Tags:
Node Thumbnail

Yubico เปิดตัวกุญแจ YubiKey Bio กุญแจล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ที่ตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะยอมล็อกอิน

กุญแจ FIDO ปกติแล้วต้องการให้ผู้ใช้กดปุ่มเพื่อยืนยันการลงทะเบียนกุญแจ หรือล็อกอิน หากผู้ใช้ทำกุญแจหาย ผู้ใช้ต้องรีบล็อกอินไปยังบริการต่างๆ เพื่อยกเลิกการลงทะเบียนกุญแจที่หายไป การใช้งานเดิมของ FIDO นั้นเป็นการใช้งานเพื่อล็อกอินขั้นตอนที่สองหลังจากผู้ใช้ใส่รหัสผ่านทำให้ความเสี่ยงไม่สูงนัก แต่หากเป็นบริการที่ล็อกอินแบบไร้รหัสผ่านเลย การที่กุญแจสูญหายก็จะมีความเสี่ยงสูงขึ้น การที่กุญแจตรวจสอบผู้ใช้อีกครั้งด้วยลายนิ้วมือช่วยให้ความเสี่ยงลดลง

ทาง Yubico ยังไม่เปิดเผยราคาและช่วงเวลาวางจำหน่าย

Tags:
Node Thumbnail

กูเกิลมีฟีเจอร์รักษาความปลอดภัยระดับสูง Advanced Protection Program เปิดตัวมาตั้งแต่ปี 2017 โดยเปิดให้ผู้ใช้ Google Account ใช้งาน ล่าสุดฟีเจอร์นี้ขยายมายังผู้ใช้ฝั่งองค์กร G Suite เรียบร้อยแล้ว

ผู้ใช้ที่เปิด Advanced Protection Program จะถูกบังคับให้ต้องล็อกอินด้วยอุปกรณ์ยืนยันตัวตน U2F มาตรฐาน FIDO, บล็อคการเข้าถึงแอพ 3rd party ทั้งหมด (ยกเว้นที่แอดมินองค์กร whitelist), อีเมลจะถูกสแกนไวรัส มัลแวร์ ฟิชชิ่ง และการกู้คืนบัญชีจะต้องให้แอดมินองค์กรเป็นคนทำให้เท่านั้น (เพื่อแก้ปัญหาบัญชีผู้ใช้บางบัญชีโดนแฮ็กง่าย และกลายเป็นจุดเริ่มต้นของการเจาะเข้ามาในองค์กร)

Tags:
Node Thumbnail

กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว

ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น

กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป

Tags:
Node Thumbnail

Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ

Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว

อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ

Tags:
Node Thumbnail

กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้

คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด

Tags:
Node Thumbnail

Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019

สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก

Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store

Tags:
Node Thumbnail

Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano

กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384

สำหรับ YubiKey 5 NFC จะรองรับการยืนยันตัวตนผ่าน NFC ด้วยการแตะกับอุปกรณ์และเสียบกับพอร์ต USB-A, 5 Nano รองรับการเสียบกับพอร์ต USB-A และ 5C กับ 5C Nano รองรับการเสียบกับพอร์ต USB-C โดย YubiKey 5 ขายเริ่มต้นที่ 45 ดอลลาร์หรือราว 1,500 บาท

Tags:
Node Thumbnail

Titan Security Key กุญแจยืนยันตัวตนมาตรฐาน U2F ของ Google ที่เปิดตัวไปเมื่อเดือนกรกฎาคม วันนี้่เริ่มวางขายบน Google Store แล้ว สนนราคาอยู่ที่ 50 ดอลลาร์ต่อชุด ประกอบไปด้วยตัว NFC/Bluetooth LE และ USB/NFC

Google บอกว่าตัว NFC/Bluetooth LE สามารถใช้งานได้ราว 6 เดือนต่อการชาร์จ 1 ครั้ง สามารถใช้กับบัญชี Google ผ่าน Advanced Protection ไปจนถึงบริการอื่นๆ อย่าง Dropbox, GitHub, Twitter, หรือเฟซบุ๊กที่รองรับ FIDO2

ทั้งนี้ก่อนหน้านี้ Google เคยบอกด้วยว่าตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย

Tags:
Node Thumbnail

กูเกิลเปิดตัวกุญแจยืนยันตัวตน Titan Security Key โดยใช้ชื่อเดียวกับชิป Titan ที่ใช้ยืนยันสถานะของเซิร์ฟเวอร์ แต่ชิปภายในไม่ได้เกี่ยวข้องกัน

กุญแจมาเป็นชุด ชุดละ 50 ดอลลาร์โดยเป็นรุ่น USB/NFC ตัวหนึ่ง และ USB/Bluetooth อีกตัว ชุดละ 50 ดอลลาร์ เข้าคู่กันตามแนวทางของกูเกิลที่ต้องการให้กุญแจตัวหนึ่งรองรับ Bluetooth เพื่อใช้งานกับโทรศัพท์ได้ โดยตัวฮาร์ดแวร์เองน่าจะผลิตโดยบริษัท Feitian ผู้ผลิตระบบรักษาความปลอดภัยฮาร์ดแวร์รายใหญ่ของจีน เช่น บัตรยืนยันตัวตน, หรืออุปกรณ์รับจ่ายบัตรเครดิตต่างๆ แต่กูเกิลไม่ตอบว่าใครคือผู้ผลิตฮาร์ดแวร์ ระบุเพียงว่าไม่ได้ผลิตโดย Yubico

Tags:
Node Thumbnail

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

Tags:
Node Thumbnail

ถึงแม้จะเปิดตัวมาแล้วซักพักใหญ่ๆ และ Google ก็เก็บเงียบมาตลอด แต่ล่าสุดเพิ่งมีคนค้นพบว่า Google ติดตั้งโทเคน U2F สำหรับการยืนยันตน 2 ขั้นเอาไว้ให้ใน Pixelbook แต่แรกด้วย ลักษณะเดียวกับที่ Lenovo ติดตั้งมาในโน้ตบุ๊คบางรุ่น

การยืนยันตน 2 ชั้นด้วย U2F บน Pixelbook จะใช้ปุ่ม Power แทน อย่างไรก็ตามฟีเจอร์นี้ไม่ได้เป็นฟีเจอร์ที่เปิดใช้งานมาแต่แรก การเปิดใช้ทำงานต้องตั้งให้ Pixelbook เป็น Developer Mode แล้วจึงเปิดแฟลก U2F ขึ้นมาใน shell และ Chrome OS ต้องเป็นเวอร์ชัน 66 ขึ้นไป ก่อนจะเข้าไปเพิ่ม Security Key ในหน้า 2-Step Verification ใน Setting ของแอคเคาท์ Google

Tags:
Node Thumbnail

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

  • บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
  • ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
  • หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ
Tags:
Node Thumbnail

โครงการ U2F ที่เริ่มมาจากกูเกิล มีความแข็งแกร่งสำคัญเมื่อเทียบกับการยืนยันตัวตนสองขั้นตอนอื่นคือมันช่วยลดความเสี่ยงจากการปลอมโดเมนได้เป็นอย่างดี แต่ข้อเสียสำคัญอีกเช่นกันคือมันต้องอาศัยกุญแจ USB ที่มีราคาตั้งแต่ 10 ดอลลาร์ขึ้นไป แม้ราคาจะไม่แพงนักแต่ก็อาจจะทำให้หลายคนตัดสินใจไม่ใช้งาน ตอนนี้ GitHub ก็เปิดโครงการ Soft U2F สำหรับแมคแล้ว

Soft U2F จะจำลองตัวเองเป็นอุปกรณ์ USB HID แบบเดียวกับกุญแจ U2F ทั่วไป ทำให้สามารถใช้งานได้กับ Chrome และ Opera ได้ทันที (เพราะเบราว์เซอร์นึกว่ามีกุญแจ USB อยู่) แม้ว่าจะเก็บข้อมูลกุญแจไว้ในคอมพิวเตอร์แต่ Soft U2F ก็อาศัย keychain ของ OS X ช่วยรักษาความลับให้

Tags:
Node Thumbnail

Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่

  • รองรับ Yubico OTP, smartcard, และ U2F
  • มี secure element ในตัว
  • รองรับกุญแจ RSA 4096 บิต
  • รองรับ PKCS#11

Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง