กูเกิลออก Chrome 88 รุ่นเสถียรตัวแรกของปี 2021 ของใหม่ไปโฟกัสอยู่ที่หน้าจัดการรหัสผ่าน (chrome://settings/passwords)

Ticketmaster บริษัทขายตั๋วในสหรัฐฯ ยอมความกับ FBI หลังถูกดำเนินคดีเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ด้วยการซื้อตัวพนักงานบริษัทคู่แข่ง แล้วเอารหัสผ่านระบบหลังบ้านของคู่แข่งมาให้ผู้บริหารของ Ticketmaster เข้าไปสำรวจได้ว่าคู่แข่งมีใครเป็นลูกค้าบ้าง

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

ทีมวิจัยของ vpnMentor พบฐานข้อมูลที่คาดว่าจะเป็นของกลุ่มแฮกเกอร์ที่เก็บผลการแฮกบัญชีผู้ใช้ Spotify ด้วยการเดารหัสผ่านไปเรื่อยๆ จนสามารถล็อกอินบัญชีผู้ใช้ได้ประมาณ 300,000 ถึง 350,000 ราย จากฐานข้อมูลที่มีชื่อผู้ใช้ทั้งหมด 380 ล้านรายการ

ฐานข้อมูล Elasticsearch ที่เปิดสู่อินเทอร์เน็ตนี้ไม่ได้มาจาก Spotify เอง แต่คาดว่าแฮกเกอร์น่าจะรวบรวมรายชื่อผู้ใช้มาจากแหล่งอื่นๆ จากนั้นค้นหาว่ามีบัญชีใดใช้รหัสผ่านที่คาดเดาได้ง่าย (credential stuffing attack)

ทาง vpnMentor พบฐานข้อมูลนี้ตั้งแต่ต้นเดือนกรกฎาคมที่ผ่านมาแล้วจึงแจ้งไปยัง Spotify ทางบริษัทได้ไล่รีเซ็ตรหัสผ่านของบัญชีที่ถูกแฮกในห้วงเวลา 12 วันหลังได้รับแจ้ง

NordPass บริษัทแอปช่วยเก็บพาสเวิร์ด เปิดเผยพาสเวิร์ดที่มีผู้ใช้มากที่สุด 200 อันดับในปี 2020 ผลออกมาว่า “123456” ขึ้นมาครองตำแหน่งอันดับ 1 จากอันดับ 2 ในปีที่แล้ว โดยมีผู้ใช้กว่า 2.5 ล้านคน และแชมป์เก่าอย่าง “12345” ตกลงไปอยู่อันดับ 8 มีผู้ใช้ประมาณ 1.9 แสนคน ผู้เขียนคาดว่าน่าจะเพราะความยาวไม่ถึง 6 ตัวอักษร ที่เป็นขั้นต่ำของรหัสผ่านในหลายๆ บริการและแอปที่มีคนใช้มากขึ้นในปีนี้

Victor Gevers นักวิจัยความปลอดภัยไซเบอร์อ้างว่าสามารถล็อกอินบัญชี @realDonaldTrump ของโดนัลด์ ทรัมป์ ประธานาธิบดีสหรัฐฯ ได้สำเร็จ ว่าใช้รหัสผ่าน "maga2020!" พร้อมกับระบุว่าทรัมป์ไม่ได้เปิดการล็อกอินสองขั้นตอนเอาไว้

ทางด้านทำเนียบขาวให้สัมภาษณ์กับ Forbes ระบุว่าการอ้างของ Victor ไม่เป็นความจริง ขณะที่ Victor อ้างว่าได้รับการติดต่อจาก US Secret Service เพื่อขอบคุณที่แจ้งเตือนช่องโหว่นี้ และ Victor พบว่าบัญชีทวิตเตอร์ของทรัมป์เปิดใช้งานล็อกอินสองขั้นตอนแล้ว

ทรัมป์พูดถึงประเด็นนี้ระหว่างการเดินสายหาเสียง ยืนยันว่าไม่ได้โดนแฮก พร้อมกับระบุว่า "ถ้าใครจะโดนแฮก ต้องใช้[แฮกเกอร์]ที่มีไอคิว 197 แถมต้องรู้รหัสผ่านอย่างน้อย 15%"

