Passkey อนาคตแห่งการล็อกอินไร้รหัสผ่าน

Loading

    ช่วงสองสามปีที่ผ่านมาปัญหาบัญชีถูกแฮ็กยังคงเป็นปัญหาใหญ่ของระบบความปลอดภัยจำนวนมาก แม้บริการต่าง ๆ จะพยายามต่อสู้กับการโจมตีบัญชีผู้ใช้ช่องทางต่าง ๆ ทั้งการเปิดการล็อกอินสองขั้นตอน หรือการตั้งกฎรหัสผ่านให้ยากขึ้นเรื่อยๆ แม้ว่า NIST จะบอกให้เลิกตั้งกฎไปแล้ว ขอแค่อย่าใช้รหัสที่เคยหลุดมาแล้วก็พอก็ตามที แต่ผลสุดท้ายเรายังเห็นผู้ใช้ตั้งรหัสผ่านซ้ำกันไปมา ไม่ยอมเปิดใช้ฟีเจอร์ล็อกอินสองขั้นตอนหากไม่ใช่บัญชีองค์กรที่บังคับ หรือหากบังคับก็จะเลือกช่องทางที่สะดวกที่สุด เช่น SMS แต่ปลอดภัยน้อยที่สุด   ปัญหาของรหัสผ่านนั้นมีสองประเด็นใหญ่ ข้อแรกคือคนร้ายอาจจะล่วงรู้รหัสผ่านไม่ว่าด้วยวิธีการใดก็ตาม เช่น ผู้ใช้ตั้งรหัสผ่านที่เดาได้ง่าย หรือผู้ใช้ตั้งรหัสผ่านที่ซ้ำกันไปทั้งหมด ทำให้เมื่อเจาะรหัสผ่านจากบริการใด ๆ ก็เข้าใช้บริการอื่น ๆ ได้ทันที ข้อที่สองคือคนร้ายอาจจะหลอกล่อให้ผู้ใช้ใส่รหัสผ่านกับเว็บปลอม, แอปปลอม, หรือแม้กระทั่งหลอกให้เหยื่อบอกทางโทรศัพท์หรือแชทเอาตรง ๆ โดยปลอมตัวว่าเป็นเจ้าหน้าที่ที่เกี่ยวข้อง   การเปิดใช้งานการล็อกอินหลายขั้นตอน (multi-factor authentication – MFA) นั้นสามารถช่วยตัดวงการโจมตีแบบแรกไปได้ นั่นคือแม้ว่าคนร้ายจะรู้รหัสผ่านของเหยื่อไม่ว่าช่องทางใด ๆ แต่ก็ไม่สามารถล็อกอินสำเร็จ แต่พอเป็นการโจมตีที่แบบที่สอง แม้จะโจมตีได้ยากกว่าแต่ผู้ใช้กลุ่มที่เปิดล็อกอินสองขั้นตอนก็มักเป็นเหยื่อที่มูลค่าสูง เช่น ใช้งานบัญชีคริปโต หรือมีบัญชีเข้าถึงระบบขององค์กรขนาดใหญ่   ช่วงปี 2015 กูเกิลและ Yubico…

พาไปดู IBM X-Force Command Center ณ บอสตัน ห้องปฏิบัติการรับมือภัยไซเบอร์สำหรับองค์กร

Loading

    ภัยไซเบอร์สำหรับองค์กรในปัจจุบัน ไปไกลมากกว่าแค่เป็นเรื่องของฝ่าย security หรือไอทีแต่เพียงฝ่ายเดียว แต่พนักงานทั้งองค์กรก็ต้องรับรู้ถึงนโยบาย แนวทาง วิธีการป้องกันไปจนถึงการแก้ปัญหาเมื่อเกิดเหตุ ยิ่งองค์กรที่ใหญ่มากขึ้น ผู้ที่มีส่วนเกี่ยวข้อง ไม่ว่าจะคนในองค์กรหรือลูกค้าก็จะมากขึ้นตามไปด้วย   IBM ได้เปิดศูนย์ X-Force Command Center เอาไว้สำหรับพนักงานขององค์กรได้เรียนรู้การป้องกันและรับมือเมื่อเกิดเหตุจากภัยไซเบอร์โดยเฉพาะ โดยทาง IBM ประเทศไทยได้เชิญ Blognone ไปเยี่ยมชมศูนย์นี้ที่เมืองบอสตัน และได้ทดลองเข้าร่วมการฝึกปฏิบัติจาก IBM เลยขอเก็บภาพบรรยากาศนำมาเล่าครับ   เรียนรู้ผ่านสถานการณ์จำลองและ role-play   ศูนย์ X-Force Command Center เป็นเหมือนห้องเรียนขนาดใหญ่ สำหรับเรียนรู้และฝึกภาคปฏิบัติสำหรับองค์กร โดย IBM จะมีผู้เชี่ยวชาญมาค่อยไกด์ ชี้แนะและอธิบายการรับมือภัยไซเบอร์ในสถานการณ์จำลอง ผ่านการ role-play โดยผู้ที่เข้าร่วม จะถูกแบ่งเป็นฝ่ายต่าง ๆ ภายในองค์กร ตั้งแต่ HR, Finance, Legal, IT, PR, Marketing ฯลฯ…

