คลังเก็บป้ายกำกับ: Authentication

Apple ถูกชายคนหนึ่งฟ้อง ระบุทำระบบ 2-Factor Authentication ยุ่งยาก จนเสียเวลาอันมีค่า

เป็นที่ทราบกันอยู่แล้วว่าการเปิดบริการยืนยันตัวตนสองขั้นตอน (Two-factor Authentication) ช่วยให้การใช้งานบริการออนไลน์มีความปลอดภัยขึ้น แต่ถ้ามันมาพร้อมความยุ่งยาก ก็ดูเหมือนผู้ใช้งานบางคนอาจจะไม่ใช่แค่อารมณ์เสีย แต่ต้องฟ้องร้องเลยทีเดียว

เรื่องมีอยู่ว่านาย Jay Brodsky ได้ยื่นฟ้องต่อศาลแคลิฟอร์เนีย บอกว่าแอปเปิลไม่ได้ขออนุญาตผู้ใช้ก่อนเลือกเปิดการยืนยันตัวตนสองขั้นตอน และเมื่อเปิดใช้แล้วก็ยุ่งยากมาก เพราะต้องจำทั้งรหัสผ่านล็อกอิน แล้วต้องล็อกอินเข้าอุปกรณ์ที่เชื่อถือได้อีก

อ่านถึงตรงนี้อาจจะเกาศีรษะว่าแล้วปัญหาคืออะไร Brodsky บอกว่าเหตุที่ต้องฟ้องเพราะกระบวนการดังกล่าวที่แอปเปิลใช้ ก่อให้เกิดผลเสียหายมาก เช่นเวลาอันมีค่าที่ต้องเสียไปกับการล็อกอินซ้ำซ้อนหลายขั้นตอนนี้ โดยเขาอธิบายขั้นตอนล็อกอินว่า (1) ใส่รหัสผ่านเพื่อล็อกอินในอุปกรณ์ใหม่ (2) ใส่รหัสผ่านในอุปกรณ์เชื่อถือได้เพื่อเข้าไปยืนยันสองขั้นตอน (3) กดเลือกว่าเชื่อถือหรือไม่เชื่อถือในอุปกรณ์นั้น (4) กลับไปอุปกรณ์แรกเพื่อกรอกรหัสเลข 6 ตัว ที่ได้มา ซึ่งรวมแล้วแต่ละขั้นตอนเขาใช้เวลาราว 2-5 นาที

เรื่องนี้อาจต้องพิจารณากันดู ว่าผู้อ่านที่ใช้อุปกรณ์แอปเปิลรู้สึกหรือไม่ว่าการยืนยันตัวตนสองขั้นตอน ช้ามากแบบที่นาย Brodsky ฟ้องร้องหรือไม่ครับ

ที่มา: Apple Insider

alt="Apple Two-factor Authentication"

from:https://www.blognone.com/node/108047

โฆษณา

Google กำลังทดสอบ UI ระบบยืนยันตัวตน 2 ขั้นใหม่สำหรับแอคเคาท์ Google บนแอนดรอยด์

เมื่อปี 2016 Google ได้นำระบบยืนยันตัวตน 2 ชั้นสำหรับแอคเคาท์ Google แบบใหม่มาใช้กับผู้ใช้แอนดรอยด์ ด้วยการแสดงหน้า UI เพื่อกดยืนยันบนเครื่องเมื่อมีการล็อกอิน

ล่าสุดมีรายงานว่า Google กำลังทดสอ UIใหม่ ที่มีความเป็น Material แบบใหม่ รวมถึงปรับเลย์เอ้าท์ของปุ่มกดยืนยันตัวตน 2 แบบ ที่ต่างกันแค่ตำแหน่งการปุ่มกดยืนยันเท่านั้น โดยการเปลี่ยนแปลงนี้เป็นฝั่งเซิร์ฟเวอร์ ผู้ใช้ไม่ต้องทำอะไรครับ

ส่วนใครที่ยังไม่เปิดระบบยืนยันตัวตน 2 ขั้น แนะนำให้อ่านข้อมูลเพิ่มเติมและทำได้ที่นี่ครับ

ที่มา – Android Police

No Description

from:https://www.blognone.com/node/108040

LINE ทำเซิร์ฟเวอร์ FIDO แล้ว เตรียมใช้ล็อกอินแอปไม่มีรหัส, จ่ายเงินไม่ใช้ PIN ไปจนถึงสตาร์ตรถ

LINE ประกาศว่าได้รับใบรับรองจาก FIDO (FIDO Universal Server Certification) สำหรับ LINE Authentication Server ทำให้กระบวนการล็อกอิน (กระบวนการยืนยันตัวตน) ของ LINE ต่อไปนี้จะรองรับไบโอเมตริกและโทเคนอย่าง YubiKey แล้ว