กูเกิลเพิ่มความปลอดภัยรหัสผ่านใน Chrome เวอร์ชั่นโทรศัพท์มือถือ โดยมีฟีเจอร์สำคัญคือการแจ้งเตือนผู้ใช้เมื่อกำลังใช้งานรหัสผ่านที่เคยหลุดออกสู่สาธารณะมาก่อน และยังนำผู้ใช้ไปยังหน้าเปลี่ยนรหัสผ่านโดยอัตโนมัติ

ฟีเจอร์ใหม่บน iOS/Android คือการรองรับ Enhanced Safe Browsing ที่ตัวเบราว์เซอร์จะส่งข้อมูลกลับไปยังบริการ Safe Browsing เพื่อเช็คว่าเว็บที่กำลังเข้ามีความเสี่ยงหรือไม่ ฟีเจอร์นี้มีบน Chrome เวอร์ชั่นเดสก์ทอปมาก่อนแล้ว โดยกูเกิลระบุว่าผู้ใช้ที่เปิดใช้งานมีอัตราการพิมพ์รหัสผ่านลงเว็บฟิชชิ่งลดลง 20%

กรรมการการแข่งขันทางการค้าและการปกป้องผู้บริโภคออสเตรเลีย (Australian Competition and Consumer Commission - ACCC) ยืนยันไม่สอบสวนธนาคารที่แจ้งเตือนลูกค้าไม่ให้ใส่รหัสผ่านล็อกอินธนาคารในแอปฟินเทคเพื่อดูดข้อมูลบัญชีออกจากธนาคาร หลังจากมีบริษัทฟินเทคไม่เปิดเผยชื่อได้ร้องเรียนไปยัง ACCC ว่าการที่ธนาคารแจ้งเตือนเช่นนี้เป็นการทำลายการแข่งขัน

ธนาคารหลายชาติไม่ได้เปิดช่องทางการดาวน์โหลดข้อมูลออกจากระบบ ทำให้บริการฟินเทคที่ต้องการข้อมูลบัญชีผู้ใช้เพื่อให้บริการจัดการทางการเงินอาศัยการดูดเว็บ (screen scraping) โดยผู้ใช้ต้องมอบชื่อผู้ใช้และรหัสผ่านให้กับบริการฟินเทคเหล่านั้นไปโดยตรง เพื่อให้บริการฟินเทคไปล็อกอินและดาวน์โหลดข้อมูลออกมา

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน

อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4

สำนักข่าว NBC รายงานว่า Rudy Giuliani อดีตนายกเทศมนตรีนครนิวยอร์ก และที่ปรึกษาด้านความมั่นคงไซเบอร์ของประธานาธิบดี Donald Trump เกิดลืมรหัสผ่าน iPhone ของตัวเอง และใส่รหัสผ่านผิดครบ 10 ครั้งทำให้เครื่องล็อค ทำให้เขาต้องเดินทางไปยังร้าน Apple Store เพื่อให้แอปเปิลแก้ไขให้

เหตุการณ์เกิดขึ้นเมื่อปี 2017 หลัง Giuliani ได้รับการแต่งตั้งให้เป็นที่ปรึกษาด้านความมั่นคงไซเบอร์ไม่นาน และสุดท้ายทางออกของเรื่องนี้คือ พนักงานแอปเปิลต้องรีเซ็ตเครื่องใหม่ และดึงข้อมูลกลับมาจาก iCloud ให้ Giuliani

Ken Thompson เป็นหนึ่งในผู้สร้างระบบปฎิบัติการยูนิกซ์ ที่เป็นต้นแบบของมาตรฐาน POSIX ที่ไลนัสนำมาสร้างลินุกซ์อีกที เป็นหนึ่งในผู้พัฒนา BSD 3.0 มาตั้งแต่ปี 1980 และซอร์สโค้ดก็อยู่รอดมาจนทุกวันนี้ โดยพบว่ามีไฟล์ /etc/passwd ที่เก็บค่าแฮชรหัสผ่านหลุดมาด้วย ล่าสุดรหัสผ่านของ Thompson ที่มีค่าแฮชเป็น ZghOT0eRm4U9s ก็ถูกถอดรหัสออกมาแล้ว

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

Fernando Corbato นักวิทยาการคอมพิวเตอร์จาก MIT ผู้คิดค้นระบบรหัสผ่านและ Compatible Time-Sharing System ได้เสียชีวิตแล้วในวัย 93 ปี

