PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี

โครงการที่เข้าข่ายสำคัญยิ่งยวดจะคำนวณจากโครงการที่มียอดดาวน์โหลดสูงสุด 1% แรกจากโครงการบน PyPI ทั้งหมด 350,000 โครงการในห้วงเวลา 6 เดือน ดังนั้นจึงมีโครงการชุดแรกเข้าข่าย 3,500 โครงการ แต่รายชื่อโครงการจะคำนวณใหม่ทุกวัน และโครงการที่หลุดจาก 1% แรกก็ยังได้สถานะสำคัญยิ่งยวดต่อไป ทำให้โดยรวมจะมีโครงการที่เข้าข่ายเกิน 1% และทางกูเกิลก็เตรียมคูปองสำหรับสั่งซื้อกุญแจไว้ให้ทั้งหมด 4,000 ชุด

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

วันนี้ในงาน NDID Day ทาง AIS ประกาศเปิดบริการ Public IDP (identity provider) ให้บริการยืนยันตัวตนแก่บริการอื่นๆ เช่น การเปิดบัญชีธนาคาร, การสมัครกองทุน, หรือการใช้บริการประกันภัย

ที่ผ่านมาทาง AIS ใช้จุดบริการของตัวเองกว่า 16,277 จุดให้บริการ IDP Agent เป็นบริการแสดงตัวตนที่ลูกค้าจะต้องไปแสดงตัวเพื่อพิสูจน์ตัวตน การขยายบริการเป็น Public IDP จะทำให้ผู้ใช้บริการ myAIS สามารถแสดงตัวได้ทันที จากเดิมที่ผู้ให้บริการ IDP มักเป็นธนาคารเป็นหลัก

ตอนนี้ยังไม่มีกำหนดว่าบริการ Public IDP จะเปิดให้บริการจริงช่วงใด แต่ทาง AIS ระบุว่าจะเปิดเร็วๆ นี้

ไมโครซอฟท์ออกรายงานสถิติด้านความปลอดภัยไซเบอร์ชื่อ Cyber Signals เป็นครั้งแรก สิ่งที่น่าสนใจคือการเปิดเผยข้อมูลภายในของบริการไมโครซอฟท์เอง

GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง ทำให้เกิดปัญหาผู้ดูแลถูกแฮ็กบัญชี แล้วเปลี่ยนแพ็กเกจที่ยัดไส้มัลแวร์อยู่บ่อยครั้ง สร้างผลกระทบเป็นวงกว้าง หนึ่งในมาตรการของ GitHub คือเพิ่มความปลอดภัยของบัญชีผู้ดูแลก่อน โดยเริ่มจากกลุ่ม Top 100 และขั้นต่อไปคือ GitHub จะบังคับ 2FA กับแพ็กเกจที่มียอดดาวน์โหลดเกิน 1 ล้านครั้งต่อสัปดาห์ หรือมีโครงการอื่นเรียกใช้งานเกิน 500 โครงการ

Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Salesforce บังคับใช้ MFA โดยระบุชัดเจนว่าการยืนยันตัวตนผ่านโทรศัพท์, SMS, และอีเมล นั้นไม่นับเป็นการยืนยันตัวตนที่น่าเชื่อถือ ต้องใช้กระบวนการยืนยันตัวตนสมัยใหม่ เช่น แอป TOTP เช่น Google Authenticator หรือ Microsoft Authenticator, กุญแจ U2F/WebAuthn, ตลอดจนการยืนยันตัวตนกับอุปกรณ์ เช่น Touch ID/Face ID/Windows Hello

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

ปัญหารหัสผ่านรั่วไหล หรือรหัสผ่านไม่ปลอดภัยเพียงพอเป็นปัญหาของบริการออนไลน์จำนวนมาก ในบริการออนไลน์จากผู้ให้บริการรายใหญ่ๆ มักมีความสามารถในการดูแลบริการ ไล่บล็อคไอพีของบอตที่ยิงรหัสผ่าน แต่กับเซิร์ฟเวอร์ขนาดเล็กที่ใช้งานในบ้านหรือในธุรกิจขนาดเล็กนั้นหากตั้งเซิร์ฟเวอร์ออกอินเทอร์เน็ตก็มักจะไม่มีเจ้าหน้าที่หรือระบบมอนิเตอร์มาตรวจสอบการล็อกอินผิดปกติจริงจัง ส่งผลให้มีความเสี่ยงถูกยิงรหัสผ่านจนคนร้ายยึดเครื่องได้โดยง่าย

