คลังเก็บป้ายกำกับ: Authentication

โอเปอเรเตอร์สหรัฐเสนอวิธีการยืนยันตัวตนแบบใหม่ ใช้พฤติกรรมการใช้มือถือแทนรหัสผ่าน

เรารู้กันดีว่า “รหัสผ่าน” เป็นวิธีการยืนยันตัวตนที่มีช่องโหว่มาก และวงการไอทีก็มีความพยายามหาสิ่งอื่นมาทดแทนรหัสผ่านหลายอย่าง เช่น ไบโอเมตริก หรือสมาร์ทการ์ด

ล่าสุด โอเปอเรเตอร์สหรัฐ 4 รายใหญ่คือ AT&T, Verizon, Sprint, T-Mobile ร่วมกันเปิดตัว Project Verify วิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือที่เราใช้งานอยู่

แนวคิดของ Verify คือผู้ใช้งานโทรศัพท์แต่ละคนมีข้อมูลที่แตกต่างกันอยู่แล้ว เช่น หมายเลขโทรศัพท์ ข้อมูลในซิมการ์ด หมายเลขไอพี รวมถึงพฤติกรรมการใช้งาน ฯลฯ โอเปอเรเตอร์มองเห็นข้อมูลเหล่านี้อยู่แล้ว และสามารถนำมาแยกแยะว่าผู้ใช้แต่ละคนเป็นคนนั้นจริงๆ หรือไม่

รูปแบบการใช้งานเพียงว่าผู้ใช้ติดตั้งแอพ Verify ลงในสมาร์ทโฟน และเมื่อต้องการยืนยันตัวตนในแอพอื่น (ที่รองรับ Verify) ก็สามารถกดยืนยันตัวตนจากในสมาร์ทโฟนได้ทันที งานที่เหลือเป็นของฝั่งโอเปอเรเตอร์ที่จะตรวจสอบและตอบกลับไปยังแอพนั้นๆ ว่าเราเป็นตัวจริงหรือไม่

กลุ่มโอเปอเรเตอร์ยังบอกว่าการยืนยันตัวตนผ่าน Verify ยังอาจนำไปใช้เป็น Second-Factor Authentication ร่วมกับวิธีการยืนยันตัวตนแบบอื่นได้อีกด้วย

Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัยชื่อดัง เจ้าของบล็อก Krebs on Security วิเคราะห์กระบวนการยืนยันตัวตนของ Verify ว่าปัจจัยชี้ขาดจริงๆ คือผู้ใช้งาน “เชื่อมั่น” ในโอเปอเรเตอร์หรือไม่ ซึ่งที่ผ่านมาพฤติกรรมของโอเปอเรเตอร์เหล่านี้ก็ทำตัวไม่น่าเชื่อถือ และไม่พยายามปกป้องหรือคุ้มครองผู้ใช้จากการโจมตีหรือการหลอกลวงต่างๆ รวมถึงเคยมีกรณีนำข้อมูลพิกัดของผู้ใช้ไปขายต่อให้บริษัทอื่นๆ อีกด้วย

ที่มา – Project Verify, AT&T, Krebs on Security

from:https://www.blognone.com/node/105268

Advertisements

Chrome 70 Beta รองรับการสแกนนิ้วเพื่อล็อกอินเว็บไซต์ ใช้ได้ทั้ง Android, macOS

กูเกิลออก Chrome 70 Beta ทั้งบนเดสก์ท็อปและบน Android โดยมีฟีเจอร์สำคัญ 2 อย่าง

อย่างแรกคือปรับปรุงการล็อกอินเว็บไซต์ด้วยมาตรฐาน Web Authentication API ผ่านไบโอเมตริก โดยรองรับ Touch ID ของ macOS และการสแกนนิ้วบน Android เป็นค่าดีฟอลต์ นั่นแปลว่าถ้าฝั่งเว็บไซต์รองรับ เราสามารถสแกนนิ้วบน Chrome เพื่อยืนยันตัวตนได้

นอกจากนี้ Chrome ยังรองรับการยืนยันตัวตนด้วย Public Key ผ่าน Web Authentication เพิ่มอีกช่องทางหนึ่งด้วย

ของใหม่อย่างที่สองคือ Shape Detection API ทำให้เบราว์เซอร์สามารถสแกนหารูปทรงชนิดต่างๆ ที่อยู่บนหน้าเว็บได้ เช่น ภาพบาร์โค้ด ใบหน้า หรือข้อความในภาพ ฟีเจอร์นี้ถูกออกแบบมาเพื่อให้เว็บแอพ (โดยเฉพาะบนมือถือ) มีความสามารถทัดเทียมกับแอพแบบเนทีฟ ที่ผู้ใช้คุ้นเคยกับการใช้กล้องส่อง QR Code หรือสแกนข้อความต่างๆ