ศาลสหรัฐฯไฟเขียวห้ามมุสลิม 6 ชาติเข้าประเทศ

Loading

The Supreme Court ruled in favor of Mr Trump’s controversial travel ban, delivering a victory to the President AP ศาลสูงสุดสหรัฐฯ มีคำสั่งอนุญาตให้บังคับใช้มาตรการแบนคนจากชาติมุสลิม6ประเทศ ได้อย่างเต็มรูปแบบ แม้ว่าจะอยู่ระหว่างรอพิจารณาคำร้องอุทธรณ์ วันนี้ (5 ธ.ค.60) ศาลสูงสุดแห่งสหรัฐอเมริกา มีคำตัดสินว่า รัฐบาลของประธานาธิบดี โดนัลด์ ทรัมป์ สามารถบังคับใช้คำสั่งฝ่ายบริหารฉบับแก้ไข ที่เพิ่มความเข้มงวดในการตรวจสอบหรือห้ามนักเดินทางจาก 6 ชาติมุสลิมและอีก 2 ประเทศ เดินทางเข้าสหรัฐฯ ได้อย่างเต็มรูปแบบ แม้ว่ากำลังอยู่ในระหว่างการอุทธรณ์ก็ตาม ซึ่งมาตรการนี้นายโดนัลด์ ทรัมป์ประธานาธิบดีได้ผลักดันมาตรการป้องกันผู้ก่อการร้ายเดินทางเข้าประเทศมานานเกือบ 1 ปี ท่ามกลางเสียงคัดค้าน กล่าวหาว่า มาตรการของเขามุ่งเป้าไปที่ชาวมุสลิม, ละเมิดรัฐธรรมนูญ และไม่ได้ส่งเสริมความมั่นคงตามที่รัฐบาลกล่าวอ้าง ทำให้มาตรการฉบับที่ 3 ซึ่งนายทรัมป์ประกาศใช้แทนคำสั่งฉบับที่ 2 ที่หมดอายุเมื่อเดือนกันยายน ได้เพิ่มเวเนซุเอลา และเกาหลีเหนือเข้ามาด้วย เพื่อลดข้อครหา ทั้งนี้ ผู้ที่ไม่เห็นด้วยได้ยื่นฟ้องร้องคัดค้านทันที ที่ศาลในเมืองริชมอนด์ รัฐเวอร์จิเนีย และนครซานฟรานซิสโก รัฐแคลิฟอร์เนีย ซึ่งตัดสินเมื่อเดือนตุลาคม ให้หยุดการบังคับใช้มาตรการห้ามนักเดินทางจากประเทศ ชาด, อิหร่าน, ลิเบีย, โซมาเลีย, ซีเรีย และเยเมน ในระหว่างที่กำลังมีการฟ้องร้องทางกฎหมาย แต่ล่าสุด ศาลสูงสุดสหรัฐฯ กลับคำตัดสินของศาลอุทธรณ์ 2 ศาลแล้ว โดยศาลสูงสุดตัดสินใจอนุญาตให้บังคับใช้คำสั่งของประธานาธิบดีในทันที เพื่อจำกัดการเดินทางของคนจากประเทศที่มีความเสี่ยงก่อการร้ายสูง ————————————————————– ที่มา : TNN24 / 5 ธ.ค. 60, 11.59 น. Link :  http://www.tnnthailand.com/news_detail.php?id=155744&t=news

