ไมโครซอฟท์ประกาศว่าฟีเจอร์ Windows Hello ของ Windows 10 (นับตั้งแต่ v1903 หรือ May 2019 Update เป็นต้นไป) ผ่านการรับรองมาตรฐาน FIDO2 แล้ว นั่นแปลว่าเราสามารถนำ Windows Hello ไปใช้ล็อกอินเว็บไซต์หรือแอพต่างๆ ที่รองรับมาตรฐาน FIDO ได้แล้ว

การรับรองนี้ทำให้เราสามารถใช้ Firefox 66 ที่รองรับ WebAuthn บนวินโดวส์ สามารถนำข้อมูลตัวตนของเราจาก Windows Hello ไปล็อกอินกับเว็บไซต์ที่รองรับ FIDO (เช่น Microsoft Account) ส่วน Microsoft Edge ที่เป็น Chromium จะได้ฟีเจอร์นี้ตามมาในอนาคต

วันนี้ World Wide Web Consortium หรือ W3C ได้ประกาศให้ Web Authentication API หรือ WebAuthn เป็นมาตรฐานเว็บอย่างเป็นทางการแล้ว

WebAuthn นั้นเป็นมาตรฐานระบบล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านของ W3C โดยระบบนี้พัฒนาต่อมาจาก FIDO2 และ CTAP ซึ่งสามารถทำงานร่วมกับ FIDO UAF และ U2F ที่ออกมาก่อนหน้านี้ได้

ระบบล็อกอิน WebAuthn ออกแบบมาเพื่อให้ผู้ใช้ไม่ต้องใช้รหัสผ่านในการล็อกอิน (หรือจะนำมาใช้ร่วมกับรหัสผ่านก็ได้) โดยการใช้อุปกรณ์ต่าง ๆ เช่น เซนเซอร์สแกนลายนิ้วมือ หรือกุญแจความปลอดภัย ซึ่งตอนนี้ WebAuthn รองรับทั้งบน Android และ Windows 10 ส่วนเบราว์เซอร์ที่รองรับก็มีทั้ง Chrome, Firefox, Edge (ส่วน Safari ยังอยู่ในช่วงเบต้า)

FIDO Alliance ได้ประกาศให้ระบบปฏิบัติการ Android เป็นระบบปฏิบัติการที่ได้รับการรับรอง FIDO2 แล้ว เพื่อให้ผู้ใช้ Android สามารถใช้งานเซนเซอร์ลายนิ้วมือ และ/หรือ กุญแจความปลอดภัยของ FIDO เพื่อล็อกอินเข้าใช้งานเว็บไซต์หรือแอพที่รองรับโปรโตคอล FIDO2 ได้โดยไม่ต้องใช้รหัสผ่าน

การประกาศ FIDO2 Certified ให้ Android หมายความว่าอุปกรณ์ Android 7.0 หรือใหม่กว่าจะพร้อมรองรับโปรโตคอล FIDO2 ตั้งแต่แกะกล่อง หรือหลังจากอัพเดตผ่าน Google Play Services เพื่อให้ระบบ Android พร้อมใช้งาน FIDO2 ทันที

LINE ประกาศว่าได้รับใบรับรองจาก FIDO (FIDO Universal Server Certification) สำหรับ LINE Authentication Server ทำให้กระบวนการล็อกอิน (กระบวนการยืนยันตัวตน) ของ LINE ต่อไปนี้จะรองรับไบโอเมตริกและโทเคนอย่าง YubiKey แล้ว

LINE บอกว่าเป้าหมายสูงสุดคือการเอาหน้าจอยืนยันตัวตนที่ต้องกรอกยูสเซอร์เนมและพาสเวิร์ดออกให้หมดในทุกบริการของ LINE อาทิ การใช้ลายนิ้วมือล็อกอินเข้า LINE, ลายนิ้วมือและใบหน้ากับ LINE Pay ไปจนถึงการให้บริการภายนอกมาเชื่อมต่อเพื่อยืนยันตัวตนผ่าน LINE อาทิ อุปกรณ์ IoT ด้วย

