แอพสำหรับจัดการรหัสผ่าน LastPass เปิดให้ผู้ใช้ทั่วไปสามารถใช้งานข้ามอุปกรณ์ได้ฟรีแล้ว
สำหรับผู้ที่ใช้ LastPass แพคเกจฟรีอยู่แล้ว ก็สามารถดาวน์โหลดแอพมาติดตั้งในอุปกรณ์อื่นๆ ได้ทันที และสำหรับผู้ที่ใช้ LastPass แพคเกจพรีเมี่ยมอยู่แล้ว ก็จะได้ใช้ลูกเล่นที่ LastPass มีให้ในแพคเกจพรีเมียมอยู่แล้วเช่นเดิม
ที่มา : LastPass
Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ
ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php
จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย
ทาง Detectify ระบุว่าแม้ซอฟต์แวร์ช่วยจำรหัสผ่านจะมีปัญหาบ้าง แต่ก็ยังดีกว่าการใช้รหัสผ่านซ้ำในหลายๆ บริการมาก อย่างไรก็ดีผู้ใช้อาจจะเลือกปิดการช่วยเติมรหัสผ่านอัตโนมัติไป เพราะฟีเจอร์นี้มีช่องโหว่มาแล้วหลายครั้ง
ทาง LastPass ออกเวอร์ชั่นใหม่แก้ไขปัญหานี้แล้ว
แอพจัดการรหัสผ่าน LastPass ออกส่วนขยาย (extension) สำหรับเบราว์เซอร์ Microsoft Edge แล้ว เบื้องต้นคนที่อยากใช้งานต้องติดตั้ง Windows 10 Insider รุ่นล่าสุด 14352 เท่านั้น (ดาวน์โหลดได้จาก Windows Store)
LastPass ถือเป็นหนึ่งในส่วนขยายชื่อดังที่ไมโครซอฟท์เคยประกาศชื่อไว้ ตอนนี้ส่วนขยายที่มีให้ใช้แล้วคือ AdBlock, AdBlock Plus, Add to Pocket, OneNote และในอนาคตจะมี Amazon กับ Evernote ตามมา
ที่มา - Neowin, WinSuperSite
ข่าวเก่าไปประมาณหนึ่งสัปดาห์ครับ LastPass แอพจัดการรหัสผ่านยอดนิยมอีกตัวหนึ่ง (ปัจจุบันถูก LogMeIn ซื้อไปแล้ว) เปิดตัวโลโก้ใหม่ที่เรียบง่ายกว่าเดิม
โลโก้เดิมของ LastPass เป็นรูปดอกจัน (asterisk) สีขาวบนพื้นสีแดง ใช้เป็นสัญลักษณ์แทนรหัสผ่านที่ถูกซ่อนไว้ตอนล็อกอิน โลโก้นี้ถูกใช้มาตั้งแต่ปี 2008 แต่ช่วงหลังกลับมีปัญหาเรื่องคดีเครื่องหมายการค้า ทำให้บริษัทต้องมองหาโลโก้ใหม่แทน ซึ่งโลโก้ใหม่เปลี่ยนมาเป็น "จุด" (dot) สามจุดแทนรหัสผ่านในช่องล็อกอินตามแนวคิดเดิม แต่ดูเรียบง่ายและทันสมัยมากขึ้น
Sean Cassidy นักวิจัยความปลอดภัยรายงานถึงแนวทางการโจมตี LastPass ด้วยการสร้างหน้าเว็บหลอก (phishing) เพื่อหลอกให้ผู้ใช้ใส่รหัสผ่านและ OTP เพื่อนำไปยิงเข้า API ของ LastPass
ตัว LastPass เองและเบราว์เซอร์โครมมีจุดที่ทำให้การโจมตีนี้มีผล เพราะลิงก์ล็อกเอาท์ของ LastPass สามารถถูกโจมตีแบบ CSRF ได้ทำให้เว็บไซต์มุ่งร้ายสามารถล็อกเอาท์จาก LastPass ได้จริงๆ และโลโก้ของ extension ก็จะแสดงว่าผู้ใช้ยังไม่ได้ล็อกอิน
บริษัท LogMeIn เจ้าของซอฟต์แวร์ควบคุมคอมพิวเตอร์แบบรีโมทจากระยะไกล ซื้อกิจการแอพจัดการรหัสผ่าน LastPass
LastPass ระบุว่าจะยังให้บริการธุรกิจต่อไปเช่นเดิม การไปอยู่กับ LogMeIn จะช่วยให้มีทรัพยากรไปพัฒนาซอฟต์แวร์ได้รวดเร็วกว่าเดิม
ส่วน LogMeIn อธิบายการซื้อกิจการครั้งนี้ว่าเพื่อลุยตลาด identity and access management ให้มากขึ้น โดย LastPass มีผู้ใช้งานหลายล้านคน และเป็นผลิตภัณฑ์ที่ผู้ใช้ชื่นชอบเป็นทุนอยู่แล้ว