พฤติกรรมที่ขาดความมั่นคงปลอดภัยเป็นเหมือนโรคร้ายต่อองค์กร

Loading

ผลสำรวจจาก Preempt ผู้ให้บริการด้านความมั่นคงปลอดภัยและผู้เชี่ยวชาญระบบเครือข่ายที่เข้าไปสำรวจพนักงานระดับบริหารกว่า 200 คนในองค์กรที่มีลูกจ้างมากกว่า 1 พันคน พบว่าลูกจ้างมีสิทธิ์ในการเข้าถึงมากกว่าที่ควรจะเป็น โดยประมาณ 25% มีความพยายามที่จะเข้าถึงข้อมูลมากกว่าสิทธิ์ที่สมควรได้ในที่ทำงานและ 60% ในจำนวนนี้สามารถทำได้สำเร็จ นี่เป็นเรื่องที่น่าตกใจเป็นอย่างยิ่งโดยเฉพาะทีม IT Security ควรจะให้ความสนใจเรื่องการเข้าถึงข้อมูลและทรัพยากรเกินขอบเขตเป็นเรื่องหลัก รายงานยังได้ระบุว่า “ข้อมูลที่ถูกเปิดเผยนั้นสามารถทำให้บริษัทและพนักงานมีความเสี่ยงที่อาจจะทำให้การดำเนินงานของธุรกิจและความน่าเชื่อถือขององค์กรเสียหายได้ ดังนั้นในธุรกิจควรจะประเมินปัจจัยความเสี่ยงจากลูกจ้างที่สามารถเปลี่ยนแปลงได้ตลอดช่วงเวลาการจ้างงาน เช่นกันสำหรับ IT Security ผลสำรวจนี้ชี้ไปถึงว่าทีมควรทำความเข้าใจให้มากขึ้นถึงวิธีการประเมินความเสี่ยงและความน่าเชื่อถือต่อพนักงาน” สถิติที่น่าสนใจของพฤติกรรมที่มีความมั่นคงปลอดภัยต่ำมีดังนี้ 1 ใน 3 ของลูกจ้างยอมรับว่าทำผิดกฎหรือทำงานบางอย่างให้เสร็จโดยไม่ได้แก้ปัญหาอย่างถาวรและในจำนวนนี้มากกว่า 10% ปฏิบัติเป็นประจำหรือเป็นครั้งคราว 41% ของลูกจ้างใช้รหัสผ่านของที่ทำงานเหมือนกับรหัสผ่านของบัญชีส่วนตัว 20% ของลูกจ้างตระหนักถึงรหัสผ่านว่าอาจจะถูกแทรกแทรงได้จากภาวะการรั่วไหลของข้อมูล 56% บอกว่าพวกเขาจะเปลี่ยนรหัสผ่านบัญชีที่มีการรั่วไหลเท่านั้น มากกว่า 1 ใน 3 จะไม่รู้เรื่องอะไรเลยหากชื่อหรือรหัสผ่านบัญชีรั่วไหนสู่สาธรณะ เมื่อถามถึงการให้คะแนนตัวเองถึงเรื่อง IT Security เทียบกับคนอื่นๆ ในองค์กรว่าเป็นอย่างไร พบว่า 41% บอกว่าพวกเขาอยู่ในกลุ่ม 25% แรก อีก 50% ให้คะแนนตัวเองว่าอยู่ในกลุ่ม…

