Google Accounts เพิ่มตัวช่วยเช็ครหัสผ่านของเรา ตรงกับฐานข้อมูลรหัสผ่านหลุดหรือไม่

By mk Founder on Tag: Google, Password, Security
Google

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

Read more

Fernando Corbato ผู้คิดค้นรหัสผ่านเสียชีวิตแล้วด้วยวัย 93 ปี

By nutmos Writer on Tag: Password, Computer Science
Password

Fernando Corbato นักวิทยาการคอมพิวเตอร์จาก MIT ผู้คิดค้นระบบรหัสผ่านและ Compatible Time-Sharing System ได้เสียชีวิตแล้วในวัย 93 ปี

แต่เดิม ระบบคอมพิวเตอร์จะใช้งานได้ทีละคน แต่ Compatible Time-Sharing System หรือ CTSS ที่ Corbato และทีมคิดค้นขึ้นมาเป็นระบบคอมพิวเตอร์แชร์การใช้งาน คือผู้ใช้หลายคนสามารถเข้าใช้คอมพิวเตอร์เครื่องเดียวกันในเวลาเดียวกันไปพร้อม ๆ กัน ซึ่งเป็นต้นฉบับของระบบปฏิบัติการในยุคปัจจุบัน

Read more

ไมโครซอฟท์มีแผนจะยกเลิกล็อกอินด้วยพาสเวิร์ดบน Windows, ใช้ WIndows Hello หรือ PIN

By nismod Writer on Tag: Windows 10, Microsoft, Biometric, Password, Windows Hello
Windows 10

การตั้งพาสเวิร์ดของผู้ใช้น่าจะเป็นหนึ่งในปัญหาที่น่าปวดหัว สำหรับผู้ที่เกี่ยวข้องไอทีด้านความปลอดภัย ล่าสุดไมโครซอฟท์เลยกำลังแพลนจะยกเลิกการล็อกอิน Windows 10 ด้วยพาสเวิร์ดและอาศัย Windows Hello หรือ PIN แทน

ไมโครซอฟท์เคยแย้งเอาไว้ด้วยว่า PIN มีความปลอดภัยมากกว่า เพราะความเป็นตัวเลข (ไม่ใช่ตัวหนังสือที่รวมเป็นคำ) รวมถึงตัว PIN จะถูกเก็บอยู่ใน TPM บนเครื่องด้วย

Read more

Chrome 75 ออกแล้ว เพิ่ม Reader Mode กับเขาสักที, มีตัวช่วยตั้งรหัสผ่านบน Android

By mk Founder on Tag: Chrome, Browser, Google, Password
Chrome

Chrome 75 เข้าสถานะ stable ทั้งเวอร์ชันเดสก์ท็อปและเวอร์ชัน Android

Chrome 75 เวอร์ชันเดสก์ท็อป เพิ่มฟีเจอร์สำหรับนักพัฒนา โดยลด latency ของวัตถุในแท็ก canvas, เว็บแอพสามารถแชร์ไฟล์ระหว่างกันได้ง่ายขึ้น, ปรับปรุงของใหม่ในเครื่องมือสำหรับนักพัฒนา (developer tools)

ส่วนฟีเจอร์สำหรับผู้ใช้ทั่วไป เพิ่มตัวเลือก manage security keys ในหน้า Settings และเพิ่มโหมดช่วยอ่าน (Reader Mode) ที่เว็บเบราว์เซอร์ตัวอื่นมีกันไปนานแล้ว ตอนนี้ผู้ใช้ต้องเปิดใช้เองในหน้า chrome://flags ก่อน

Read more

กูเกิลพลาด เก็บรหัสผ่าน G Suite ไม่ได้แฮชตั้งแต่ปี 2005 แต่ยืนยันรหัสไม่หลุด

By lew Founder on Tag: Google, Password, Security, G Suite
Google

กูเกิลแถลงถึงความผิดพลาดในการอิมพลีเมนต์ฟีเจอร์ในหน้าจอคอนโซลของ G Suite ทำให้รหัสผ่านของผู้ใช้จำนวนหนึ่งถูกเก็บไว้โดยไม่ได้แฮช โดยมีสองฟีเจอร์ด้วยกัน คือ

  • ฟีเจอร์กู้คืนรหัสผ่านโดยผู้ดูแล เริ่มใช้มาตั้งแต่ปี 2005 และยกเลิกไปแล้ว
  • กระบวนการสมัครใช้งาน G Suite เมื่อเดือนมกราคมที่ผ่านมา เก็บรหัสผ่านไม่ได้แฮชโดยไม่ตั้งใจไว้ไม่เกิน 14 วัน

