Google ทำให้มือถือแอนดรอยด์กลายเป็น Hardware Security Key

ในงาน Cloud Next Conference ทาง Google ได้ประกาศว่าผู้ใช้งานมือถืออินดรอยด์เวอร์ชัน 7.0 ขึ้นไปจะสามารถใช้อุปกรณ์เป็น Hardware Security Key เพื่อทำ 2-step verification ได้แล้วกับ Chrome

credit : google

ปกติเรามีการใช้ 2-step verification กันอยู่แล้วเช่น SMS, Email หรือแอปพลิเคชัน Google Authentication หรืออื่นๆ แต่ประเด็นคือปัจจัยเหล่านั้นยังไม่ปลอดภัยมากเพียงพอเพราะหลายครั้งแฮ็กเกอร์สามารถแทรกแซงหรือแอบดูในระหว่างการได้รับเลข Token นั้นได้จึงเป็นที่มาว่าทำไม Hardware Key จึงมีความสำคัญเพราะอยู่ใกล้ตัวผู้ใช้นั่นเองจึงแฮ็กได้ยาก อย่างไรก็ตามวันนี้ทาง Google จึงเปลี่ยนให้มือถือของเราเป็นสิ่งนั้นเสียเลยเพราะยังไงเราก็พกมือถือติดตัวเสมออยู่แล้ว

ไอเดียก็คือ Google เป็นเจ้าของทั้งแอนดรอยด์และ Chrome รวมถึง Chrome OS, ดังนั้นจึงพัฒนาโปรโตคอลให้คุยกันได้ผ่าน Bluetooth สำหรับการยืนยันตัวตน (ก็ต้องตั้งค่าปัจจัยอื่นๆ ทิ้งไว้เผื่อทำมือถือหายด้วย) วิธีการก็เพียงแค่ไปตั้งค่าปัจจัยการทำ 2SV และเปิด Bluetooth เพื่อเชื่อมต่อมือถือกับคอมพิวเตอร์ไว้เท่านั้นเอง

ที่มา :  https://www.blog.google/technology/safety-security/your-android-phone-is-a-security-key/ และ  https://techcrunch.com/2019/04/10/google-turns-your-android-phone-into-a-security-key/

from:https://www.techtalkthai.com/google-turns-android-mobile-to-hardware-security-key/

G Suite เตรียมออกฟีเจอร์ติดตามกิจกรรมต้องสงสัย

อีกไม่นานผู้ดูแล G Suite จะติดตามกิจกรรมต้องสงสัยในการใช้งานของผู้ใช้งานได้แล้ว อีกทั้งยังสามารถตั้งค่าเพื่อรับการแจ้งเตือนเมื่อพบกิจกรรมสุ่มเสี่ยงอีกด้วย

Credit: Google

ผู้ดูแลระบบสามารถตั้งค่าแจ้งเตือนเมื่อมีการเปลี่ยนแปลงรหัสผ่าน รวมถึงเมื่อผู้ใช้ทำการเปิดปิดการใช้งาน 2-Step Verification หรือเปลี่ยนแปลงข้อมูลการกู้คืนบัญชี เช่น เบอร์โทรศัพท์ คำถามด้านความมั่นคงปลอดภัย อีเมลสำหรับการกู้คืน ซึ่งทาง Google ตั้งใจว่าสิ่งนี้จะช่วยผู้ดูแลตรวจสอบและสังเกตพฤติกรรมที่ถูกแทรกแซงได้ดีขึ้น

นอกจากนี้ผู้ดูแลระบบสามารถออกรายงานแบบใหม่เพื่อดูภาพของความมั่นคงปลอดภัยภายในองค์กรของตน เช่น ติดตามโดเมนว่ามีจำนวนการใช้งาน 2-Step Verification มากแค่ไหน บัญชีไหนมีแนวโน้มถูกแทรกซึมแล้ว โดยผู้ดูแลที่ต้องการเข้าดูรายงานไปได้ที่เมนู Admin console > Reports > Audit > Users Accounts อย่างไรก็ตาม Google วางแผนที่จะปล่อยใช้งานภายใน 2 อาทิตย์ข้างหน้านี้กับทุกเวอร์ชัน อดใจรอกันอีกนิดนะครับ

ที่มา : https://www.securityweek.com/new-g-suite-alerts-provide-visibility-suspicious-user-activity

from:https://www.techtalkthai.com/g-suite-is-going-to-release-anomaly-monitoring-mechanism/