กระบวนการยืนยันตัวตนของ LINE จะเริ่มมีการเปลี่ยนแปลงในช่วงฤดูใบไม้ผลินี้

ที่มา - LINE Engineering

Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019

สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก

Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store

ไมโครซอฟท์ประกาศว่าแอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO2 และ Windows Hello แล้ว โดยจะใช้ได้เฉพาะบน Windows 10 (October 2018) ขึ้นไปและเฉพาะบน Microsoft Edge เท่านั้น

การตั้งค่าต้องเข้าไปที่หน้าแอคเคาท์ไมโครซอฟท์ เลือก Security และ More Security Options แล้วกด Windows Hello and Security Keys เพื่อตั้งค่า

ที่มา - Microsoft

ไมโครซอฟท์ประกาศรองรับร่างมาตรฐาน Web Authentication ที่พัฒนามาจากมาตรฐาน FIDO2 ทำให้เบราว์เซอร์ Edge เตรียมรองรับกุญแจ U2F ได้

ตัว Edge เองก็ทดสอบการรองรับ Web Authentication มาตั้งแต่ปี 2016 และการรองรับครั้งนี้อาศัยมาตรฐานรุ่นก่อนตัวจริง (candidate recommendation - CR) โดยจะเริ่มรองรับใน Windows Insider Preview build 17723

นอกจากการใช้กุญแจ U2F แล้ว มาตรฐาน Web Authentication ยังเปิดทางให้ยืนยันตัวตนผู้ใช้ด้วยช่องทางต่างๆ เช่น การตรวจสอบลายนิ้วมือและใบหน้า โดยตัว Windows Hello รองรับช่องทางเหล่านี้ด้วย ทำให้สามารถล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านอีกต่อไป

กูเกิลเปิดตัวกุญแจยืนยันตัวตน Titan Security Key โดยใช้ชื่อเดียวกับชิป Titan ที่ใช้ยืนยันสถานะของเซิร์ฟเวอร์ แต่ชิปภายในไม่ได้เกี่ยวข้องกัน

กุญแจมาเป็นชุด ชุดละ 50 ดอลลาร์โดยเป็นรุ่น USB/NFC ตัวหนึ่ง และ USB/Bluetooth อีกตัว ชุดละ 50 ดอลลาร์ เข้าคู่กันตามแนวทางของกูเกิลที่ต้องการให้กุญแจตัวหนึ่งรองรับ Bluetooth เพื่อใช้งานกับโทรศัพท์ได้ โดยตัวฮาร์ดแวร์เองน่าจะผลิตโดยบริษัท Feitian ผู้ผลิตระบบรักษาความปลอดภัยฮาร์ดแวร์รายใหญ่ของจีน เช่น บัตรยืนยันตัวตน, หรืออุปกรณ์รับจ่ายบัตรเครดิตต่างๆ แต่กูเกิลไม่ตอบว่าใครคือผู้ผลิตฮาร์ดแวร์ ระบุเพียงว่าไม่ได้ผลิตโดย Yubico

สมาชิก Blognone อาจเคยผ่านตาชื่อ FIDO Alliance กลุ่มพันธมิตรอุตสาหกรรมที่ผลักดันการยืนยันตัวตนรูปแบบใหม่ๆ ที่ไม่ใช้รหัสผ่าน ตัวอย่างที่เราเห็นกันบ่อยๆ คือ USB key แต่ก็รวมถึงการใช้ PIN หรือ biometric ด้วย

เมื่อไม่นานมานี้ กลุ่ม FIDO มีโครงการ FIDO2 ซึ่งประกอบด้วยมาตรฐาน WebAuthn ของ W3C และ Client-to-Authenticator Protocol (CTAP) เป็นโปรโตคอลระหว่างเบราว์เซอร์และระบบยืนยันตัวตน ทำให้เราสามารถใช้อุปกรณ์ที่ผ่านมาตรฐาน FIDO ล็อกอินเข้าเว็บไซต์ต่างๆ แทนรหัสผ่านได้