LINE บอกว่าเป้าหมายสูงสุดคือการเอาหน้าจอยืนยันตัวตนที่ต้องกรอกยูสเซอร์เนมและพาสเวิร์ดออกให้หมดในทุกบริการของ LINE อาทิ การใช้ลายนิ้วมือล็อกอินเข้า LINE, ลายนิ้วมือและใบหน้ากับ LINE Pay ไปจนถึงการให้บริการภายนอกมาเชื่อมต่อเพื่อยืนยันตัวตนผ่าน LINE อาทิ อุปกรณ์ IoT ด้วย

กระบวนการยืนยันตัวตนของ LINE จะเริ่มมีการเปลี่ยนแปลงในช่วงฤดูใบไม้ผลินี้

ที่มา – LINE Engineering

No Description

No Description

No Description

from:https://www.blognone.com/node/107619

Windows 10 เริ่มเปิดให้ล็อกอินด้วยเบอร์โทร + SMS แทนการใช้รหัสผ่าน

ไมโครซอฟท์ออก Windows 10 Insider Preview Build 18309 รุ่นทดสอบตัวแรกของปี 2019

ของใหม่ที่สำคัญเป็นการปรับฟีเจอร์ด้านการล็อกอินที่เริ่มเพิ่มเข้ามาใน Build 18305 ตัวก่อนหน้านี้ ให้ใช้ได้กับ Windows 10 ทุก edition (ตัวก่อนหน้านี้มีเฉพาะรุ่น Home)

สิ่งที่น่าสนใจคือไมโครซอฟท์ปรับให้บัญชี Microsoft Account สามารถใช้งานได้แบบไม่ต้องมีรหัสผ่านอีกแล้ว โดยผู้ใช้สามารถสร้างบัญชี Microsoft Account ด้วยหมายเลขโทรศัพท์เพียงอย่างเดียว แล้วล็อกอินด้วยโค้ดจาก SMS แทนรหัสผ่านแบบเดิม ไมโครซอฟท์เรียกมันว่า password-less phone number account

เมื่อนำบัญชีแบบใหม่ (ซึ่งสามารถใช้กับแอพและบริการของไมโครซอฟท์ทุกตัว ไม่ใช่แค่ Windows) มาผูกกับการล็อกอินเข้า Windows 10 ทำให้เราไม่จำเป็นต้องกำหนดรหัสผ่านเพื่อ Windows เลย เพราะการล็อกอินครั้งแรกใช้โค้ดจาก SMS จากนั้นเราสามารถตั้งค่า PIN หรือลายนิ้วมือ/ใบหน้าผ่าน Windows Hello เพื่อล็อกอินในครั้งต่อๆ ไปได้

ไมโครซอฟท์อธิบายว่าแนวทางนี้เป็นความพยายามในการเลิกใช้รหัสผ่านในการยืนยันตัวตน (we’re pushing forward on eliminating passwords) ซึ่งถูกมองว่าไม่ค่อยปลอดภัยแล้วในยุคปัจจุบัน

ที่มา – Microsoft

No Description

from:https://www.blognone.com/node/107329

Instagram เปิดระบบยืนยันตัวตนสองปัจจัยโดยใช้แอพให้ผู้ใช้ทุกคนแล้ว

หลังจากที่ Instagram ทดลองระบบยืนยันตัวตนสองปัจจัยที่ไม่ต้องใช้ SMS โดยการใช้แอพอย่างเช่น Google Authenticator มาสักระยะหนึ่ง วันนี้ Instagram ก็ได้เปิดฟีเจอร์ดังกล่าวให้พร้อมใช้งานกับผู้ใช้ทุกคนแล้ว

วิธีเปิดฟีเจอร์ยืนยันตัวตนสองปัจจัยด้วยแอพ ให้เข้าไปที่ Settings > Privacy and Security และกดเปิด Authentication App ซึ่ง Instagram จะค้นหาแอพให้ โดยค่าเริ่มต้นจะเลือก Google Authenticator ให้ ซึ่งถ้าผู้ใช้ยังไม่มี Instagram จะแนะนำให้ดาวน์โหลดจาก App Store หรือผู้ใช้จะเลือกคัดลอกโค้ดจาก Instagram เพื่อไปใช้งานกับแอพที่คุ้นเคยก็ได้

การยืนยันตัวตนผ่าน SMS นั้นมีความเสี่ยงจะถูกขโมยซิมจากช่องโหว่ความปลอดภัยของระบบเครือได้ Instagram จึงเปิดให้ผู้ใช้ที่กังวลกับประเด็นนี้มีทางเลือกให้ยืนยันตัวตนด้วยแอพได้ด้วย