[บทความ] ระบบการยืนยันบุคคลแบบใหม่ ระบบจดจำลักษณะการพิมพ์: ไม่ใช้ password ไม่ใช้ลายนิ้วมือหรือม่านตา

 

เมื่อเราอยู่ในยุคที่ทุกอย่างถูกถ่ายโอนมาอยู่ในโลกออนไลน์ ทั้งข้อมูลส่วนตัว ไฟล์ส่วนตัว ระบบงาน การแชร์ข้อมูลระหว่างกัน และบัญชีส่วนตัวในเว็บไซต์ต่าง ๆ ส่งผลทำให้ความปลอดภัยของข้อมูลจึงทวีความสำคัญมากขึ้นเรื่อย ๆ ปัจจุบันเราใช้ระบบรหัสผ่านหรือ password ซึ่งสร้างปัญหาเป็นอย่างมาก เพราะหลายคนตั้ง password ที่เดาง่ายจนเกินไป ส่วนคนที่เห็นความสำคัญของการตั้ง password ก็ต้องมาวุ่นวายจำ password ที่ยุ่งยากซับซ้อน และไม่เหมือนกันในแต่ละเว็บไซต์ ลงเอยที่การลืม!! บางคนก็เอา password เอาไปเก็บรวมกันไว้ที่บัญชี Google สุดท้ายก็ไม่ต่างจากการตั้ง password แบบเดียวกันทุกเว็บไซต์ และต้องไว้ใจ Google ผู้เก็บข้อมูลเท่านั้น

นอกจากระบบ password แล้วก็มีระบบยืนยันตัวบุคคลด้วยการสแกนลายนิ้วมือ สแกนใบหน้า สแกนม่านตา และอื่น ๆ อีกมาก ซึ่งระบบนี้ดูเหมือนจะเป็นทางออก แต่แท้จริงแล้วกลับเป็นหลุมพรางมากกว่า เพราะแม้ข้อมูลเหล่านี้จะมีหนึ่งไม่มีสอง แต่เมื่อเราเอาสแกนเข้าระบบมันจะกลายเป็นไฟล์ดิจิทัลที่ขโมยและปรับเปลี่ยนมันได้ เราจึงทำได้แค่เพียงไว้ใจคนที่เก็บข้อมูลเราเท่านั้น และอีกปัญหาคือระบบเหล่านี้มีค่าใช้จ่ายในการติดตั้งสูง

 

ระบบยืนยันตัวตนอีกอย่างที่เรา Appdisqus มองว่าดีที่สุดในตอนนี้ก็คือ การยืนยันตัวตนแบบ 2 ขั้นตอน(2-step verification) แต่ก็ยังไม่เป็นที่นิยม เพราะหลายคนมองว่ามีความยุ่งยากในการใช้งาน ทั้งที่มีความปลอดภัยสูง

จับเข่ามานั่งเคลียร์: อันตรายของระบบสแกนลายนิ้วมือ รูม่านตา และใบหน้า คำตอบที่ดีสุดตอนนี้คือการยืนยันตัวตน 2+ ขั้นตอน ใช่หรือไม่?

ระบบจดจำลักษณะการพิมพ์

ตอนนี้มีการพัฒนาระบบการยืนยันตัวตนแบบใหม่ขึ้นมา ซึ่งนับว่าเป็นแนวคิดที่น่าสนใจและมีความเป็นไปได้ทั้งในแง่การรักษาความปลอดภัย และความนิยมในการใช้งาน มันคือระบบจดจำลักษณะการพิมพ์ แทนที่เราจะใช้ password ในการล็อกอินเข้าระบบต่าง ๆ เปลี่ยนมาใช้ระบบจดจำลักษณะการพิมพ์แทน เราจะไม่ต้องจำ password แค่พิมพ์ข้อความต่าง ๆ แล้วระบบก็จะระบุได้ว่าเราคือเจ้าของบัญชีหรือไม่ จากลักษณะการพิมพ์ ทั้ง วิธีการพิมพ์ ความคล่องตัวในการพิมพ์ ระยะเวลาในการกดคีย์แต่ละตัว ลักษณะการใช้มือซ้ายและมือขวาในการพิมพ์ การเว้นช่องไฟ และอื่น ๆ สิ่งเหล่านี้เป็นลักษณะเฉพาะของเราเอง มีความยากในการเดามากกว่า password แน่นอน