แต่เดิม ระบบคอมพิวเตอร์จะใช้งานได้ทีละคน แต่ Compatible Time-Sharing System หรือ CTSS ที่ Corbato และทีมคิดค้นขึ้นมาเป็นระบบคอมพิวเตอร์แชร์การใช้งาน คือผู้ใช้หลายคนสามารถเข้าใช้คอมพิวเตอร์เครื่องเดียวกันในเวลาเดียวกันไปพร้อม ๆ กัน ซึ่งเป็นต้นฉบับของระบบปฏิบัติการในยุคปัจจุบัน

การแชร์คอมพิวเตอร์กันใช้งานในระบบคอมพิวเตอร์ CTSS นี้เองที่ทำให้เกิดระบบรหัสผ่านขึ้น เพื่อเป็นเครื่องมือควบคุมความเป็นส่วนตัวขั้นพื้นฐานของผู้ใช้งานคอมพิวเตอร์ที่แชร์ทรัพยากรร่วมกัน

การตั้งพาสเวิร์ดของผู้ใช้น่าจะเป็นหนึ่งในปัญหาที่น่าปวดหัว สำหรับผู้ที่เกี่ยวข้องไอทีด้านความปลอดภัย ล่าสุดไมโครซอฟท์เลยกำลังแพลนจะยกเลิกการล็อกอิน Windows 10 ด้วยพาสเวิร์ดและอาศัย Windows Hello หรือ PIN แทน

ไมโครซอฟท์เคยแย้งเอาไว้ด้วยว่า PIN มีความปลอดภัยมากกว่า เพราะความเป็นตัวเลข (ไม่ใช่ตัวหนังสือที่รวมเป็นคำ) รวมถึงตัว PIN จะถูกเก็บอยู่ใน TPM บนเครื่องด้วย

Chrome 75 เข้าสถานะ stable ทั้งเวอร์ชันเดสก์ท็อปและเวอร์ชัน Android

Chrome 75 เวอร์ชันเดสก์ท็อป เพิ่มฟีเจอร์สำหรับนักพัฒนา โดยลด latency ของวัตถุในแท็ก canvas, เว็บแอพสามารถแชร์ไฟล์ระหว่างกันได้ง่ายขึ้น, ปรับปรุงของใหม่ในเครื่องมือสำหรับนักพัฒนา (developer tools)

ส่วนฟีเจอร์สำหรับผู้ใช้ทั่วไป เพิ่มตัวเลือก manage security keys ในหน้า Settings และเพิ่มโหมดช่วยอ่าน (Reader Mode) ที่เว็บเบราว์เซอร์ตัวอื่นมีกันไปนานแล้ว ตอนนี้ผู้ใช้ต้องเปิดใช้เองในหน้า chrome://flags ก่อน

Chrome 75 for Android เพิ่มฟีเจอร์สร้างรหัสผ่านที่แข็งแรง (generating strong password) ได้จากตัว password manager เลย และสามารถกดดูรหัสผ่านที่เราบันทึกไว้ได้ โดยแตะที่ช่องกรอกรหัสผ่านบนหน้าเว็บ

กูเกิลแถลงถึงความผิดพลาดในการอิมพลีเมนต์ฟีเจอร์ในหน้าจอคอนโซลของ G Suite ทำให้รหัสผ่านของผู้ใช้จำนวนหนึ่งถูกเก็บไว้โดยไม่ได้แฮช โดยมีสองฟีเจอร์ด้วยกัน คือ

• ฟีเจอร์กู้คืนรหัสผ่านโดยผู้ดูแล เริ่มใช้มาตั้งแต่ปี 2005 และยกเลิกไปแล้ว
• กระบวนการสมัครใช้งาน G Suite เมื่อเดือนมกราคมที่ผ่านมา เก็บรหัสผ่านไม่ได้แฮชโดยไม่ตั้งใจไว้ไม่เกิน 14 วัน

กูเกิลแจ้งเตือนผู้ดูแลบัญชี G Suite ที่ได้รับผลกระทบทั้งหมดแล้ว และหากผู้ใช้ยังไม่ยอมรีเซ็ตรหัสก็จะบังคับรีเซ็ตอีกครั้งเพื่อความปลอดภัย โดยกูเกิลขออภัยในความผิดพลาดครั้งนี้