เดิมทีนั้นซอฟต์แวร์ช่วยจำรหัสผ่าน LastPass เปิดให้ใช้เวอร์ชันพีซีฟรี แต่ถ้าอยากได้แอพมือถือด้วยต้องเสียเงินซื้อ LastPass Premium ในราคา 12 ดอลลาร์ต่อปี
วันนี้ LastPass ปรับนโยบายใหม่ โดยเปิดให้ผู้ใช้งานสามารถดาวน์โหลดแอพมือถือได้ฟรีแล้ว (เท่ากับว่าแอพ LastPass ทุกเวอร์ชันดาวน์โหลดได้ฟรี) และสามารถซิงก์รหัสผ่านระหว่างสมาร์ทโฟนด้วยกันได้เลย แต่ถ้าต้องการซิงก์รหัสผ่านข้ามระหว่างพีซีกับสมาร์ทโฟนก็ต้องเสียเงินซื้อบริการ Premium เช่นเดิม
นโยบายของ LastPass ออกมาจับตลาดผู้ใช้กลุ่ม mobile-only ที่ต้องการจัดการรหัสผ่านบนอุปกรณ์พกพาหลายตัว เป้าหมายคงเป็นการขยายฐานผู้ใช้ LastPass ให้มากขึ้น เพื่อจูงใจให้เปลี่ยนมาเป็นลูกค้าแบบเสียเงินต่อไป
LastPass ประกาศว่าบริษัทพบความผิดปกติในเครือข่ายภายใน และเมื่อตรวจสอบแล้วพบว่าฐานข้อมูลที่มีข้อมูล อีเมล, ข้อมูลช่วยจำรหัสผ่าน, ค่า salt ของผู้ใช้รายคน, และค่าแฮชรหัสผ่าน ได้ถูกขโมยออกไปจากเซิร์ฟเวอร์
ทาง LastPass ระบุว่ายังมั่นใจว่าการเข้ารหัสตัวรหัสผ่านด้วย PBKDF2-SHA256 ที่หนึ่งแสนรอบบนเซิร์ฟเวอร์เพิ่มจากฝั่งไคลเอนต์จะช่วยให้รหัสผ่านของผู้ใช้ปลอดภัยดีอยู่ แต่เพื่อความไม่ประมาททาง LastPass จะให้ผู้ใช้ทุกคนที่ล็อกอินจากไอพีหรืออุปกรณ์ที่แปลกไปจากเดิมให้ยืนยันตัวตนอีกครั้ง พร้อมกับแจ้งเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านหลัก (master password)
ทาง LastPass ขออภัยผู้ใช้ที่ต้องลำบากจากขั้นตอนที่เพิ่มขึ้นมา และแนะนำให้เปิดใช้าน multifactor authentication อีกชั้นเพื่อความปลอดภัย
มีรายงานจากทาง LastPass ว่าพบเห็นพฤติกรรมไม่ปกติเข้ามายังเน็ตเวิร์คของตัวเองในวันศุกร์ที่ผ่านมา (12 มิถุนายน 2558) แต่มีเพียงผู้ใช้ส่วนน้อยเท่านั้นที่ได้รับผลกระทบนี้
ในรายงานการสืบสวนกล่าวว่า "ไม่พบหลักฐานว่าข้อมูลที่เข้ารหัสไว้ถูกขโมยออกไป รวมไปถึงไม่พบการเข้าสู่ระบบของผู้ใช้งานต่างๆ แต่อย่างไรก็ตามจากการสืบสวนนั้น พบว่า อีเมล, รหัสผ่านที่จดไว้, salt ของเซิร์ฟเวอร์, hash ของการยืนยันตัวตน ถูกเจาะ (were compromised)"
ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย
ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)
LastPass บริการเก็บรหัสผ่านชื่อดังเปิดไคลเอนต์สำหรับดึงรหัสผ่านมาใช้งานเป็น command line รองรับทั้งลินุกซ์, แมค, และวินโดวส์ (ผ่าน Cygwin)
คำสั่งแบบนี้ทำให้ผู้ดูแลระบบสามารถดูแลรหัสผ่านเป็นกระบวนการอัตโนมัติได้ง่ายขึ้น ตัวอย่างที่ LastPass แนะนำมาคือการเขียนสคริปต์เปลี่ยนรหัสผ่าน SSH ทุกวันแล้วเก็บรหัสผ่านขึ้น LastPass
ตัวไคลเอนต์เขียนด้วยภาษา C เปิดให้ดาวน์โหลดบน GitHub
ที่มา - LastPass
ฟีเจอร์สแกนลายนิ้วมือของ Galaxy S5 ได้แอพดังรองรับเพิ่มอีกตัว (นอกเหนือจากแอพซัมซุงเองและ PayPal) นั่นคือแอพช่วยจัดการรหัสผ่าน LastPass
LastPass for Android เวอร์ชันล่าสุดที่อัพเดตวันนี้ สามารถใช้ที่สแกนลายนิ้วมือเพื่อยืนยันตัวตนของเรา (แทน master password) เพื่อเข้าไปดูรหัสผ่านของเว็บไซต์และบริการต่างๆ ที่เก็บไว้ใน LastPass ได้ และยังสามารถใช้ลายนิ้วมือแทนการกรอก PIN หรือรหัสผ่านบนเว็บไซต์ต่างๆ ได้ด้วย
