ตั้งรหัสผ่านไม่ดีจนมีภัย รัฐสภาอังกฤษถูกแฮกอีเมลบางส่วน จำกัดการเข้าถึงอีเมลจากนอกรัฐสภา

By lew Founder on Tag: United Kingdom, Hacking, Password
United Kingdom

รัฐสภาอังกฤษตรวจพบว่าอีเมลบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต ทำให้ตัดสินใจปิดระบบอีเมลไม่ให้เข้าถึงจากภายนอกรัฐสภา โดยระบุว่ามีบัญชีที่ได้รับผลกระทบน้อยกว่า 1% จากทั้งหมดกว่า 9,000 บัญชี สาเหตุที่ถูกแฮกได้เพราะบัญชีเหล่านี้ตั้งรหัสผ่านที่อ่อนแอเกินไป

Read more

สถาบัน Fraunhofer รายงานช่องโหว่แอปเก็บรหัสผ่าน มีช่องโหว่หนักเบาต่างกันไป

By lew Founder on Tag: Security, Password Manager, Password
Security

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

Read more

นักวิจัยศูนย์ความปลอดภัยไซเบอร์อังกฤษ เรียกร้องเว็บไซต์เลิกห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

By lew Founder on Tag: Password, United Kingdom, Security
Password

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

Read more

ยังเหมือนเดิม ยังไงก็ยังอย่างนั้น รหัสผ่านยอดนิยมปี 2016 ยังเป็นรหัสผ่านเดิมๆ

By mk Founder on Tag: Password, Security, Keeper
Password

Keeper Seecurity แอพจัดการรหัสผ่าน รวบรวมสถิติรหัสผ่านที่หลุดในปี 2016 รวมกว่า 10 ล้านบัญชี เพื่อมาวิเคราะห์ดูแนวโน้มว่า "รหัสผ่านยอดนิยม" ของประชากรชาวโลกคืออะไรกันแน่

ผลลัพธ์ยังเป็นเหมือน ไม่ได้แตกต่างอะไรจากสถิติในปี 2015 มากนัก รหัสผ่านยอดนิยมยังเป็น 123456 ที่มีคนใช้มากถึง 17% ของรหัสผ่านทั้งหมด และอันดับ Top 10 ก็เต็มไปด้วยรหัสผ่านที่คาดเดาได้ง่าย เช่น password, qwerty, 111111, 123123 เป็นต้น

Read more

Mooltipass Mini ฮาร์ดแวร์เล็กที่ให้ผู้ใช้พกพาพาสเวิร์ดไปทุกที่ ระดมทุนใน Kickstarter

By sunnywalker Writer on Tag: Kickstarter, Password, Privacy
Kickstarter

Stephan Electronics ทำฮาร์ดแวร์ขนาดเล็กเก็บรหัสผ่านในชื่อว่า Mooltipass Mini มาระดมทุนในโครงการ Kickstarter ลักษณะเป็นอะลูมิเนียม มีช่องเสียบการ์ดและสายต่อ USB ที่สามารถเชื่อมต่อได้หลายอุปกรณ์ ในการ์ดมีบันทึกรหัสผ่านเข้าอุปกรณ์และอีเมลหรือเว็บไซต์ต่างๆของผู้ใช้ ในการใช้งานสามารถเสียบเข้ากับอุปกรณ์ก็เข้าได้ทันทีโดยไม่ต้องพิมพ์พาสเวิร์ด แก้ปัญหาลืมรหัสผ่านได้

Read more

Dashlane จับมือกูเกิล เปิดตัว Open YOLO API กลางสำหรับแอพจัดการรหัสผ่านทุกค่าย

By mk Founder on Tag: Dashlane, Password Manager, Password, Google, Security, Android
Dashlane

Dashlane แอพจัดการรหัสผ่านอีกรายหนึ่ง ประกาศความร่วมมือกับกูเกิล สร้าง API กลางเพื่อให้แอพบน Android สามารถเข้าถึงรหัสผ่านที่เก็บไว้ในแอพจัดการรหัสผ่านได้แบบไม่จำกัดค่าย

