Apple ประกาศว่า iPhone และ iPad รุ่นที่มีระบบ TouchID และวางขายหลัง iOS 9 จะเปลี่ยนรหัสผ่านขั้นต่ำจากตัวเลข 4 หลักเป็น 6 หลัก (ส่วนผู้ใช้ที่อยากได้ความปลอดภัยที่มากกว่านั้น ก็สามารถสร้างรหัสผ่านเป็นแบบ alphanumeric ที่มีการผสมตัวอักษรกับตัวเลขได้) โดยจะมีผลเฉพาะอุปกรณ์ที่วางขายใหม่เท่านั้น

การเปลี่ยนแปลงครั้งนี้ทำให้รูปแบบของรหัสผ่านมีความหลากหลายมากขึ้น จากเดิมที่ใช้แค่ 4 หลักจะมีความเป็นไปได้เพียง 10,000 แบบ แต่เมื่อเปลี่ยนมาเป็น 6 หลักนั้นจะเพิ่มเป็น 1,000,000 แบบ

การเปลี่ยนแปลงนี้จะใช้ได้กับอุปกรณ์รุ่นเก่าคือ iPhone 5s, 6, 6 Plus, iPad Air 2, และ iPad Mini 3 รวมถึงอุปกรณ์รุ่นใหม่ๆ ที่จะวางขายในอนาคต

หนึ่งในฟีเจอร์ใหม่ของ Android M ที่กูเกิลไม่ได้พูดถึงในคีย์โน้ตเมื่อวานคือ Smart Lock for Passwords หรือก็คือระบบจัดการรหัสผ่านนั่นเอง การใช้งานก็ตรงไปตรงมา คือเมื่อผู้ใช้ล็อกอินในแอพที่รองรับฟีเจอร์นี้ เครื่องจะถามว่าต้องการเก็บรหัสผ่านไว้ในระบบ Smart Lock หรือไม่ ถ้าตอบต้องการ รหัสผ่านเราก็จะถูกส่งไปเก็บไว้ที่เซิร์ฟเวอร์ แล้วเมื่อผู้ใช้เข้าแอพนั้นครั้งต่อไป เครื่องก็จะล็อกอินให้ทันที ระบบจัดการรหัสผ่านนี้จะใช้งานได้บนทุกอุปกรณ์ที่ผูกกับบัญชีกูเกิลไว้ รวมไปถึงเบราว์เซอร์บนคอมพิวเตอร์ด้วย เช่น ผู้ใช้ล็อกอิน Netflix ไว้บนหน้าเว็บ แล้วเพิ่งมาติดตั้งแอพ Netflix ในโทรศัพท์มือถือ ก็จะสามารถเข้าและใช้งานแอพได้ทันที (ในทางกลับกันก็ยังได้)

กูเกิลออกส่วนเสริมของ Chrome ชื่อ Password Alert ที่ช่วยป้องกันไม่ให้เราป้อนรหัสผ่านบัญชี Google ใส่ในเว็บเพจอื่นที่อาจเป็น phishing หลอกขโมยรหัสผ่านของเรา

ส่วนเสริมตัวนี้จะช่วยเตือนทั้งกรณีที่เป็น phishing จริงๆ และช่วยกดดันให้เราไม่ใช้รหัสผ่านเดียวกับเว็บไซต์อื่นๆ ที่ไม่ใช่เว็บของกูเกิลเอง ซึ่งจะช่วยให้ความปลอดภัยของผู้ใช้เพิ่มขึ้นในภาพรวม

ขั้นตอนการทำงานของมันคือกูเกิลจะเก็บรหัสผ่านบัญชี Google ของเราที่เข้ารหัสแล้ว จากนั้นจะคอยเทียบกับรหัสผ่านที่เราป้อนลงในเว็บไซต์อื่นๆ ว่าตรงกันหรือไม่ ถ้าตรงกันก็จะแจ้งเตือนให้เราเปลี่ยนรหัสผ่าน Google ใหม่ครับ

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

ในวันนี้ทาง Starwood ส่งอีเมลให้กับลูกค้าที่มีบัญชี Starwood Preferred Guest (SPG) โดยระบุว่าในช่วงสัปดาห์ที่ผ่านมา ทาง Starwood พบการเข้าถึงระบบโดยไม่ได้รับอนุญาตโดยอาจจะส่งผลกระทบต่อผู้ใช้จำนวนน้อย (low number of SPG accounts) โดยคาดว่าเป็นช่องโหว่ที่เกิดจากบริษัทอื่นแล้วนำรหัสผ่านมาใช้กับบัญชีของ SPG ทาง Starwood จึงแนะนำให้ผู้ใช้ SPG ทุกคนเปลี่ยนรหัสผ่านโดยทันที และรหัสผ่านใหม่ควรเป็นรหัสผ่านที่ไม่ซ้ำกับบริการอื่นๆ

ข้อความจากอีเมลต้นฉบับสามารถดูได้หลังเบรกครับ

CHANGE YOUR PASSWORD TODAY TO HELP PROTECT YOUR INFORMATION.

บริษัทผู้พัฒนาซอฟต์แวร์จัดการรหัสผ่าน SplashData เปิดเผยรหัสผ่านยอดนิยมประจำปี 2014 โดยอาศัยข้อมูลจากรหัสผ่านที่หลุดออกมาจำนวน 3.3 ล้านรหัสในช่วงปีที่ผ่านมา

สำหรับรหัสผ่านยอดนิยมอันดับหนึ่งในปีนี้ยังเหมือนเดิมคือ "123456" ตามมาด้วย "password" ในอันดับที่สอง

SplashData ยังให้ข้อมูลเพิ่มเติมว่าเว็บไซต์ปัจจุบันมักบังคับให้ใช้รหัสผ่านที่ผสมทั้งตัวเลขและตัวอักษร จึงมีผู้ใช้หลายคนตั้งรหัสผ่านด้วยลำดับตำแหน่งบนคีย์บอร์ด ซึ่งก็ควรหลีกเลี่ยงเช่นกันอย่าง "1qaz2wsx"

รหัสผ่านยอดนิยม 25 อันดับแรกดูได้ท้ายข่าวครับ

ที่มา: SplashData

หลังอินเทลซื้อแอพจัดการรหัสผ่าน PasswordBox ได้ไม่นาน ในที่สุดอินเทลก็เปิดตัวบริการใหม่ True Key ที่รวมเอาเทคโนโลยีของ PasswordBox กับ Intel Security ไว้ด้วยกัน

แนวคิดของ True Key คือเก็บรหัสผ่านของบริการทุกตัวไว้ที่แอพเดียวเหมือน PasswordBox แต่แทนที่จะใช้รหัสผ่านหลัก (master password) คอยคุ้มครองคลังรหัสผ่านเพียงอย่างเดียว ก็เปลี่ยนมาใช้วิธีการอื่นๆ เช่น การแยกแยะใบหน้า หรือการใช้อุปกรณ์อื่นๆ ช่วยยืนยันตัวตนอีกชั้นหนึ่ง

ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย

ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

Intel Security หน่วยธุรกิจซอฟต์แวร์ด้านความปลอดภัยของอินเทล (หรือ McAfee เดิม) ประกาศเข้าซื้อบริษัท PasswordBox ผู้สร้างแอพจัดการรหัสผ่านบนพีซีและอุปกรณ์พกพา (แบบเดียวกับ LastPass หรือ 1Password)

แอพ PasswordBox จะยังให้บริการต่อตามปกติ และอินเทลก็ใจป้ำแจกของขวัญแรกพบ โดยแจกฟีเจอร์พรีเมียมของ PasswordBox ฟรีทั้งหมด ส่วนทีมงาน PasswordBox จะเข้าร่วมทำงานกับฝ่าย Safe Identity ของอินเทลต่อไป

อินเทลระบุเหตุผลของการซื้อกิจการครั้งนี้ว่าต้องการพัฒนาระบบตัวตนดิจิทัล (digital identity) ให้ก้าวหน้ากว่าเดิม และเทคโนโลยีของ PasswordBox ช่วยลดภาระการดูแลรหัสผ่าน (password fatigue) ได้ทั้งบนพีซีและอุปกรณ์พกพา

จากงานวิจัยเมื่อปี 2013 โดยนักวิจัยในเยอรมนีซึ่งกล่าวถึงความเสี่ยงต่อการถูกโจรกรรมข้อมูลของแอพจัดการชื่อผู้ใช้และรหัสผ่าน (password manager) ยอดนิยม 21 ตัวบนแอนดรอยด์ พบว่ารหัสผ่านสามารถถูกขโมยได้อย่างง่ายดาย ซึ่งวิธีการคือติดตั้งแอพดักจับรหัสผ่านลงในเครื่อง และเมื่อใดก็ตามที่แอพจัดการชื่อผู้ใช้และรหัสผ่านคัดลอกข้อมูลไปยังคลิปบอร์ด แอพดักจับรหัสผ่านก็จะสามารถขโมยข้อมูลจากคลิปบอร์ดได้นั่นเอง