ที่มา – TechCrunch

alt="Instagram"

from:https://www.blognone.com/node/105827

โอเปอเรเตอร์สหรัฐเสนอวิธีการยืนยันตัวตนแบบใหม่ ใช้พฤติกรรมการใช้มือถือแทนรหัสผ่าน

เรารู้กันดีว่า “รหัสผ่าน” เป็นวิธีการยืนยันตัวตนที่มีช่องโหว่มาก และวงการไอทีก็มีความพยายามหาสิ่งอื่นมาทดแทนรหัสผ่านหลายอย่าง เช่น ไบโอเมตริก หรือสมาร์ทการ์ด

ล่าสุด โอเปอเรเตอร์สหรัฐ 4 รายใหญ่คือ AT&T, Verizon, Sprint, T-Mobile ร่วมกันเปิดตัว Project Verify วิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือที่เราใช้งานอยู่

แนวคิดของ Verify คือผู้ใช้งานโทรศัพท์แต่ละคนมีข้อมูลที่แตกต่างกันอยู่แล้ว เช่น หมายเลขโทรศัพท์ ข้อมูลในซิมการ์ด หมายเลขไอพี รวมถึงพฤติกรรมการใช้งาน ฯลฯ โอเปอเรเตอร์มองเห็นข้อมูลเหล่านี้อยู่แล้ว และสามารถนำมาแยกแยะว่าผู้ใช้แต่ละคนเป็นคนนั้นจริงๆ หรือไม่

รูปแบบการใช้งานเพียงว่าผู้ใช้ติดตั้งแอพ Verify ลงในสมาร์ทโฟน และเมื่อต้องการยืนยันตัวตนในแอพอื่น (ที่รองรับ Verify) ก็สามารถกดยืนยันตัวตนจากในสมาร์ทโฟนได้ทันที งานที่เหลือเป็นของฝั่งโอเปอเรเตอร์ที่จะตรวจสอบและตอบกลับไปยังแอพนั้นๆ ว่าเราเป็นตัวจริงหรือไม่

กลุ่มโอเปอเรเตอร์ยังบอกว่าการยืนยันตัวตนผ่าน Verify ยังอาจนำไปใช้เป็น Second-Factor Authentication ร่วมกับวิธีการยืนยันตัวตนแบบอื่นได้อีกด้วย

Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัยชื่อดัง เจ้าของบล็อก Krebs on Security วิเคราะห์กระบวนการยืนยันตัวตนของ Verify ว่าปัจจัยชี้ขาดจริงๆ คือผู้ใช้งาน “เชื่อมั่น” ในโอเปอเรเตอร์หรือไม่ ซึ่งที่ผ่านมาพฤติกรรมของโอเปอเรเตอร์เหล่านี้ก็ทำตัวไม่น่าเชื่อถือ และไม่พยายามปกป้องหรือคุ้มครองผู้ใช้จากการโจมตีหรือการหลอกลวงต่างๆ รวมถึงเคยมีกรณีนำข้อมูลพิกัดของผู้ใช้ไปขายต่อให้บริษัทอื่นๆ อีกด้วย

ที่มา – Project Verify, AT&T, Krebs on Security

from:https://www.blognone.com/node/105268

Chrome 70 Beta รองรับการสแกนนิ้วเพื่อล็อกอินเว็บไซต์ ใช้ได้ทั้ง Android, macOS

กูเกิลออก Chrome 70 Beta ทั้งบนเดสก์ท็อปและบน Android โดยมีฟีเจอร์สำคัญ 2 อย่าง

อย่างแรกคือปรับปรุงการล็อกอินเว็บไซต์ด้วยมาตรฐาน Web Authentication API ผ่านไบโอเมตริก โดยรองรับ Touch ID ของ macOS และการสแกนนิ้วบน Android เป็นค่าดีฟอลต์ นั่นแปลว่าถ้าฝั่งเว็บไซต์รองรับ เราสามารถสแกนนิ้วบน Chrome เพื่อยืนยันตัวตนได้

นอกจากนี้ Chrome ยังรองรับการยืนยันตัวตนด้วย Public Key ผ่าน Web Authentication เพิ่มอีกช่องทางหนึ่งด้วย

ของใหม่อย่างที่สองคือ Shape Detection API ทำให้เบราว์เซอร์สามารถสแกนหารูปทรงชนิดต่างๆ ที่อยู่บนหน้าเว็บได้ เช่น ภาพบาร์โค้ด ใบหน้า หรือข้อความในภาพ ฟีเจอร์นี้ถูกออกแบบมาเพื่อให้เว็บแอพ (โดยเฉพาะบนมือถือ) มีความสามารถทัดเทียมกับแอพแบบเนทีฟ ที่ผู้ใช้คุ้นเคยกับการใช้กล้องส่อง QR Code หรือสแกนข้อความต่างๆ

ที่มา – Chromium Blog

No Description

from:https://www.blognone.com/node/105259