กูเกิลแจ้งเตือนผู้ดูแลบัญชี G Suite ที่ได้รับผลกระทบทั้งหมดแล้ว และหากผู้ใช้ยังไม่ยอมรีเซ็ตรหัสก็จะบังคับรีเซ็ตอีกครั้งเพื่อความปลอดภัย โดยกูเกิลขออภัยในความผิดพลาดครั้งนี้

Read more

Azure AD ประกาศขยายช่องรหัสผ่าน รองรับรหัสผ่านยาว 256 ตัวอักษร

By lew Founder on Tag: Microsoft Azure, Active Directory, Password
Microsoft Azure

Azure AD บริการจัดการผู้ใช้แบบรวมศูนย์กลางของไมโครซอฟท์ประกาศขยายความยาวรหัสผ่านจากเดิมจำกัดที่ 16 ตัวอักษรมาเป็น 256 ตัวอักษร

แนวทางการอนุญาตให้ตั้งรหัสผ่านได้ยาวขึ้นเรื่อยๆ เป็นมาตรฐานความปลอดภัยที่เป็นมาตรฐานในช่วงหลัง โดยมาตรฐาน NIST 800-63B ระบุให้บริการควรรับรหัสผ่านอย่างน้อย 64 ตัวอักษร และควรรองรับตัวอักษรภาษาอื่นๆ รวมถึงช่องว่าง สำหรับการปรับนโยบายของ Azure AD นี้ยังไม่รองรับตัวอักษรภาษาอื่น

Read more

Windows 10 v1903 เลิกบังคับเปลี่ยนรหัสผ่านทุก 2 เดือน ไมโครซอฟท์บอกล้าสมัยแล้ว

By mk Founder on Tag: Windows 10, Microsoft, Password, Authentication
Windows 10

ไมโครซอฟท์เผยรายละเอียดของการเปลี่ยนแปลงด้านความปลอดภัยใน Windows 10 May 2019 Update (v1903) ที่จะออกตัวจริงช่วงปลายเดือนหน้า

ประเด็นสำคัญคือการเปลี่ยนค่าดีฟอลต์คอนฟิกของ Windows 10 (ศัพท์อย่างเป็นทางการคือ security baseline) ที่ใช้กับผู้ใช้องค์กร โดย__เลิกบังคับ__ให้รหัสผ่านมีวันหมดอายุ (password expiration) ที่ส่งผลให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านใหม่ทุกระยะเวลาที่กำหนด (ค่าดีฟอลต์คือ 60 วัน)

Read more

ศูนย์มั่นคงไซเบอร์อังกฤษชี้ ลิเวอร์พูล, เชลซี, อาร์เซนอล เป็นรหัสผ่านยอดนิยม นำแมนยูไกล ชี้คนส่วนมากกังวลการขโมยเงินจากภัยไซเบอร์มากสุด

By lew Founder on Tag: Security, United Kingdom, Password
Security

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

Read more

ฉาวไม่จบ Facebook เก็บรหัสผ่าน Instagram แบบ Plaintext กระทบผู้ใช้หลักล้านคน

By mk Founder on Tag: Instagram, Facebook, Password, Security
Instagram

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

Read more

W3C รองรับระบบล็อกอินโดยไม่ต้องใช้รหัสผ่าน WebAuthn เข้าเป็นมาตรฐานเว็บแล้ว

By nutmos Writer on Tag: W3C, Password, Security, Website, FIDO
W3C

วันนี้ World Wide Web Consortium หรือ W3C ได้ประกาศให้ Web Authentication API หรือ WebAuthn เป็นมาตรฐานเว็บอย่างเป็นทางการแล้ว

WebAuthn นั้นเป็นมาตรฐานระบบล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านของ W3C โดยระบบนี้พัฒนาต่อมาจาก FIDO2 และ CTAP ซึ่งสามารถทำงานร่วมกับ FIDO UAF และ U2F ที่ออกมาก่อนหน้านี้ได้

