By: mk 
on 13 May 2013 - 08:34
Tags:
Topics:
Michael Barrett ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (information security) ของ PayPal และประธานของกลุ่ม FIDO Alliance (Fast Identity Online - ข่าวเก่า) ไปพูดที่งานสัมมนาด้านความปลอดภัย Interop
Barrett อธิบายเป้าหมายของกลุ่ม FIDO ว่าต้องการกำจัดระบบล็อกอินด้วยรหัสผ่านและ PIN ออกไปจากโลกนี้ รหัสผ่านเป็นวิธีการที่คิดขึ้นตั้งแต่ปี 1961 แต่ปัจจุบันเรามีเว็บไซต์ที่ต้องใช้รหัสผ่านจำนวนมหาศาล ทำให้ผู้ใช้มักตั้งรหัสผ่านเหมือนๆ กัน แถมการจดจำรหัสผ่านทำให้ผู้ใช้ตั้งรหัสผ่านง่ายๆ ทำให้รหัสผ่านถูกเจาะได้ง่ายมาก
กลุ่ม FIDO Alliance ตั้งขึ้นเพื่อแก้ปัญหานี้ โดยสร้างระบบการยืนยันตัวตนที่ใช้ง่ายและปลอดภัย แนวทางของ FIDO คือผู้ใช้ล็อกอินเข้าไปยังอุปกรณ์ฮาร์ดแวร์ (เช่น โทรศัพท์หรือคอมพิวเตอร์ที่มี TPM) ผ่านลายนิ้วมือ-เสียง-ใบหน้า-นัยน์ตา-แฟลชไดรฟ์ จากนั้นซอฟต์แวร์ของ FIDO จะยืนยันตัวตนของอุปกรณ์กับบริการออนไลน์อื่นๆ ให้
Barrett บอกว่า PayPal เตรียมรองรับ FIDO ในเร็วๆ นี้ และต้องรอฝั่งฮาร์ดแวร์สนับสนุนด้วย
ที่มา - PC Magazine, The Register
Get latest news from Blognone
Follow @twitterapi
Comments
มันคล้ายๆ กับพวก RSA SecuID ในบทความนี้มั้ยครับ
ผมว่าน่าจะคล้าย ๆ กัน แต่คงไม่ใช่ไดรว์ที่ใช้ Generate เลขสุ่มหรือเลขคงที่อะไร แต่เป็นไดรว์อะไรก็ได้ที่เรามีติดตัวอยู่ (คือเลือกให้มันจำไว้)เพื่อที่จะใช้งานง่าย ไม่ต้องไปลำบากซื้อฮาร์ดแวร์เพิ่ม และป้องกันขโมยได้ระดับหนึ่งเมื่อเรามีหลายไดรว์ (ขโมยไม่รู้ต้องขโมยอันไหน หรือขโมยมาหมดก็ไม่รู้ต้องใช้อันไหน)
อันนี้ผมชอบแนวคิดแฮะ แต่ไม่ชอบที่ใช้ลายมือ นัยตา มันเปลี่ยนกันไม่ได้ โดนขโมยแล้วขโมยเลย
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
RSA SecuID นี่คีย์มันเปลี่ยนไปตามเวลานะครับ
แต่ไอ้พวกนี้คือเราใช้ credenticals ที่เรามีคนเดียว และเข้าถึงได้คนเดียว โดยไม่เปลี่ยนตามเวลาครับ
เข้าใจแบบนี้นะ
Blog | Twitter
คิดจะลอง สั่ง TPM มาเล่นเหมือนกันแต่ข้อมูลน้อยมาก
ไม่แน่ใจว่าจะ support กับ mobo ที่ใช้อยู่แค่ไหน
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
การสร้างกุญแจให้มีความซับซ้อน โดยกุญิดตัวเราไปตลอด หายยากมาก มันก็สร้างวิธีการไขกุญแจยากขึ้นไปอีก
ง่ายสุดที่นึกออกก็ TPM ที่อยู่ใน Surface RT
เอากล้องมือถือสแกนลูกตาได้ไหมเนี่ย LOL
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ข่าวต่อมา anonymous เข้ายึด FIDO ฮาา
รหัสผ่านแบบ one time password ยังก็ OK นะ สะดวกดี ไม่ต้องจำให้ยุ่งยาก
ใช่ครับ ปลอดภัยกว่าเยอะ อีกอย่างถ้าหากใช้ด้าน Physical จากร่างกายเราเป็นการ login มันก็ติดตัวเราไปตลอด ท้ายสุดต้องมาจำว่า hotmail ใช้นิ้วชี้? gmail ใช้นิ้วกลาง facebook ใช้นิ้วก้อย? ebay แสกนม่านตา?
โอยไม่อยากคิด ต้องมี sensor กี่แบบถึงจะ login ได้ครบโดยไม่ซ้ำกันเนี่ย
ผมว่า user password แบบเดิมๆ ก็ยังเป็นคำตอบที่ดีเหมือนเดิมถ้าเราใช้โปรแกรมช่วยเก็บ password และใช้ password จากการ Generate ซึ่งมันไม่น่าซ้ำกันอยู่แล้ว
ใช่ครับ OTP ไม่ต้องจำดี เข้ามือถือปลอดภัย แล้วจะโดนดัก sms ไหมอะครับ -..-
ผมว่าทำแบบ Google Authenticator เวิร์คสุดนะครับ
ก็ไม่ต้องใช้ smart phone ไงคับ ไม่น่าโดนดัก ใช้ feature phone ปลอดภัยจากทุกอย่าง 555 เข้าเน็ตยังไม่ได้เลย
อีกอย่าง otp ส่วนใหญ่เท่าที่เห็นใช้ๆ กันก็เป็นพวกธนาคารใช้ verify การทำรายการโอนเงิน ถ้าจะโดน hack นั่นหมายถึง ต้องโดนทั้งคอม และมือถือ
คือตัว Authenticator ของ Google มันไม่ต้องแม้แต่รับส่งข้อมูลอะไรนะครับ มันคือเอา Key + Time ที่เราป้อนทีเดียวมาคำนวนในเครื่องตรงนั้นเลย
ขณะที่ถ้าส่ง SMS เนี่ยอย่างน้อยก็ต้องติดต่อกับ Operator ครับ
Blog | Twitter
ข่าวในอนาคต โจรปล้นนิ้วชี้ รูดทรัพย์หมด paypal