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

กูเกิลประกาศแจกคีย์ความปลอดภัย 10,000 ชิ้นให้กับนักข่าว นักการเมือง นักเคลื่อนไหวทั่วโลก ที่กำลังเผชิญการสอดส่องโดยรัฐ และอาจถูกแฮ็กบัญชีเพื่อดูว่าทำอะไรอยู่

บัญชีกูเกิลมีฟีเจอร์ใช้งานความปลอดภัยระดับสูง (Advanced Protection Program หรือ APP) ที่บังคับต้องล็อกอินด้วยคีย์ฮาร์ดแวร์เท่านั้น ช่วยยกระดับความปลอดภัยของบัญชีเพิ่มอีกมาก กูเกิลจึงตัดสินใจแจกคีย์เพื่อให้คนที่มีความเสี่ยงสูงเหล่านี้ สามารถใช้งาน APP ได้ด้วย

วิธีการแจกคีย์ของกูเกิลจะทำผ่านองค์กรพาร์ทเนอร์ เช่น International Foundation for Electoral Systems, UN Women Generation Equality Action Coalition for Technology and Innovation, Defending Digital Campaigns

Google เคยประกาศช่วงเดือนพฤษภาคมว่าจะบังคับการยืนยันตัวตน 2 ขั้น (2FA/2SV) แบบดีฟอลต์ แต่ยังไม่ระบุช่วงเวลา

ล่าสุดประกาศแล้วว่าจะบังคับบัญชีผู้ใช้งาน Google 150 ล้านคนและบัญชี YouTube Creator 2 ล้านให้ใช้ภายในสิ้นปีนี้ โดย Google จะเริ่มบังคับจากแอคเคาท์ที่การตั้งค่ามีความพร้อมในการเปิดการยืนยันตัวตนก่อน (ตรวจสอบจากหน้า Security Checkup และบอกด้วยว่าการยืนยันตัวตน 2 ขั้นอาจไม่ได้สะดวกสบายสำหรับทุกคน ตอนนี้กำลังพัฒนาแมคนาคินหรือเทคโนโลยีที่ทำให้กระบวนการยืนยันตัวตน 2 ขั้นเป็นไปอย่างราบรื่นที่สุด

Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว

Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น

YubiKey Bio Series ปัจจุบันมีให้เลือก 2 แบบ คือ YubiKey Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-A ราคา 80 ดอลลาร์ และ YubiKey C Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-C ราคา 85 ดอลลาร์

Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

ต่อจากข่าว Cloudflare เลิกใช้ CAPTCHA เปลี่ยนมาตรวจสอบบ็อต/คนด้วย USB Key ด้วยวิธีที่มีชื่อเรียกอย่างเป็นทางการว่า "Cryptographic Attestation of Personhood"

ล่าสุด Cloudflare ขยายอุปกรณ์ที่รองรับให้กว้างขึ้นแล้ว โดยรองรับ biometric หลากหลายแพลตฟอร์ม เช่น Apple Face ID, Windows Hello, Android Biometric Authentication เราสามารถยืนยันว่าเป็นมนุษย์ด้วยการสแกนหน้าหรือสแกนนิ้ว

ผู้สนใจสามารถลองได้จากหน้าเว็บ https://cloudflarechallenge.com ผมลองทดสอบด้วย Windows Hello ก็พบว่าสามารถใช้งานได้แล้ว

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

กูเกิลเริ่มวางขายกุญแจ U2F Titan Security Key มาตั้งแต่ปี 2018 โดยแยกเป็นรุ่น USB-A/NFC และรุ่น USB-A/Bluetooth แล้วออกรุ่น USB-C ตามมาในปี 2019

ล่าสุดกูเกิลประกาศหยุดขายกุญแจ Titan รุ่น USB-A/Bluetooth แล้ว ด้วยเหตุผลว่าสมาร์ทโฟนยุคใหม่รองรับ NFC กันหมดแล้ว ความจำเป็นของกุญแจแบบ Bluetooth จึงน้อยลงไป (แต่กุญแจเดิมก็ยังใช้งานได้ตามปกติ)