ที่มา - Google Cloud Blog

Azure AD บริการจัดการผู้ใช้แบบรวมศูนย์กลางของไมโครซอฟท์ประกาศขยายความยาวรหัสผ่านจากเดิมจำกัดที่ 16 ตัวอักษรมาเป็น 256 ตัวอักษร

แนวทางการอนุญาตให้ตั้งรหัสผ่านได้ยาวขึ้นเรื่อยๆ เป็นมาตรฐานความปลอดภัยที่เป็นมาตรฐานในช่วงหลัง โดยมาตรฐาน NIST 800-63B ระบุให้บริการควรรับรหัสผ่านอย่างน้อย 64 ตัวอักษร และควรรองรับตัวอักษรภาษาอื่นๆ รวมถึงช่องว่าง สำหรับการปรับนโยบายของ Azure AD นี้ยังไม่รองรับตัวอักษรภาษาอื่น

Active Directory ของไมโครซอฟท์ที่ติดตั้งในองค์กรนั้นรองรับรหัสผ่านความยาวเกิน 16 ตัวอักษรมานานแล้ว แต่บริการ Azure AD เพิ่งปรับในสัปดาห์นี้

ไมโครซอฟท์เผยรายละเอียดของการเปลี่ยนแปลงด้านความปลอดภัยใน Windows 10 May 2019 Update (v1903) ที่จะออกตัวจริงช่วงปลายเดือนหน้า

ประเด็นสำคัญคือการเปลี่ยนค่าดีฟอลต์คอนฟิกของ Windows 10 (ศัพท์อย่างเป็นทางการคือ security baseline) ที่ใช้กับผู้ใช้องค์กร โดยเลิกบังคับให้รหัสผ่านมีวันหมดอายุ (password expiration) ที่ส่งผลให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านใหม่ทุกระยะเวลาที่กำหนด (ค่าดีฟอลต์คือ 60 วัน)

ศูนย์มั่นคงไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) รายงานผลสำรวจความสนใจต่อความมั่นคงปลอดภัยไซเบอร์กับประชากรสหราชอาณาจักร 1,350 คน พบว่ามีประชากรเพียง 15% ที่สามารถป้องกันตัวจากภัยไซเบอร์ส่วนใหญ่ได้ ขณะที่คนกว่าครึ่งกังวลว่าจะถูกขโมยเงินทางออนไลน์ และ 70% เชื่อว่าจะถูกโจมตีเองรูปแบบใดรูปแบบหนึ่งในสองปีข้างหน้า คน 1 ใน 3 ต้องให้เพื่อนหรือครอบครัวช่วยดูแลความมั่นคงปลอดภัยไซเบอร์ให้

ข่าวฉาวของ Facebook ยังออกมาเรื่อยๆ ตามปกติ เมื่อปลายเดือนมีนาคม บริษัทยอมรับว่าเก็บรหัสผ่านของผู้ใช้ Facebook แบบ plaintext และกระทบผู้ใช้ "หลักร้อยล้านคน" (hundreds of millions) ถึงแม้ไม่มีหลักฐานบ่งชี้ว่ารหัสผ่านเหล่านี้ถูกเข้าถึงได้จากคนภายนอกบริษัท แต่ Facebook ก็แจ้งเตือนให้ผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านแล้ว

ล่าสุดเมื่อวานนี้ Facebook อัพเดตข้อมูลเพิ่มเติมว่า ค้นพบกรณีเดียวกันแต่เป็นรหัสผ่านของ Instagram ที่ถูกเก็บแบบ plaintext อีกชุดหนึ่ง มีผู้ใช้ที่ได้รับผลกระทบ "หลักล้านคน" (millions of Instagram users) และบริษัทก็จะแจ้งเตือนผู้ใช้กลุ่มนี้เช่นกัน

วันนี้ World Wide Web Consortium หรือ W3C ได้ประกาศให้ Web Authentication API หรือ WebAuthn เป็นมาตรฐานเว็บอย่างเป็นทางการแล้ว

WebAuthn นั้นเป็นมาตรฐานระบบล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านของ W3C โดยระบบนี้พัฒนาต่อมาจาก FIDO2 และ CTAP ซึ่งสามารถทำงานร่วมกับ FIDO UAF และ U2F ที่ออกมาก่อนหน้านี้ได้

