีเซ็ตอีกครั้งเพื่อความปลอดภัย โดยกูเกิลขออภัยในความผิดพลาดครั้งนี้

ที่มา - Google Cloud Blog

Tags:
Node Thumbnail

Azure AD บริการจัดการผู้ใช้แบบรวมศูนย์กลางของไมโครซอฟท์ประกาศขยายความยาวรหัสผ่านจากเดิมจำกัดที่ 16 ตัวอักษรมาเป็น 256 ตัวอักษร

แนวทางการอนุญาตให้ตั้งรหัสผ่านได้ยาวขึ้นเรื่อยๆ เป็นมาตรฐานความปลอดภัยที่เป็นมาตรฐานในช่วงหลัง โดยมาตรฐาน NIST 800-63B ระบุให้บริการควรรับรหัสผ่านอย่างน้อย 64 ตัวอักษร และควรรองรับตัวอักษรภาษาอื่นๆ รวมถึงช่องว่าง สำหรับการปรับนโยบายของ Azure AD นี้ยังไม่รองรับตัวอักษรภาษาอื่น

Active Directory ของไมโครซอฟท์ที่ติดตั้งในองค์กรนั้นรองรับรหัสผ่านความยาวเกิน 16 ตัวอักษรมานานแล้ว แต่บริการ Azure AD เพิ่งปรับในสัปดาห์นี้

Tags:
Node Thumbnail

ไมโครซอฟท์เผยรายละเอียดของการเปลี่ยนแปลงด้านความปลอดภัยใน Windows 10 May 2019 Update (v1903) ที่จะออกตัวจริงช่วงปลายเดือนหน้า

ประเด็นสำคัญคือการเปลี่ยนค่าดีฟอลต์คอนฟิกของ Windows 10 (ศัพท์อย่างเป็นทางการคือ security baseline) ที่ใช้กับผู้ใช้องค์กร โดยเลิกบังคับให้รหัสผ่านมีวันหมดอายุ (password expiration) ที่ส่งผลให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านใหม่ทุกระยะเวลาที่กำหนด (ค่าดีฟอลต์คือ 60 วัน)

Tags:
Node Thumbnail

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

Tags:
Node Thumbnail

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

ล่าสุดเมื่อวานนี้ Facebook อัพเดตข้อมูลเพิ่มเติมว่า ค้นพบกรณีเดียวกันแต่เป็นรหัสผ่านของ Instagram ที่ถูกเก็บแบบ plaintext อีกชุดหนึ่ง มีผู้ใช้ที่ได้รับผลกระทบ "หลักล้านคน" (millions of Instagram users) และบริษัทก็จะแจ้งเตือนผู้ใช้กลุ่มนี้เช่นกัน

Pages