Read more

อีเมลพาสเวิร์ดกว่า 773 ล้านแอคเคาท์ถูกแฮกและปล่อยโหลดแบบสาธารณะ

By nismod Writer on Tag: Hacking, Security, Data Breach, Password
Hacking

มีรายงานการแฮกข้อมูลครั้งมโหฬารด้วยเป็นอีเมลและพาสเวิร์ดกว่า 773 ล้านแอคเคาท์ จากกว่า 340 เว็บไซต์ถูกแฮกและถูกนำมาปล่อยโหลดว่าเว็บไซต์ฝากไฟล์ MEGA ซึ่งข้อมูลนี้ถูกเรียกว่า Collection #1 เป็นข้อมูลกว่า 87GB และถึงแม้จะถูกลบไปแล้ว แต่ก็มีนักวิจัยความปลอดภัยไปพบว่าถูกโพสต์บนฟอรัมอื่นๆ อีก

ใครสงสัยว่าแอคเคาท์ตัวเองถูกแฮกไปหรือไม่ สามารถตรวจได้จาก Have I been pawned หากพบว่า Oh, no pwned ให้รีบเปลี่ยนพาสเวิร์ดทันที

Read more

Windows 10 เริ่มเปิดให้ล็อกอินด้วยเบอร์โทร + SMS แทนการใช้รหัสผ่าน

By mk Founder on Tag: Windows 10, Authentication, Microsoft, Password, Operating System
Windows 10

ไมโครซอฟท์ออก Windows 10 Insider Preview Build 18309 รุ่นทดสอบตัวแรกของปี 2019

ของใหม่ที่สำคัญเป็นการปรับฟีเจอร์ด้านการล็อกอินที่เริ่มเพิ่มเข้ามาใน Build 18305 ตัวก่อนหน้านี้ ให้ใช้ได้กับ Windows 10 ทุก edition (ตัวก่อนหน้านี้มีเฉพาะรุ่น Home)

สิ่งที่น่าสนใจคือไมโครซอฟท์ปรับให้บัญชี Microsoft Account สามารถใช้งานได้แบบไม่ต้องมีรหัสผ่านอีกแล้ว โดยผู้ใช้สามารถสร้างบัญชี Microsoft Account ด้วยหมายเลขโทรศัพท์เพียงอย่างเดียว แล้วล็อกอินด้วยโค้ดจาก SMS แทนรหัสผ่านแบบเดิม ไมโครซอฟท์เรียกมันว่า password-less phone number account

Read more

123456 และ password ยังคงเป็นรหัสผ่านยอดนิยมติดต่อกันเป็นปีที่ 5

By arjin Writer on Tag: Password, Security
Password

บริษัทความปลอดภัย SplashData เจ้าของแอป TeamsID, Gpass และ SplashID ประกาศผลอันดับรหัสผ่านยอดแย่ของปี 2018 ซึ่งปีนี้เป็นปีที่ 8 แล้วของการจัดอันดับ โดยการจัดอันดับนั้นใช้วิธีการรวบรวมรหัสผ่านที่หลุดออกมาจากในอินเทอร์เน็ตหลายล้านชุด เพื่อดูว่ารหัสใดที่คนนิยมใช้กัน

Read more

แคลิฟอร์เนียร์ผ่านกฎหมาย ห้ามผู้ผลิตอุปกรณ์เชื่อมต่ออินเทอร์เน็ตใช้รหัสผ่านเริ่มต้นเหมือนกันทุกเครื่อง

By lew Founder on Tag: Internet of Things, Security, Password
Internet of Things

รัฐแคลิฟอร์เนียร์ผ่านกฎหมายควบคุมอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต (SB-327 Information privacy: connected devices.) ที่ควบคุมให้ผู้ผลิตต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมหากอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดยระบุว่าผู้ผลิตต้องเลือกระหว่างใช้รหัสผ่านเริ่มต้นไม่ซ้ำกันในอุปกรณ์แต่ละชิ้นที่ขายไป หรือตั้งให้ผู้ใช้ต้องตั้งรหัสผ่านเองเมื่อเปิดใช้งานครั้งแรก

Read more

Microsoft Edge รองรับ Web Authentication ล็อกอินเว็บด้วยวิธีอื่นที่ไม่ใช่รหัสผ่าน

By mk Founder on Tag: Microsoft Edge, Password, Authentication, Browser, Microsoft
Microsoft Edge

ไมโครซอฟท์ประกาศว่า Microsoft Edge รองรับฟีเจอร์ Web Authentication (WebAuthn) ตามสเปกของ W3C เปิดให้ผู้ใช้สามารถล็อกอินเข้าใช้งานเว็บไซต์ต่างๆ ด้วยวิธีการยืนยันตัวตนแบบอื่นที่ไม่ใช่รหัสผ่าน เช่น ใบหน้า ลายนิ้วมือ PIN หรืออุปกรณ์ยืนยันตัวตนที่เป็น FIDO2