ระบบล็อกอิน WebAuthn ออกแบบมาเพื่อให้ผู้ใช้ไม่ต้องใช้รหัสผ่านในการล็อกอิน (หรือจะนำมาใช้ร่วมกับรหัสผ่านก็ได้) โดยการใช้อุปกรณ์ต่าง ๆ เช่น เซนเซอร์สแกนลายนิ้วมือ หรือกุญแจความปลอดภัย ซึ่งตอนนี้ WebAuthn รองรับทั้งบน Android และ Windows 10 ส่วนเบราว์เซอร์ที่รองรับก็มีทั้ง Chrome, Firefox, Edge (ส่วน Safari ยังอยู่ในช่วงเบต้า)

มีรายงานการแฮกข้อมูลครั้งมโหฬารด้วยเป็นอีเมลและพาสเวิร์ดกว่า 773 ล้านแอคเคาท์ จากกว่า 340 เว็บไซต์ถูกแฮกและถูกนำมาปล่อยโหลดว่าเว็บไซต์ฝากไฟล์ MEGA ซึ่งข้อมูลนี้ถูกเรียกว่า Collection #1 เป็นข้อมูลกว่า 87GB และถึงแม้จะถูกลบไปแล้ว แต่ก็มีนักวิจัยความปลอดภัยไปพบว่าถูกโพสต์บนฟอรัมอื่นๆ อีก

ใครสงสัยว่าแอคเคาท์ตัวเองถูกแฮกไปหรือไม่ สามารถตรวจได้จาก Have I been pawned หากพบว่า Oh, no pwned ให้รีบเปลี่ยนพาสเวิร์ดทันที

ส่วนข้อแนะนำหลักๆ ในการใช้งานแอคเคาท์หลายๆ เว็บไซต์หรืออย่าตั้งพาสเวิร์ดซ้ำกัน, ให้ใช้พาสเวิร์ดเดายากๆ โดยมีตัวเลขหรือสัญลักษณ์อยู่ด้วย, ใช้กระบวนการยืนยันตน 2 ขั้น (2FA) สุดท้ายคือใช้โปรแกรม Password Manager เข้ามาช่วยครับ

ไมโครซอฟท์ออก Windows 10 Insider Preview Build 18309 รุ่นทดสอบตัวแรกของปี 2019

ของใหม่ที่สำคัญเป็นการปรับฟีเจอร์ด้านการล็อกอินที่เริ่มเพิ่มเข้ามาใน Build 18305 ตัวก่อนหน้านี้ ให้ใช้ได้กับ Windows 10 ทุก edition (ตัวก่อนหน้านี้มีเฉพาะรุ่น Home)

สิ่งที่น่าสนใจคือไมโครซอฟท์ปรับให้บัญชี Microsoft Account สามารถใช้งานได้แบบไม่ต้องมีรหัสผ่านอีกแล้ว โดยผู้ใช้สามารถสร้างบัญชี Microsoft Account ด้วยหมายเลขโทรศัพท์เพียงอย่างเดียว แล้วล็อกอินด้วยโค้ดจาก SMS แทนรหัสผ่านแบบเดิม ไมโครซอฟท์เรียกมันว่า password-less phone number account

บริษัทความปลอดภัย SplashData เจ้าของแอป TeamsID, Gpass และ SplashID ประกาศผลอันดับรหัสผ่านยอดแย่ของปี 2018 ซึ่งปีนี้เป็นปีที่ 8 แล้วของการจัดอันดับ โดยการจัดอันดับนั้นใช้วิธีการรวบรวมรหัสผ่านที่หลุดออกมาจากในอินเทอร์เน็ตหลายล้านชุด เพื่อดูว่ารหัสใดที่คนนิยมใช้กัน

ผลรหัสผ่านยอดแย่ในสองอันดับแรก ยังคงเป็น 123456 และ password ซึ่งครองอันดับ 1 และ 2 คู่กัน ติดต่อกันมาเป็นปีที่ 5 แล้ว (ดูอันดับปี 2017) ทั้งนี้ SplashData ประเมินว่าคนในอินเทอร์เน็ตราว 10% ใช้รหัสผ่านที่อยู่ใน 25 อันดับแรก และประมาณ 3% ใช้ 123456 นอกจากนี้มีข้อสังเกตว่ารหัสผ่านยอดแย่ที่ติดอันดับหลายอัน เป็นชุดตัวเลข