W3C องค์กรมาตรฐานเว็บ เปิดตัวมาตรฐาน WebAuthn ที่พัฒนาต่อมาจาก FIDO2 และ Client to Authenticator Protocol (CTAP) โดยได้รับการสนับสนุนจาก Chrome, Edge, และไฟร์ฟอกซ์

มาตรฐาน CTAP สร้างมาตรฐานการเชื่อมต่อระหว่างเบราว์เซอร์ และอุปกรณ์สำหรับยืนยันตัวตน ไม่ว่าจะเป็นกุญแจอิเล็กทรอนิกส์หรือโทรศัพท์มือถือ โดยสามารถเชื่อมต่อได้ทั้ง NFC, USB, หรือ Bluetooth เพื่อการยืนยันตัวตนผู้ใช้กับบริการที่ใช้ทางอินเทอร์เน็ต

มาตรฐานนี้ทำงานร่วมกับมาตรฐาน FIDO UAF และ U2F ที่ออกมาก่อนแล้วได้

Lenovo ประกาศตัวเป็นผู้ผลิตพีซีแบรนด์แรกที่ได้รับรอง FIDO มาในตัวทำให้ลูกค้าไม่ต้องซื้ออุปกรณ์ใดๆ เพิ่มเติมเพื่อล็อกอินบริการที่ใช้ FIDO ไม่ว่าจะเป็น U2F สำหรับการยืนยันตัวตนสองขั้นตอน หรือ UAF สำหรับการยืนยันตัวตนด้วยลายนิ้วมือ

รายชื่อโน้ตบุ๊กชุดแรกที่ได้รับรอง FIDO ได้แก่ Yoga 920, IdeaPad 720S, ThinkPad X1 Tablet (2nd generation), ThinkPad X1 Carbon (5th generation), ThinkPad Yoga 370, ThinkPad T570, ThinkPad P51s, ThinkPad T470s, ThinkPad X270, และ ThinkPad X270s โดยรุ่นที่จะใช้ UAF ได้ต้องติดตั้งเซ็นเซอร์ลายนิ้วมือของ Synaptics ด้วย

ที่งาน Money20/20 ที่อินเทลแถลงข่าวร่วมกับ Visa และ Bank of America ทาง FIDO ก็ออกมาระบุว่ามันคือการใช้มาตรฐาน FIDO เพื่อล็อกอินเว็บ ขณะเดียวกัน Christiaan Brand จากกูเกิลก็สาธิตการซื้อสินค้าออนไลน์ในยุคต่อไป ที่มาตรฐานต่างๆ พร้อมแล้วจะสามารถซื้อเสร็จทั้งหมดพร้อมจ่ายเงินภายในไม่กี่คลิกเท่านั้น

มาตรฐานสองตัวที่ยังอยู่ระหว่างการร่าง คือ Web Authentication ที่พัฒนามาจากมาตรฐาน FIDO2 สำหรับการยืนยันตัวตนผู้ซื้อ และมาตรฐาน Web Payment สำหรับการจ่ายเงินจากข้อมูลบัตรที่เก็บไว้ล่วงหน้า

เฟซบุ๊กประกาศรองรับมาตรฐาน FIDO U2F นับเป็นบริการขนาดใหญ่ล่าสุดที่ประกาศรองรับ หลังจากกูเกิล, Dropbox, และ GitHub

เฟซบุ๊กรองรับการล็อกอินเฉพาะเว็บเท่านั้น ทำให้ต้องล็อกอินด้วย U2F เป็นทางเลือกเพิ่มเติมไปก่อน แต่เว็บสำหรับโทรศัพท์มือถือก็สามารถใช้งานได้ หากตัวโทเค็น U2F รองรับ NFC