ที่มา – Chromium Blog

No Description

from:https://www.blognone.com/node/105259

และแล้วก็มีวันนี้ Azure Active Directory เปิดให้ล็อกอินด้วยบัญชี Google ได้

Active Directory เป็นบริการไดเรคทอรี (ทำเนียบชื่อสำหรับยืนยันตัวตน-สิทธิการเข้าถึง) ที่ใช้กันอย่างแพร่หลายในโลกองค์กร พอมาถึงยุคคลาวด์มันก็กลายร่างเป็น Azure Active Directory (Azure AD) ที่ยังทำหน้าที่เหมือนเดิม

Azure AD มีฟีเจอร์หนึ่งชื่อว่า B2B Collaboration ช่วยให้องค์กรที่ใช้ Azure AD สามารถเชื่อมโยงกับองค์กรอื่นได้ โดยที่อีกฝั่งไม่จำเป็นต้องใช้ Azure AD เหมือนกัน (อาจใช้ระบบทำเนียบชื่อค่ายอื่น) ช่วยให้การล็อกอินข้ามระบบกันทำได้ง่าย เพราะต่างฝ่ายต่างใช้บัญชีเก่าของตนได้เลย

ก่อนหน้านี้ Azure AD B2B Collaboration รองรับแค่ Microsoft Account ซึ่งเป็นบัญชีของไมโครซอฟท์ด้วยกันเองเท่านั้น แต่ล่าสุดไมโครซอฟท์ประกาศว่า Azure AD B2B Collaboration สามารถเชื่อมต่อกับบัญชีออนไลน์ยอดนิยมแห่งยุคสมัยคือ Google ID ได้แล้ว ถือเป็นครั้งแรกที่มันต่อกับบริการ identity provider ของบริษัทอื่นได้

No Description

ประกาศนี้ทำให้องค์กรที่รัน Azure AD สามารถเปิดให้คนนอกหรือพาร์ทเนอร์ที่มีบัญชี Google เข้ามาล็อกอินใช้งานได้เลย โดยไม่ต้องเสียเวลาจัดการฐานข้อมูลผู้ใช้แยกอีกชุดหนึ่ง

ตอนนี้ Azure AD ยังรองรับบัญชี Google เฉพาะที่ลงท้ายด้วย @gmail.com เท่านั้น ส่วนบัญชีประเภทอื่นๆ เช่น G Suite ยังไม่สามารถใช้งานได้

ที่มา – Microsoft

from:https://www.blognone.com/node/105009

มิติใหม่แห่งการชักจูงคนเพิ่มความปลอดภัย Fornite แจกท่าเต้นใหม่ ถ้าผู้ใช้ล็อกบัญชีสองขั้นตอน

การล็อกอินหลายขั้นตอนเพิ่มความปลอดภัยได้หลายกรณี เช่น ผู้ใช้ตั้งรหัสผ่านคาดเดาได้ง่าย, รหัสผ่านถูกแฮก, หรือการใช้รหัสผ่านซ้ำกันหลายบริการ แต่การเรียกร้องให้ผู้ใช้ปรับตัวมาใช้การล็อกอินหลายขั้นตอนนับเป็นเรื่องยากหากไม่ใช่องค์กรที่มีนโยบายบังคับโดยตรง แต่เกม Fortnite ก็มีเทคนิคใหม่ ด้วยการสร้างท่าเต้น Boogiedown Emote มาแจกสำหรับคนที่เปิดใช้การล็อกอินหลายขั้นตอนเท่านั้น

ตัวเกม Fortnite รองรับการล็อกอินขั้นที่สองอยู่สองแบบ ใช้แอป OTP เช่น Google Authenticator หรือ Authy และอีกวิธีคือการใช้อีเมล

การใช้อีเมลยืนยันตัวตนขั้นที่สองด้วยอีเมลเป็นกระบวนการยืนยันตัวตนที่ไม่ปลอดภัยนัก มาตรฐาน NIST 800-63 ไม่แนะนำให้ใช้งานอีกแล้ว อย่างไรก็ดีการฝึกใช้การล็อกอินสองขั้นตอนกับคนหมู่มากโดยมีแรงจูงใจเช่นนี้ก็นับว่าเป็นจุดเริ่มต้นที่ดี

ที่มา – Fortnite

No Description

from:https://www.blognone.com/node/104807

Cisco ซื้อกิจการ Duo Security บริษัททำระบบยืนยันตัวตน Two-Factor Authentication

Cisco ประกาศซื้อกิจการบริษัท Duo Security ผู้พัฒนาระบบ Two-Factor Authentication สำหรับตลาดองค์กร ด้วยมูลค่า 2.35 พันล้านดอลลาร์

Duo ก่อตั้งเมื่อ 8 ปีก่อน ปัจจุบันมีพนักงานประมาณ 700 คน ผลิตภัณฑ์ของบริษัทเรียกว่า zero-trust เป็นระบบช่วยยืนยันตัวตนสองปัจจัย Two-Factor Authentication (2FA) ผ่านแอพบนมือถือชื่อ Duo Mobile (รูปแบบคล้ายๆ กับระบบยืนยันการล็อกอินบนมือถือของกูเกิล แต่อันนี้ใช้กับบริการที่ไม่ใช่ของกูเกิลได้ด้วย)