กูเกิลประกาศหยุดรองรับ Google Sign-in JavaScript library สำหรับเว็บไซต์ที่ล็อกอินด้วยบัญชีกูเกิล หลังเปิดตัว Google Identity Services ที่เป็น SDK ตัวใหม่ เมื่อไม่กี่วันก่อน

Google Sign-in JavaScript library ของเดิมจะสามารถใช้งานได้ถึงวันที่ 31 มีนาคม 2023 โดยกูเกิลออกเอกสารคู่มือการย้ายมาใช้ SDK ตัวใหม่ ให้เรียบร้อยแล้ว

ประกาศนี้มีผลต่อ Google Sign-in JavaScript library เวอร์ชันเว็บเท่านั้น ไม่รวมถึง SDK สำหรับแอพ Android/iOS และแอพที่เรียกใช้ OAuth2/OpenID ของกูเกิลโดยตรง

กูเกิลประกาศรวม API ด้านการล็อกอินและยืนยันตัวตนหลายๆ ตัว (ที่กระจัดกระจาย) เข้าด้วยกันเป็นตัวเดียว ภายใต้ชื่อ Google Identity Services เพื่อให้นักพัฒนาเว็บ-แอพที่ต้องการเรียกใช้การล็อกอินผ่านบัญชีกูเกิล มี SDK เหลือเพียงตัวเดียวไม่ให้สับสน

ระบบล็อกอินภายใต้ Google Identity Services SDK มีด้วยกัน 2 วิธี ทั้งสองวิธีจะใช้ token ยืนยันตัวตนว่าล็อกอินกับบัญชีกูเกิลแล้วจริงๆ ไม่ต้องใช้รหัสผ่าน

อย่างแรกคือปุ่ม Sign in with Google ที่ทุกคนน่าจะคุ้นเคยกันอยู่แล้ว มันถูกปรับดีไซน์ใหม่ให้ชัดเจนขึ้น โดยจะแสดงชื่อ, อีเมล, ภาพโพรไฟล์ของผู้ใช้ในปุ่มด้วยเลย เพื่อให้รู้ว่าจะล็อกอินหน้าเว็บหรือแอพนั้น ด้วยบัญชีกูเกิลอันไหน

Twitter ประกาศเพิ่มสองทางเลือกสำหรับการล็อกอินหรือสมัครสร้างบัญชีใหม่ โดยสามารถใช้ Google Account หรือ Apple ID (ผ่าน Sign in with Apple) ในการล็อกอินได้แล้ว

ทั้งนี้การล็อกอินผ่านบัญชีกูเกิล จะรองรับการล็อกอินผ่านทั้งแอปและบนเว็บ ส่วนการล็อกอินด้วย Apple ID รองรับเฉพาะแอปบน iOS ในตอนนี้ โดยเวอร์ชันบนเว็บจะมีเร็ว ๆ นี้

ทางเลือกใหม่ที่เพิ่มมานี้ น่าจะเพิ่มความสะดวกสำหรับคนที่ต้องการสมัครบัญชีใหม่ แต่ก็อาจดูแปลกสำหรับผู้ใช้ปัจจุบันเพราะ Twitter เอง ก็มีบริการใช้บัญชี Twitter ในการล็อกอินเข้าสู่ระบบต่าง ๆ ด้วยอยู่แล้ว

กูเกิลออกอัพเดต Google Authenticator บน iOS และ iPadOS เวอร์ชัน 3.2.0 (ห่างจากเวอร์ชันก่อนหน้าครึ่งปี) โดยมีฟีเจอร์ใหม่ที่สำคัญคือรองรับการยืนยันตัวตนด้วย Touch ID หรือ Face ID ก่อนเข้าใช้งานเพื่อรับรหัสผ่าน 2FA

ฟีเจอร์นี้กูเกิลเรียกว่า Privacy Screen แบบเดียวกับในแอป Google Drive ที่เพิ่มมากก่อนหน้านี้ นอกจากนี้ยังสามารถกำหนดว่าให้มีการยืนยันตัวตนซ้ำเมื่อเวลาผ่านไปเท่าใดได้ด้วย

คุณสมบัติอื่นที่เพิ่มมาในเวอร์ชันนี้ คือรองรับการโอนย้ายข้อมูลคราวละหลาย ๆ บัญชีพร้อมกันไปยังอุปกรณ์เครื่องใหม่ และเพิ่มกล่องเสิร์ชด้านบนทำให้ไม่ต้องเสียเวลาปัดค้นหา