ProtonMail Contacts ระบบจัดการที่อยู่ติดต่อแบบเข้ารหัส เริ่มเปิดให้บริการแล้ว

Loading

ProtonMail เปิดให้บริการเก็บข้อมูลที่อยู่ติดต่อแบบเข้ารหัส หลังจากที่พัฒนามาแล้วนับปี โดย ProtonMail กล่าวว่าบริการนี้ถือเป็นบริการจัดการที่อยู่ติดต่อที่ปลอดภัยเป็นบริการแรก ใช้ระบบเข้ารหัสแบบที่ไม่มีใครเข้าถึงได้นอกจากผู้ใช้เอง (zero-access encryption) ตัวอย่างของผู้ใช้ ProtonMail ที่จะใช้ระบบนี้ เช่น นักข่าวที่มีแหล่งข่าวที่ต้องปิดเป็นความลับ โดยข้อมูลเบอร์โทรศัพท์และที่อยู่จะถูกเข้ารหัสแบบ zero-access แต่ยกเว้นอีเมลเท่านั้นเนื่องจาก ProtonMail จะต้องใช้ข้อมูลอีเมลในการทำฟิลเตอร์ นอกจากการเข้ารหัสแล้ว ProtonMail จะใช้ระบบ digital signature กับที่ข้อมูลที่อยู่ติดต่อทั้งหมด โดยจะแสดงเป็นเครื่องหมายถูก เพื่อให้แน่ใจว่าข้อมูลที่อยู่ติดต่อที่ผู้ใช้ใส่ไว้นั้นไม่ได้ถูกใครแก้ไป ซึ่งถ้าเกิดพบว่า digital signature ไม่ถูกต้องระบบจะแจ้งเตือนขึ้นมาทันที   ระบบจัดการที่อยู่ติดต่อของ ProtonMail แบบใหม่ได้เริ่มอิมพลีเมนต์แล้ว โดย ProtonMail จะสร้างคู่กุญแจส่วนตัวและสาธารณะที่จะใช้เฉพาะเพื่อการเข้ารหัสข้อมูลที่อยู่ติดต่อให้แต่ละบัญชี โดยกุญแจส่วนตัวจะถูกสร้างที่ฝั่งไคลเอนท์และเข้ารหัสด้วยรหัสผ่านที่สร้างขึ้นมาที่ ProtonMail ก็ไม่สามารถเข้าถึงได้ ข้อมูลจะถูกเข้ารหัสโดยกุญแจสาธารณะและถอดโดยกุญแจส่วนตัวทำให้มีเฉพาะผู้ใช้เท่านั้นที่สามารถเข้าถึงข้อมูลได้   ——————————————————————— ที่มา : Blognone / November 22, 2017 Link : https://www.blognone.com/node/97476  

หน่วยงานข่าวร่วมมือสื่อออนไลน์สร้างระบบตรวจสอบคุณภาพข่าวในโครงการ ‘Trust Project’

Loading

โครงการนี้ สร้าง ‘Trust Indicator’ เพื่อให้ผู้รับข่าวสารรับทราบถึงคุณภาพของข้อมูล หน่วยงานข่าว 75 องค์กร ร่วมกับ Facebook, Twitter, Google และบริษัทสื่อสังคมออนไลน์หลายแห่ง ร่วมทำงานเพื่อสร้างความน่าเชื่อถือของข่าวสารบนโซเชียลมีเดีย ภายใต้โครงการ ‘Trust Project’ คณะทำงานของโครงการนี้ประชุมกันที่เมืองซานตา คารา รัฐแคลิฟอร์เนียเพื่อร่วมกันสร้างตัวบ่งชี้ความน่าเชื่อถือหรือ Trust Indicator ที่แทนด้วยสัญลักษณ์ ‘i’ บนโซเชี่ยลมีเดีย เพื่อให้ผู้รับข่าวสารรับทราบถึงคุณภาพของข้อมูล Sally Lehrman จาก Santa Clara University ด้านการใช้หลักการจริยธรรม กล่าวว่า สังคมมีความสงสัยมากขึ้นถึงคุณภาพของข่าวสาร ดังนั้นผู้รับข่าวควรได้ข้อมูลที่ทำให้พวกตนทราบถึงผู้เสนอข่าวเรื่องจรรยาบรรณและคุณภาพด้านวิชาชีพ ตัวบ่งชี้ความน่าเชื่อถือหรือ Trust Indicator ที่แทนด้วยสัญลักษณ์ ‘i’ จะอยู่ข้างข่าวออนไลน์ รวมถึงข้อมูลเนื้อหาที่ผู้ใช้สามารถแชร์ได้บนโซเชียลมีเดีย function นี้ช่วยบ่งชี้ถึงต้นตอและคุณภาพของข่าวสาร Facebook, Twitter และ Google เคยถูกวิจารณ์ว่ามีส่วนทำให้เกิดการแพร่ข้อมูลเท็จออนไลน์ โดยเฉพาะอย่างยิ่งช่วงการเลือกตั้งประธานาธิบดีสหรัฐฯ เมื่อปีที่แล้ว โดยหน่วยงานข่าวกรองสหรัฐฯ เชื่อว่า รัสเซียมีส่วนเกี่ยวข้องกับการแทรกแซงการเมืองอเมริกันช่วงนั้น…