อย่างไรก็ตาม แอพ LastPass for Android นั้นต้องจ่ายเงินเพื่อใช้งาน โดยผู้ใช้ต้องสมัครบริการ LastPass Premium ปีละ 12 ดอลลาร์ก่อนจึงจะสามารถใช้แอพได้
ทีมพัฒนาโปรแกรม LastPass ซึ่งเป็นโปรแกรมช่วยจัดการรหัสผ่าน ได้ออกมาแจ้งเตือนบั๊กใน LastPass เวอร์ชั่น 2.0.20 โดยบั๊กที่ว่านี้จะเกิดเฉพาะผู้ที่ใช้ LastPass ร่วมกับ IE เนื่องจากรหัสผ่านที่ LastPass ใส่เข้าไปในหน้าฟอร์มของ IE นั้นจะถูกเก็บเป็น plaintext ในหน่วยความจำ ซึ่งผู้ไม่หวังดีสามารถใช้โปรแกรมประเภท memory dump เอารหัสผ่านออกมาดูได้
อย่างไรก็ตาม การจะขโมยรหัสผ่านด้วยวิธีนี้ได้ ผู้ไม่หวังดีต้องได้รับสิทธิ์ในการเข้าใช้งานเครื่องโดยตรง ดังนั้นแล้ว นอกจากจะอัพเดต LastPass ให้เป็นเวอร์ชันล่าสุด วิธีป้องกันตัวเองอีกทางคือไม่ควรยอมให้คนอื่นเข้ามาใช้เครื่องได้ง่ายๆ โดยเฉพาะเครื่องที่มีข้อมูลสำคัญเก็บไว้
ต่อเนื่องจากข่าวการปรัับราคาของ Ubuntu Edge ล่าสุดได้มีผู้ให้บริการด้านการบริหารจัดการรหัสผ่านอย่าง LastPass เข้ามาสนับสนุนเพิ่มเติมครับ โดยลักษณะการสนับสนุนคือผู้ที่ลงทุนใน Ubuntu Edge ทุกคนจะได้ Premium Subscription ฟรีเป็นเวลา 1 ปี
ข้อดีสำหรับ Premium Subscription ของ LastPass คือจะสามารถใช้ได้บนหลาย Platform ไม่ว่าจะเป็นมือถือ PC และ Tablet อีกทั้งยังสามารถใช้ความสามารถ Multi Factor Authentication รวมถึงจะได้รับการบริการจากทีม Support ได้กรณีที่ต้องการครับ
สำหรับข่าวนี้ค่อนข้างจะเป็นข่าวร้ายสำหรับพวกที่ชอบใช้บริการหรือโปรแกรมที่ช่วยจำรหัสผ่าน เช่น Lastpass หรือให้เว็บเบราว์เซอร์ช่วยจำรหัสผ่านให้ ซึ่งโดยปกติแล้วในช่องใส่รหัสจะคอยมีสัญลักษณ์ปกปิดรหัสผ่านอยู่ แต่มีผู้ค้นพบวิธีการเปิดเผยแบบง่ายมากๆๆ
ก่อนอื่นสำหรับผู้ใช้ Google Chrome ถ้าใช้ Lastpass มันจะช่วยใส่รหัสผ่านให้อัตโนมัติ จากนั้นให้คลิกขวาที่ช่องใส่รหัสผ่าน เลือก "Inspect Element" จากนั้นจะเป็นการเรียก Developer Console ขึ้นมา ให้หาบรรทัดที่มีคำว่า "input type=password" แล้วให้เปลี่ยนคำว่า password เป็น text เท่านี้ก็จะเห็นรหัสผ่านได้ทันที
(วิธีทำแบบละเอียดจะอยู่ในวิดีโอหลังเบรคนะครับ)
LastPass บริการด้านการจัดการรหัสผ่านเพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ โดยฟีเจอร์แรกนั้นคือการที่ผู้ใช้งานสามารถเลือกได้ว่าจะยินยอมให้มีการล็อกอินผ่าน Tor หรือไม่ โดยทาง LastPass อ้างว่า Tor นั้นเต็มไปด้วยแฮกเกอร์และการกระทำที่ผิดกฎหมาย และผู้ใช้งานเองก็ไม่น่าจะมีความจำเป็นอะไรที่จะใช้งานผ่าน Tor ซึ่งฟีเจอร์ถูกตั้งให้ไม่ทำงานเป็นค่าเริ่มต้น แต่หากผู้ใช้งานไม่ได้ล็อกอินนานเกิน 30 วัน ฟีเจอร์นี้ก็จะถูกเปิดใช้งานอัตโนมัติ
หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ
LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว อาจจะถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)