Read more

ผลสำรวจรหัสผ่านหลุด ผู้ใช้ 86% ใช้รหัสผ่านซ้ำกับบริการอื่น แม้รหัสผ่านจะซับซ้อน

By lew Founder on Tag: Password, Security
Password

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex"

Read more

Twitter พบบั๊กล็อกภายในเก็บรหัสผ่านโดยไม่ได้ hash แนะนำผู้ใช้ทุกคนให้เปลี่ยนรหัสผ่าน

By arjin Writer on Tag: Twitter, Security, Password
Twitter

Twitter ออกประกาศคำเตือนเรื่องความปลอดภัย มีผลกับ__ผู้ใช้งานทุกคน__ โดยแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านทันที เนื่องจากพบบั๊กภายใน ที่มีการเก็บรหัสผ่านไว้โดยไม่ได้แฮช

คำอธิบายของบั๊กนี้ Twitter บอกว่ามีการเก็บล็อกภายใน ที่พบว่าไม่ได้ทำการแฮชรหัสผ่านไว้ ซึ่งบั๊กนี้ได้ถูกแก้ไขไปแล้ว และจากการตรวจสอบก็ไม่พบการหลุดของล็อกดังกล่าว หรือข้อมูลในนั้นถูกนำไปใช้ อย่างไรก็ตาม Twitter ก็คงคำแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านในหน้า Settings และไม่แนะนำให้ใช้รหัสผ่านที่ซ้ำกับบริการอื่น

Read more

AWS เปิดตัว Secrets Manager บริการเก็บรหัสผ่านและคีย์ ไม่ต้องฮาร์ดโค้ดในแอพ

By mk Founder on Tag: AWS, Password, Authentication, Security, Cloud Computing
AWS

ทุกวันนี้การพัฒนาแอพพลิเคชันจำนวนมาก มักจำเป็นต้องเก็บรหัสผ่านหรือคีย์บางอย่าง เช่น รหัสผ่านเข้าถึงฐานข้อมูล หรือ คีย์สำหรับเข้าถึง API ภายนอก

ปัญหาในแง่ความปลอดภัยคือการเก็บข้อมูลลับเหล่านี้ไม่ควรเก็บอยู่ในโค้ดของตัวโปรแกรม (hard code) เพราะอาจรั่วไหลไปยังบุคคลอื่นได้ ที่ผ่านมาก็มี หลายกรณี ที่รหัสผ่านหลุด จากการฝังไว้แบบ hard code

Read more

1Password เปิดให้บริการตรวจสอบรหัสผ่านรั่วไหล ใช้ฐานข้อมูลที่เก็บจากการรั่วของรหัสผ่านหลายครั้ง

By nutmos Writer on Tag: 1Password, Password, Security, Password Manager
1Password

บริการจัดการรหัสผ่าน 1Password ได้เพิ่มฟีเจอร์ใหม่เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้รั่วออกไปหรือยัง โดยใช้บริการของ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อว่า Pwned Passwords โดยบริการนี้มีฐานข้อมูลรหัสผ่านเก็บได้จากการรั่วไหลจำนวนกว่า 500 ล้านรหัส

Read more

รหัสผ่านยอดแย่ของปี 2017 "123456" กับ "password" ยังครองแชมป์ต่อไป ที่เพิ่มเติมคือ "starwars"

By arjin Writer on Tag: Security, Password
Security

บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID เปิดเผยสถิติ รหัสผ่านยอดแย่ หรือพูดอีกอย่างก็คือรหัสผ่านยอดนิยม ประจำปี 2017

โดยอันดับ 1 และ 2 นั้น ก็ยังคงเดิมไม่เปลี่ยนแปลง นั่นคือ 123456 และ password ส่วนอันดับสามคือ 12345678 ภาพรวมนั้นก็เป็นรหัสผ่านที่คุ้นชิน แต่ Morgan Slain ซีอีโอของ SplashData ให้ข้อสังเกตในอันดับที่ 16 คือ starwars โดยแนะนำว่าแฮกเกอร์มักเลือกใช้คำที่เป็นกระแสนิยมในการคาดเดาะ เพราะผู้ใช้งานมักเลือกคำแนวนี้เป็นรหัสเนื่องจากจำได้ง่าย แต่จริงๆ ไม่ควรนำมาใช้

Read more
Subscribe to Password