U2F มีความได้เปรียบกว่าการล็อกอินสองขั้นตอนอื่นๆ ที่มันสามารถป้องกันการโจมตี phishing ได้เพราะตัวกุญแจจะไม่ส่งรหัสผ่านจากเว็บหนึ่งไปยังเว็บอื่นๆ โดยตัวเบราว์เซอร์เป็นผู้แจ้งชื่อเว็บเข้าไปยังกุญแจ USB

มาตรฐาน FIDO U2F เป็นมาตรฐานการยืนยันตัวตนขั้นสองที่สอง (second factor) ที่กูเกิลผลักดันและมีแนวโน้มจะได้รับการยอมรับเป็นวงกว้าง ตอนนี้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายใหญ่ในเกาหลีอย่าง SK Telecom ก็เข้ามาตลาดนี้ด้วยการเปิดตัวสมาร์ตวอชที่มี FIDO

ประกาศของ SK Telecom ไม่ได้บอกโดยตรงว่าสมาร์ตวอชนี้มีสเปคอย่างไรและใช้มาตรฐาน U2F หรือ UAF แต่หน้ารายการสินค้าที่ได้รับการรับรองของ FIDO ก็ระบุถึงสมาร์ตวอชของ SK Telecom เอาไว้เป็น SK Telecom U2F Authtenticator 1.0 for Android Wear

eBay เข้าร่วม FIDO Alliance กลุ่มบริษัทไอทีที่มุ่งหาทางทดแทนรหัสผ่าน โดยประกาศสนับสนุน FIDO UAF กระบวนการล็อกอินด้วยโทรศัพท์มือถือ โดยช่วงแรกทาง eBay เปิดโค้ดของเซิร์ฟเวอร์และไคลเอนต์แอนดรอยด์ตามมาตรฐาน UAF 1.0

ทาง eBay ยังไม่ได้ประกาศว่าจะรองรับ UAF อย่างเป็นทางการเมื่อใด แต่ระบุว่ารหัสผ่านเป็นปัญหาสำหรับลูกค้าจำนวนหนึ่ง โดยเฉพาะสมาร์ตโฟนที่ใส่รหัสผ่านได้ลำบาก และตอนนี้ eBay จะเน้นที่ UAF ก่อนและอาจจะพิจารณา U2F สำหรับการใช้งานในอนาคต

โค้ด FIDO UAF อยู่บน GitHub

ที่มา - eWeek

ปัญหาความปลอดภัยพื้นฐานที่สุดที่เราพบกันได้เสมอในทุกวันนี้ไม่ใช่ช่องโหว่ซอฟต์แวร์ที่ต้องอาศัยความรู้ทางเทคนิค แต่ยังคงเป็นการขโมยรหัสผ่านด้วยวิธีการต่างๆ ไม่ว่าจะเป็นผู้ใช้บอกให้ผู้อื่นรับรู้ หรือแม้แต่เก็บรหัสผ่านไว้อย่างไม่ปลอดภัย ไม่ว่าจะเป็นการจดไว้ตามที่ต่างๆ หรือเก็บไว้ในไฟล์ หรือกระทั่งการตั้งรหัสผ่านี่ง่ายมากๆ เช่น "1234" หรือ "password"

Dropbox ประกาศรองรับการใช้ USB key เป็นการยืนยันตัวตนสองชั้น (two factors authentication) นอกเหนือจากการใส่รหัส PIN จากมือถือแบบของเดิม วิธีใช้งานคือเสียบ USB key (เป็นอุปกรณ์เฉพาะ คนละอย่างกับไดรฟ์ USB ทั่วไป) ที่ลงทะเบียนไว้กับ Dropbox ค้างไว้ แล้วป้อนรหัสผ่านได้เลย

Dropbox บอกว่าการยืนยันตัวตนด้วยฮาร์ดแวร์นั้นปลอดภัยว่าการป้อน PIN เพราะในบางกรณี เราอาจโดนหลอกให้เข้าหน้าเว็บ Dropbox ปลอม เพื่อแฮ็กเกอร์จะได้รหัส PIN ของเราไปกรอกเข้าเว็บ Dropbox ของจริงอีกทีหนึ่ง แต่ถ้าเป็นการใช้ฮาร์ดแวร์ด้วยก็ไม่สามารถหลอกข้อมูลแบบนี้ได้