โครงการนี้ชื่อว่า “Open YOLO” (ย่อมาจาก You Only Login Once) เป็น API แบบเปิด ออกแบบมาให้แอพ Android เข้าถึงรหัสผ่านใน password manager ใดๆ ก็ได้ เพื่อกระตุ้นให้ผู้ใช้เก็บรหัสผ่านที่ปลอดภัยลงใน password manager กันมากขึ้น ป้องกันปัญหารหัสผ่านหลุดหรือใช้รหัสผ่านง่ายๆ ซ้ำกันไปมาในทุกแอพ

อย่างไรก็ตาม ตอนนี้ยังไม่มีข้อมูลว่าแอพจัดการรหัสผ่านตัวอื่นๆ เช่น LastPass หรือ 1Password จะเข้าร่วมโครงการนี้ด้วยหรือไม่ หรือสุดท้ายแล้วจะเป็นแค่โครงการที่มี Dashlane ใช้งานเพียงรายเดียว

Read more

หัวหน้าฝ่ายเทคโนโลยี FTC ระบุ การเปลี่ยนรหัสผ่านบ่อยๆ ไม่ช่วยเพิ่มความปลอดภัย

By lew Founder on Tag: FTC, Password, Security
FTC

Lorrie Cranor หัวหน้าฝ่ายเทคโนโลยีของคณะกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ขึ้นพูดในงาน PasswordCon ระบุถึงความเปลี่ยนแปลงด้านนโยบายของ FTC ที่เคยทวีตแนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านบ่อยๆ เมื่อเธอเห็นทวีตนี้จึงไปพูดคุยกับหัวหน้าฝ่ายความปลอดภัยสารสนเทศ และหัวหน้าฝ่ายสารสนเทศ ระบุว่าผู้เชี่ยวชาญในช่วงหลังๆ ไม่แนะนำให้เปลี่ยนรหัสผ่านกันบ่อยๆ นัก

Read more

GoToMyPC ถูกโจมตี, รีเซ็ตรหัสผ่านผู้ใช้ทั้งระบบ

By lew Founder on Tag: Citrix, Hacking, Security, Password
Citrix

GoToMyPC บริการเข้าถึงเครื่องจากระยะไกลของ Citrix ถูกโจมตีจากการยิงรหัสผ่านโดยกลุ่มที่มีความเชี่ยวชาญสูง (very sophisticated) ทางบริษัทตัดสินใจที่จะรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมด โดยเบื้องต้นบริษัทระบุว่ารหัสผ่านที่ใช้โจมตีเป็นรหัสผ่านที่รั่วออกมาจากบริการอื่นและมีการใช้ซ้ำบน GoToMyPC

ยังไม่มีรายละเอียดว่าการโจมตีนี้พิเศษกว่าปกติอย่างไร ทางบริษัทจึงเรียกว่าเป็นการโจมตีจากกลุ่มที่มีความเชี่ยวชาญสูง

ตอนนี้ GoToMyPC แนะนำให้ลูกค้าเปิดใช้งานการยืนยันตัวตนสองขั้นตอน, อย่าใช้รหัสผ่านเป็นคำในพจนานุกรม, ตั้งรหัสผ่านยาว 8 ตัวอักษรขึ้นไป, ใช้รหัสผ่านที่ซับซ้อน

Read more

งานวิจัยเสนอ การช่วยผู้ใช้แก้รหัสผ่านเพียง 5 แบบ ลดการพิมพ์รหัสผิดได้ถึง 9.3%

By lew Founder on Tag: Password, Security, Research
Password

งานวิจัยร่วมระหว่างนักวิจัยจาก Cornell, MIT, และ Dropbox เสนอแนวทางการช่วยเหลือผู้ใช้ในการพิมพ์รหัสผ่านด้วยการแก้ไขรหัสผ่านอย่างง่ายๆ ในรูปแบบที่มักพิมพ์ผิดให้กับผู้ใช้