Cisco อธิบายเหตุผลในการซื้อ Duo ว่าถ้าดูเผินๆ แล้ว การซื้อบริษัทด้านความปลอดภัยเข้ามาเติมในธุรกิจด้านความปลอดภัยคลาวด์ ก็เป็นเรื่องสมเหตุสมผล แต่จริงๆ แล้วการซื้อกิจการครั้งนี้สำคัญมากในเชิงยุทธศาสตร์องค์กร เพราะ Duo เข้ามาช่วยเติมเต็มด้านการยืนยันตัวตนในการเชื่อมต่อกับเครือข่ายใดๆ ซึ่งจำเป็นมากในโลกยุค multicloud ที่เราต้องใช้งานคลาวด์หลายค่าย

ที่มา – Cisco, Cisco Blog

No Description

from:https://www.blognone.com/node/104297

Microsoft Edge รองรับ Web Authentication ล็อกอินเว็บด้วยวิธีอื่นที่ไม่ใช่รหัสผ่าน

ไมโครซอฟท์ประกาศว่า Microsoft Edge รองรับฟีเจอร์ Web Authentication (WebAuthn) ตามสเปกของ W3C เปิดให้ผู้ใช้สามารถล็อกอินเข้าใช้งานเว็บไซต์ต่างๆ ด้วยวิธีการยืนยันตัวตนแบบอื่นที่ไม่ใช่รหัสผ่าน เช่น ใบหน้า ลายนิ้วมือ PIN หรืออุปกรณ์ยืนยันตัวตนที่เป็น FIDO2

การที่ไมโครซอฟท์มีระบบยืนยันตัวตน Windows Hello ฝังมากับ Windows 10 อยู่แล้ว ทำให้สามารถต่อยอด Windows Hello กับ Microsoft Edge ได้ทันทีโดยผู้ใช้ไม่ต้องทำอะไรเพิ่ม เมื่อเจอกับหน้าจอเว็บไซต์ที่เปิดให้ยืนยันตัวตนผ่าน Web Authentication เราจะเห็นหน้าจอของ Windows Hello ขึ้นมาให้ยืนยันตัวตนทันที

ฟีเจอร์นี้เปิดใช้แล้วกับ Microsoft Edge บน Windows Insider build 17723 ส่วนผู้ใช้ทั่วไปก็รอ Windows 10 อัพเดตตัวหน้า (Redstone 5) ที่จะออกปลายปีนี้

No Description

เบราว์เซอร์ตัวอื่นที่รองรับ Web Authentication แล้วคือ Chrome 67 ขึ้นไป และ Firefox 60 ขึ้นไป (Firefox ยังไม่รองรับการยืนยันตัวตนที่เป็น FIDO2) ส่วนเว็บไซต์ที่รองรับ Web Authentication แล้วคือ Dropbox (อ้างอิง)

ที่มา – Windows Blog

from:https://www.blognone.com/node/104202

กูเกิลออก Endpoint Verification เครื่องมือช่วยยืนยันข้อมูลพีซี ก่อนล็อกอินเข้าระบบองค์กร

ปัญหาสำคัญของที่ทำงานในยุค Bring Your Own Device (BYOD) คือแอดมินขององค์กรไม่มีข้อมูลมากนักว่ามีอุปกรณ์ใดอยู่ในองค์กรบ้าง และอาจเป็นปัญหากับระบบความปลอดภัยขององค์กรได้

กูเกิลแก้ปัญหานี้ด้วยการออกเครื่องมือชื่อว่า Endpoint Verification (มีทั้งในรูปของโปรแกรมแบบเนทีฟบน Windows, macOS และส่วนขยายสำหรับ Chrome) เพื่อให้แอดมินองค์กรสามารถดูข้อมูลของเครื่องที่ล็อกอินเข้ามาใช้งานได้มากขึ้น เช่น ชื่อเจ้าของเครื่อง, เวอร์ชันของระบบปฏิบัติการ, สถานะการอนุมัติให้เชื่อมต่อเข้าระบบ, เวอร์ชันของไฟล์ policy ที่ใช้เพื่อล็อกอิน

เครื่องมือตัวนี้เปิดให้ลูกค้า Google Cloud Platform, Cloud Identity และ G Suite Business/Enterprise ใช้งาน แอดมินสามารถกำหนดให้พนักงาน “ต้อง” ติดตั้ง Endpoint Verification ก่อนจึงจะล็อกอินเข้าระบบได้

ที่มา – Google Cloud Platform Blog

หน้าจอติดตั้งส่วนขยาย

No Description

หน้าจอที่แอดมินเห็น

No Description

from:https://www.blognone.com/node/103607