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

ไมโครซอฟท์เคยประกาศว่า Windows 10 จะรองรับ FIDO ด้วย แต่เป็น FIDO เวอร์ชัน 2.0 ที่ต้องรอกระบวนการออกมาตรฐานอีกระยะเวลาหนึ่ง

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

หลังจากที่ทาง FIDO เพิ่งออกมาตรฐานรุ่น 1.0 มา ทาง Synaptics ที่เป็นหนึ่งในสมาชิกระดับบอร์ดก็ได้ออกอุปกรณ์มารองรับทันทีในชื่อ SecurePad

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน

FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้กุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น

ไมโครซอฟท์เข้าร่วมกลุ่ม FIDO Alliance เป็นรายล่าสุด หลังจากที่กลุ่มนี้ตั้งขึ้นมาโดยบริษัท Lenovo, Infineon, และ PayPal และ Google, NXP สมัครเข้าเป็นสมาชิกเมื่อเดือนเมษายน

กลุ่ม FIDO หวังว่าจะสร้างมาตรฐานใหม่สำหรับการยืนยันตัวตนด้วยระบบกุญแจสาธารณะ (public key) โดยเมื่อผู้ใช้ยืนยันตัวตนกับบริการใดๆ เพียงแต่สร้างกุญแจสาธารณะส่งไปยังบริการนั้นๆ และเก็บกุญแจส่วนตัวไว้ในเครื่องที่ต้องการใช้งานก็จะใช้งานไปได้เรื่อยๆ โดยไม่ต้องพิมพ์รหัสผ่านใหม่ทุกครั้งไป

Michael Barrett ผู้บริหารของ PayPal และประธานของกลุ่มพันธมิตร FIDO ที่ผลักดันมาตรฐานการล็อกอินแบบไม่ต้องใช้รหัสผ่าน (ข่าวเก่า) ให้สัมภาษณ์ว่าภายใน 6 เดือนข้างหน้า เราจะเห็นมือถือ Android หลากหลายรุ่นที่มีเซ็นเซอร์ทางชีวภาพ สามารถยืนยันตัวตนกับบริการต่างๆ ได้ผ่านการตรวจสอบลายนิ้วมือ

Barrett บอกว่าเป้าหมายของ FIDO คือผลักดันมาตรฐานการล็อกอินแบบเดียวกับที่ Wi-Fi เคยผลักดันมาตรฐานการเชื่อมต่อไร้สายได้สำเร็จ โดยจะกำหนดมาตรฐานเปิดที่ใครๆ ก็สามารถนำไปใช้ได้ โดยมือถือ Android ชุดแรกที่รองรับมาตรฐาน FIDO จะวางตลาดช่วงต้นปี 2014

Michael Barrett ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (information security) ของ PayPal และประธานของกลุ่ม FIDO Alliance (Fast Identity Online - ข่าวเก่า) ไปพูดที่งานสัมมนาด้านความปลอดภัย Interop

Barrett อธิบายเป้าหมายของกลุ่ม FIDO ว่าต้องการกำจัดระบบล็อกอินด้วยรหัสผ่านและ PIN ออกไปจากโลกนี้ รหัสผ่านเป็นวิธีการที่คิดขึ้นตั้งแต่ปี 1961 แต่ปัจจุบันเรามีเว็บไซต์ที่ต้องใช้รหัสผ่านจำนวนมหาศาล ทำให้ผู้ใช้มักตั้งรหัสผ่านเหมือนๆ กัน แถมการจดจำรหัสผ่านทำให้ผู้ใช้ตั้งรหัสผ่านง่ายๆ ทำให้รหัสผ่านถูกเจาะได้ง่ายมาก