งานวิจัยเก็บข้อมูลบน Amazon Mechanical Turk ด้วยการให้ผู้ร่วมทดลองพิมพ์รหัสผ่านที่กำหนดแล้วเก็บข้อมูลว่ามีความผิดพลาดรูปแบบใดบ้าง พบว่าความผิดพลาดเกือบครึ่งหนึ่งมาจากการพิมพ์ผิดเพียง 7 แบบ ได้แก่ สลับตัวใหญ่/เล็กทั้งหมด, สลับตัวใหญ่/เล็กเฉพาะตัวแรก, มีตัวอักษรเกินมาตอนท้าย, มีตัวอักษรเกินมาตอนต้น, ลืมพิมพ์ shift เพื่อพิมพ์สัญลักษณ์ในตอนท้าย, พิมพ์ผิดไปปุ่มข้างเคียง, และสับสนระหว่างตัวอักษรที่คล้ายกัน

Read more

KeePass 2 แจ้งข้อมูลอัพเดตผ่าน HTTP, ผู้พัฒนาไม่ยอมปรับเว็บเป็น HTTPS

By lew Founder on Tag: KeePass, Password, Password Manager, Security
KeePass

Florian Bogner ผู้ตรวจสอบความปลอดภัยข้อมูลจาก Kapsch BusinessCom AG รายงานถึงช่องโหว่กระบวนการอัพเดตโปรแกรมเก็บรหัสผ่าน KeePass 2 ที่ตัวโปรแกรมจะตรวจสอบจากเว็บผ่าน HTTP ที่ไม่เข้ารหัส จากนั้นจึงแจ้งเตือนให้ผู้ใช้ไปดาวน์โหลดอัพเดตจากเว็บที่ไม่เข้ารหัสอีกเช่นกัน ทำให้ผู้ใช้มีความเสี่ยงว่าจะดาวน์โหลดอัพเดตปลอมหากถูกคั่นกลางการเชื่อมต่อ

Bogner รายงานปัญหานี้ไปยังผู้พัฒนา KeePass ตั้งแต่เดือนกุมภาพันธ์ โดยแนะนำให้ KeePass ปรับเว็บเป็น HTTPS เสียแต่ทาง KeePass ปฏิเสธ หลังจากเปิดเผยช่องโหว่นี้ต่อสาธารณะ ทาง KeePass เลือกเซ็นลายเซ็นดิจิตอลในตัวติดตั้งแทน โดยมีผลตั้งแต่รุ่น 2.34 เป็นต้นไป

Read more

ข้อมูลหลุด LinkedIn ที่เผยแพร่ต่อสาธารณะ จะช่วยให้การแกะค่าแฮชรหัสผ่านง่ายขึ้นมาก

By mk Founder on Tag: LinkedIn, Password, Security
LinkedIn

ปัญหารหัสผ่าน LinkedIn ที่ถูกแฮ็กในปี 2012 ออกสู่สาธารณะ ไม่ได้ส่งผลกระทบแค่การแฮ็กบัญชี Twitter ของคนดัง Mark Zuckerberg เท่านั้น แต่มันจะส่งผลให้การถอดค่าแฮชรหัสผ่านมีประสิทธิภาพขึ้นอีกมาก

Read more

Microsoft Account แบนไม่ให้ผู้ใช้ตั้งรหัสผ่านที่พบได้บ่อย-คาดเดาได้ง่าย

By mk Founder on Tag: Password, Security, Active Directory, Microsoft
Password

ทีมความปลอดภัยของไมโครซอฟท์ ออกมาให้ข้อมูลว่าบัญชี Microsoft Account และระบบไดเรคทอรี Azure AD (Active Directory) ตอนนี้แบนการใช้งานรหัสผ่านพื้นๆ ที่พบได้บ่อย เพื่อความปลอดภัยที่ดีขึ้นของผู้ใช้งาน