LastPass บริการเก็บรหัสผ่านชื่อดังเปิดไคลเอนต์สำหรับดึงรหัสผ่านมาใช้งานเป็น command line รองรับทั้งลินุกซ์, แมค, และวินโดวส์ (ผ่าน Cygwin)

คำสั่งแบบนี้ทำให้ผู้ดูแลระบบสามารถดูแลรหัสผ่านเป็นกระบวนการอัตโนมัติได้ง่ายขึ้น ตัวอย่างที่ LastPass แนะนำมาคือการเขียนสคริปต์เปลี่ยนรหัสผ่าน SSH ทุกวันแล้วเก็บรหัสผ่านขึ้น LastPass

ตัวไคลเอนต์เขียนด้วยภาษา C เปิดให้ดาวน์โหลดบน GitHub

ที่มา - LastPass

ช่วงหลังเราเห็นข่าวบัญชีผู้ใช้/รหัสผ่านถูกแฮ็กจากหน่วยงานต่างๆ มาปล่อยในชุมชนแฮ็กเกอร์กันเป็นจำนวนมาก ที่สำคัญคือคนส่วนใหญ่มักใช้รหัสผ่านชุดเดียวกันกับหลายเว็บ ส่งผลให้เสี่ยงต่อการที่รหัสหลุดจากเว็บแห่งหนึ่งแล้วถูกนำไปเจาะบัญชีเว็บอื่นๆ ได้มาก

ทีมความปลอดภัยของ Facebook จึงพยายามป้องกันปัญหานี้ โดยหมั่นตรวจสอบข้อมูลบัญชี/รหัสผ่านที่หลุดมาบนอินเทอร์เน็ต แล้วนำมาเทียบกับฐานข้อมูลรหัสผ่านของ Facebook (ในทางเทคนิคคือเทียบ hash เพราะ Facebook ไม่เห็นรหัสผ่านของผู้ใช้) ถ้าหากว่าตรงกัน Facebook จะแจ้งเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านทันที

Google กำลังทดสอบซอฟต์แวร์สร้างรหัสผ่านคล้าย LastPass หรือ 1Password โดยซอฟต์แวร์ของ Google นี้เป็นส่วนหนึ่งของ Chrome Canary (Chrome เวอร์ชั่นทดสอบ) รุ่นล่าสุด

ผู้ใช้งาน Chrome Canary สามารถเข้าถึงระบบสร้างรหัสผ่านนี้ได้โดยการเปิดเรียก flag จำนวน 2 ตัว

• chrome://flags/#enable-password-generation
• chrome://flags/#enable-save-password-bubble

หลังจากนั้นเมื่อใดก็ตามที่ผู้ใช้คลิกเลือกช่องใส่รหัสผ่าน ก็จะมีกล่องข้อความขนาดเล็กปรากฎขึ้นมาเพื่อให้คำแนะนำและสร้างรหัสผ่านให้กับผู้ใช้

ที่มา - SlashGear

Twitter ซื้อกิจการ Mitro Labs บริษัททำแอพจัดการรหัสผ่าน โดยระบุว่าเป็นการซื้อทีมงาน ไม่สนใจตัวผลิตภัณฑ์แต่อย่างใด

แต่ที่น่าสนใจคือแทนที่ Twitter จะปิดบริการที่ไม่ต้องการ กลับใช้วิธีเปิดซอร์สโค้ดแทนเพื่อให้โครงการดำเนินต่อไปได้ โดย Twitter ร่วมมือกับองค์กรไม่หวังผลกำไรอย่าง Electronic Frontier Foundation (EFF) ให้ช่วยกำหนดแนวทางต่อว่าจะพัฒนา Mitro อย่างไร

ด้าน EFF ก็ประกาศว่าปัจจุบันมีแอพช่วยจัดการรหัสผ่านหลายตัว แต่แอพที่เป็นโอเพนซอร์ส มีความโปร่งใสที่ให้ผู้ใช้รู้ว่ากระบวนการทำงานภายในเป็นอย่างไรกลับมีไม่เยอะนัก การเปิดซอร์ส Mitro ย่อมเป็นประโยชน์กับผู้ใช้ในภาพรวม