ไมโครซอฟท์ระบุว่าปกติแล้วพบความพยายามแฮ็กบัญชีกว่า 10 ล้านครั้งในแต่ละวัน ดังนั้นไมโครซอฟท์มีสถิติเยอะมากว่าแฮ็กเกอร์พยายามเดารหัสผ่านด้วยรหัสแบบไหนบ้าง ไมโครซอฟท์จึงใช้ลิสต์รายการนี้เป็นตัวเปรียบเทียบ เพื่อไม่ให้ผู้ใช้ตั้งรหัสผ่านกลุ่มนี้

ระบบความปลอดภัยของไมโครซอฟท์ยัง "ล็อคบัญชี" ชั่วคราว หากพบว่ามีความพยายามเดารหัสผ่านเพื่อใช้งานบัญชีเหล่านี้

Read more

งานวิจัยบ่งชี้เปลี่ยนรหัสผ่านทุก 2-3 เดือน "เสียมากกว่าได้"

By ตะโร่งโต้ง Writer on Tag: Research, FTC, Password, Authentication
Research

Lorrie Cranor ประธานนักเทคโนโลยีของ FTC (คณะกรรมการการค้าสหรัฐฯ) และยังเป็นศาสตราจารย์วิทยาศาสตร์คอมพิวเตอร์ของสถาบัน Carnegie Mellon ได้เขียนบทความอธิบายว่าการที่ผู้ดูแลระบบกำหนดให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านเพื่อใช้งานคอมพิวเตอร์อยู่บ่อยๆ ส่งผลเสียต่อความปลอดภัยของระบบแทนที่จะเป็นผลดี

Read more

1Password ออกบริการเก็บรหัสผ่านเหมาจ่ายสำหรับครอบครัว ราคา 5 ดอลลาร์ต่อเดือน

By mk Founder on Tag: Security, Password, 1Password
Security

หลังๆ เราเริ่มเห็นบริการ Family Share Plan กันมากขึ้น โดยส่วนใหญ่มักเป็นบริการความบันเทิงแบบเหมาจ่าย ทั้งดูหนังและฟังเพลงออนไลน์ แต่ล่าสุดเรากำลังมีบริการเก็บรหัสผ่านแบบแชร์บ้างแล้วครับ

แอพจัดการรหัสผ่าน 1Password เปิดตัวบริการใหม่ 1Password for Families ที่ต่อยอดจากบริการ 1Password for Teams เดิมที่เป็นบริการแบบเหมาจ่ายสำหรับองค์กร โดยบริการตัวใหม่สามารถใช้กับคนในครอบครัวได้สูงสุด 5 คน ในราคาไม่แพงที่ 5 ดอลลาร์ต่อครอบครัวต่อเดือน

Read more

อันดับรหัสผ่านยอดแย่ปี 2015 - "123456" และ "password" ยังเป็นขวัญใจมหาชน

By mk Founder on Tag: Security, Password
Security

เป็นธรรมเนียมทุกๆ ต้นปี บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID จะออกมาเผยสถิติ "รหัสผ่านยอดแย่" อยู่เสมอ (อันดับของปี 2014) สำหรับสถิติของปี 2015 ที่เพิ่งผ่านพ้นไป รหัสผ่านยอดแย่อันดับหนึ่งตลอดกาลยังเป็นของ "123456" ตามด้วยอันดับสอง "password" ที่ยังยึดตำแหน่งแชมป์-รองแชมป์ได้อย่างเหนียวแน่น

อย่างไรก็ตาม อันดับสามเกิดการเปลี่ยนแปลงเล็กน้อย โดย "12345678" แซงขึ้นมาเป็นอันดับสาม ตามด้วย "qwerty" ในอันดับสี่ เบียดเอา "12345" ตกลงมาอยู่อันดับห้า

Read more

ธนาคาร Deutsche Bank เตรียมเลิกใช้รหัสผ่าน กำลังทดสอบการยืนยันตัวตนด้วยข้อมูลอื่นๆ

By mk Founder on Tag: Banking, Password, Authentication, Deutsche Bank
Banking

ธนาคาร Deutsche Bank ของเยอรมนี กำลังพัฒนาเทคโนโลยีที่จะนำมาใช้ยืนยันตัวตนแทนรหัสผ่านแบบที่เราคุ้นเคย