หลังจาก 1Password แอพจัดการรหัสผ่านพร้อมเข้ารหัสแน่นหนา ปล่อยแอพเวอร์ชัน Android มาตั้งแต่ปี 2010 และขาดการอัพเดตครั้งใหญ่มาตั้งแต่ครั้งนั้น จนล่วงเลยมาเกือบสี่ปี วันนี้ 1Password ได้ปล่อยอัพเดตใหญ่ของแอพ Android เวอร์ชัน 4.0 มาแล้ว

การยกเครื่องใหม่ของ 1Password ไม่ได้สวยจนน่าตกใจ แต่ถ้าหากนำไปเทียบกับของเดิมแล้ว คงต้องยอมรับว่าดีขึ้นอย่างมาก

เมื่อปลายปีที่แล้ว Blognone ได้ขอความร่วมมือสมาชิกเว็บร่วมทำแบบทดสอบความจำรหัสผ่าน ซึ่งก็ได้รับความร่วมมือจากสมาชิกเว็บเป็นอย่างดี งานวิจัยนี้ได้เข้าสัมมนาในงาน ACIIDS 2014 ที่ผ่านมาครับ

งานของเราเกิดขึ้นมาจากข้อจำกัดด้านความจำรหัสผ่านของมนุษย์ การตั้งรหัสผ่านให้ปลอดภัยมากๆ อาจส่งผลให้ผู้ใช้ไม่สามารถจำรหัสผ่านที่ตั้งได้ เราเชื่อว่าการใช้รูปภาพและเรื่องราวสามารถช่วยแก้ไขปัญหาด้านความจำของมนุษย์ได้

เรานำเสนอแนวทางของเราภายใต้ชื่อ "รหัสผ่านท่องเที่ยว" ซึ่งมันเปลี่ยนแนวคิดว่ารหัสผ่านต้องเป็นตัวอักษรพิมพ์เล็กพิมพ์ใหญ่และอักขระพิเศษหลายๆ ตัวอักษร ไปใช้เรื่องราวกิจกรรมการท่องเที่ยว ณ เมืองต่างๆ แทน กิจกรรมเหล่านี้จะถูกแทนที่ด้วยรูปภาพบนแผนที่ ดังตัวอย่างในภาพ 1

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย

เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า

โดยเบื้องต้นมีรายชื่อของบริการที่ควรเปลี่ยนรหัสผ่านแน่ๆ ดังนี้

Chrome 34 เริ่มอัพเดตให้ผู้ใช้แล้ววันนี้ โดยเพิ่มความสามารถหลายอย่าง เช่น รองรับ Web Audio เต็มรูปแบบ (ไม่มี prefix ใน API), เพิ่ม API สำหรับ extension, รองรับรูปภาพแบบ responsive

แต่ฟีเจอร์ที่มีผลต่อผู้ใช้ทั่วไปที่สุดคงเป็นการจำรหัสผ่าน โดย Chrome 34 จะเริ่มถามผู้ใช้ว่าต้องการให้เบราว์เซอร์จำรหัสผ่านให้หรือไม่ โดยไม่สนใจว่าเว็บจะระบุ autocomplete=off ก็ตาม ทำให้เว็บที่ผู้พัฒนาไม่ชอบให้ผู้ใช้จำรหัสผ่านด้วยซอฟต์แวร์จัดการรหัสผ่านไม่สามารถควบคุมการใช้งานของผู้ใช้ได้อีกต่อไป

Dashlane บริษัทพัฒนาซอฟต์แวร์เก็บรหัสผ่าน ทำรายงานวิเคราะห์นโยบายรหัสผ่านของเว็บอีคอมเมิร์ซจำนวน 100 เว็บ โดยวิเคราะห์ตั้งแต่นโยบายการตั้งรหัสว่ายอมรับรหัสผ่านที่อันตรายเช่น "123456" หรือ "password" หรือไม่ ไปจนถึงการส่งรหัสผ่านไปยังผู้ใช้ว่ามีการส่งรหัสผ่านไปหาผู้ใช้ทางอีเมลโดยตรงหรือไม่

รายงานระบุว่ามีเงื่อนไขการให้คะแนนทั้งหมด 24 เงื่อนไข โดยให้คะแนนตั้งแต่ -100 ถึง 100 โดยให้คะแนนเว็บอีคอมเมิร์ซยอดนิยม 100 เว็บ ตัวเลขที่น่าสนใจจากการสำรวจ เช่น