เทคโนโลยีที่ Deutsche Bank เลือกใช้งานเป็นการผสานข้อมูลหลายรูปแบบเพื่อยืนยันตัวตนของผู้ใช้ เช่น สถานที่ วิธีการถือโทรศัพท์ ลายนิ้วมือ ใบหน้า (รวมกันกว่า 50 ปัจจัย) ตัวแทนของธนาคารให้สัมภาษณ์ว่าการยืนยันตัวตนจะพิจารณาจากหลายปัจจัยประกอบกัน เช่น มือขวาเจ็บ ต้องถือโทรศัพท์ด้วยมือซ้าย แต่ยังล็อกอินจากที่บ้านเหมือนเดิม ระบบจะพิจารณาว่าเรา "น่าจะ" เป็นตัวจริง โดยขอให้สแกนใบหน้าเพิ่มเข้ามาอีกขั้นด้วย

Read more

นักวิจัยปล่อยเครื่องมือดึงฐานข้อมูลรหัสผ่านออกจากโปรแกรมเก็บรหัสผ่าน KeePass

By lew Founder on Tag: Security, Password
Security

โปรแกรมเก็บรหัสผ่านเป็นเครื่องมือสำคัญที่ช่วยรักษาความปลอดภัยให้กับผู้ใช้ แต่หากคอมพิวเตอร์มีมัลแวร์ถูกควบคุมโดยแฮกเกอร์ เครื่องมือใดๆ ก็ช่วยรักษาความปลอดภัยไม่ได้ ล่าสุดนักวิจัยจากบริษัท Security Assessment ออกเครื่องมือ KeeFarce ช่วยดึงฐานข้อมูลรหัสผ่านออกมาจากโปรแกรม KeePass หากโปรแกรมรันอยู่ก่อนแล้ว

การเจาะข้อมูลออกจากเครื่องคอมพิวเตอร์ที่แฮกเกอร์สามารถควบคุมได้ไม่ใช่เรื่องใหม่แต่อย่างใด แต่ KeeFarce แสดงให้เห็นว่าเครื่องมือดึงข้อมูลสามารถทำให้ใช้งานได้ง่าย โดยอาศัยเทคนิค DLL injection ทำให้สามารถดึงรหัสผ่านทั้งหมดออกมาได้

Read more

รัฐบาลอังกฤษออกคำแนะนำการใช้รหัสผ่านใหม่ "การบังคับผู้ใช้เปลี่ยนรหัสผ่านบ่อยๆ สร้างภาระโดยไม่จำเป็น"

By lew Founder on Tag: Security, United Kingdom, Information Security, Password
Security

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

Read more

ตัว L คือรหัส 1234 แห่งโลกแอนดรอยด์, งานวิจัยแสดงให้เห็นว่าคนเรามักตั้งรูปวาดล็อกหน้าจอคล้ายกัน

By lew Founder on Tag: Security, Research, Android, Password
Security

ที่งาน PasswordCon เมื่อต้นเดือนที่ผ่านมา Marte Løge นักวิจัยจากมหาวิทยาลัยเทคโนโลยีและวิทยาศาสตร์นอร์เวย์นำเสนอการศึกษาการตั้งรูปวาดล็อกหน้าจอแอนดรอยด์ (Android Lock Pattern - ALP) จากผู้ใช้จำนวน 3,400 คน แสดงให้เห็นว่าในโลกความเป็นจริง ALP มีความปลอดภัยไม่สูงนัก แม้โดยตัวรหัสแล้วจะมีความเป็นไปได้ถึง 389,112 รูปแบบก็ตาม

งานวิจัยแสดงให้เห็นว่าคนส่วนมากมักตั้ง ALP ไว้เพียงสี่จุดซึ่งเป็นจำนวนจุดน้อยที่สุดที่แอนดรอยด์ยอมรับ และมีรูปแบบที่วิเคราะห์ได้ง่าย

Read more
Subscribe to Password