เข้าสู่ปี 2014 มาได้เกือบเดือนแล้ว แต่ก็ยังมีรายงานสถิติของปีที่ผ่านมาอย่างต่อเนื่อง ล่าสุด SplashData บริษัทพัฒนาซอฟต์แวร์จัดการรหัสผ่าน ได้วิเคราะห์รหัสผ่านที่หลุดมาตลอดปี 2013 เพื่อจัดอันดับความนิยมของรหัสผ่านว่ามวลมหาประชาชนเลือกอะไรเป็นรหัสผ่านกันบ้าง

และแล้วแชมป์ในปีนี้ก็เปลี่ยนมือจนได้ โดยรหัสผ่านยอดนิยมของปี 2013 ตกเป็นของ "123456" แซงหน้าแชมป์เดิมอย่าง "password" ที่เคยครองอันดับหนึ่งมาในสองครั้งแรกของการจัดทำรายงานชิ้นนี้

ข่าวเว็บ Adobe ถูกแฮ็กเมื่อเดือนที่แล้วมีปัญหามากกว่าที่รายงานออกมาในตอนแรก เพราะฐานข้อมูลรหัสผ่านที่รั่วออกมากลับมีกระบวนการเข้ารหัสที่ไม่ได้มาตรฐาน โดยฐานข้อมูลรหัสผ่านนั้นไม่ได้เป็นค่าแฮชของรหัสผ่านเอาไว้ แต่กลับเข้ารหัสแบบกุญแจสมมาตร และใช้กระบวนการเข้ารหัสแบบ Electronic Code Book (ECB) ทำให้นักวิจัยสามารถเข้าหารหัสผ่านที่ซ้ำกัน และวิเคราะห์ย้อนกลับหารหัสผ่านที่แท้จริงได้

หลังจากได้รับเสียงวิพากษ์วิจารณ์รุนแรงเรื่องความหละหลวมในการเก็บรักษารหัสผ่านเว็บไซต์และบริการต่างๆ บนตัวเว็บเบราว์เซอร์ ดูเหมือน Chrome เตรียมจะเพิ่มระบบยืนยันตัวตนของผู้ใช้เพื่อป้องกันการเข้าถึงบรรดารหัสผ่านทั้งหลายโดยง่ายแล้ว

Francois Beaufort จอมขุดคุ้ยข้อมูลเชิงลึกของโครงการ Chromium ที่ปัจจุบันเป็นพนักงานของ Google ได้เปิดเผยว่า Chromium สำหรับ Mac เวอร์ชันล่าสุดมีการสอบถามผู้ใช้ให้กรอกชื่อบัญชีและรหัสผ่านของผู้ใช้ Mac เพื่อยืนยันตัวตนก่อนเข้าสู่หน้าแสดงรายการรหัสผ่านของเว็บต่างๆ ที่ Chrome ได้เก็บบันทึกไว้ (เป็นฟีเจอร์แบบเดียวกับเว็บเบราว์เซอร์ของ Apple อย่าง Safari)

โทรศัพท์ของเรากลายเป็นของสำคัญขึ้นเรื่อยๆ เมื่อเราเก็บข้อมูลส่วนตัวไว้ในโทรศัพท์จำนวนมาก คำแนะนำทั่วไปคือให้ล็อกโทรศัพท์ไว้เสมอด้วยรหัสจะได้ป้องกันได้ในกรณีที่โทรศัพท์หายไป แต่การทดลองล่าสุดแสดงให้เห็นว่าระบบการล็อกนี้ใช้ไม่ได้กับแอนดรอยด์

ระบบล็อกด้วย PIN เพียงสี่หลักไม่สามารถป้องกันการไล่เดาทีละหมายเลขได้คงไม่ใช่เรื่องแปลก แอนดรอยด์และ iOS ต่างแก้ปัญหาด้วยการเพิ่มเวลาดีเลย์เมื่อกดรหัสผิดพลาด แต่ในกรณี iOS นั้นเวลาจะเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่กดผิด จนกระทั่งอาจจะต้องรอหลายชั่วโมงต่อการกดแต่ละครั้ง แต่แอนดรอยด์กลับมีรูปแบบการรอเพียง 30 วินาทีทุกๆ รอบที่กดผิด 5 ครั้ง เมื่อรูปแบบของรหัสผ่านมีได้เพียง 10,000 รูปแบบ การกดรหัสทั้งหมดก็ทำได้ในเวลาเพียง 19 ชั่วโมง 24 นาทีเท่านั้น