ไม่เพียงเทานี้ นักวิจัยระบุว่าระบบจดจำลักษณะการพิมพ์จะทำงานต่อเนื่องระหว่างมีการเข้าใช้งานระบบ หากในระหว่างการใช้งานลักษณะการพิมพ์ของเราเปลี่ยนไปจากเดิม ระบบจะเด้งผู้ใช้ออกทันที ตัวอย่างเช่น แม้จะมีคนพยายามเข้าบัญชี Facebook ของเราสำเร็จหรือเราล็อกอินทิ้งไว้แล้วมีคนมาแอบใช้งาน ในระหว่างที่บุคคลนั้นกำลังพิมพ์สเตตัสหรือคอมเม้นท์ระบบการจดจำลักษณะการพิมพ์ก็จะทำงาน และจับได้ว่าผู้ใช้ไม่ใช่เจ้าของบัญชี ระบบก็จะล็อกเอาต์ออกทันที

 

ถือว่าเป็นแนวคิดใหม่ในการยืนยันตัวตนที่น่าสนใจ เพื่อมาแก้ปัญหาที่เกิดขึ้นเพราะการใช้ password ในปัจจุบัน เพื่อปกป้องข้อมูลส่วนตัวในโลกออนไลน์และระบบคลาวด์ที่กำลังมีความสำคัญมากขึ้นเรื่อย ๆ

from:https://www.appdisqus.com/2017/05/28/authentication-method-better-than-passwords.html

โจรใช้ช่องโหว่ในโปรโตคอล SS7 ขโมยเงินจากบัญชีที่ใช้ 2-Factor Authentication

เมื่อเดือนมกราคมที่ผ่านมา เกิดเหตุโจรใช้จุดอ่อนในโปรโตคอล Signalling System No.7 (SS7) ที่มีมาตรการความปลอดภัยที่หละหลวมในการ redirect ข้อความรหัส OTP จากธนาคารไปยังเบอร์ของคนร้าย เพื่อเปิดการใช้งานการโอนเงินไปยังบัญชีอื่น

Signalling System No. 7 (SS7) เป็นโปรโตคอลสัญญาณโทรศัพท์เบื้องหลังของกลไกลพื้นฐานอย่างการโอนสาย หรือการการส่ง SMS ข้ามประเทศ ที่ถูกใช้โดยผู้ให้บริการเครือข่ายมากกว่า 800 รายทั่วโลก ทว่าก็ด้วยฟังก์ชั่นของโปรโตคอลดังกล่าวนี้เองที่เปิดโอกาสให้ผู้ไม่หวังดีใช้โปรโตคอลในการดักฟัง ติดตามตำแหน่ง และดักจับจับข้อความได้

ผู้แทนจาก O2 Telefonica ของเยอรมนี ประเทศที่เกิดเหตุ แถลงถึงเหตุการณ์ที่เกิดขึ้นพร้อมยืนยันเครือข่ายที่ทำการ redirect SMS ของลูกค้าธนาคารนั้นถูกบล็อคออกจากระบบและได้แจ้งให้ลูกค้าทราบถึงความเสี่ยงแล้ว

ความปลอดภัยที่หละหลวมของ SS7 นี้ เป็นที่พูดถึงครั้งแรกในปี 2008 แต่ก็ไม่ได้รับความสนใจมากนัก ในปี 2014 The Washington Post ออกบทความเกี่ยวกับความเป็นไปได้ในการถูกใช้เป็นเครื่องมือสอดแนมโดยรัฐและฝ่ายอื่น และในปีที่ผ่านมา รายการ 60 Minutes ร่วมมือกับนักวิจัยสาธิตวิธีการติดตามตัวผู้แทนฯ Ted Lieu โดยใช้เพียงหมายเลขโทรศัพท์ 10 หลักและเครือข่าย SS7 เท่านั้น

การกำจัดช่องโหว่ของโปรโตคอล SS7 นั้นอาจใช้เวลาหลายปีในการดำเนินงาน ผู้ใช้งานคงต้องระวังตัวกันมากขึ้นเมื่อ 2-Factor Authentication นั้นไม่ได้ปลอดภัยอย่างที่คิด โดยผู้เชี่ยวชาญหลายสำนักได้ออกมาแนะนำให้ใช้ hardware key หรือแอปเฉพาะเช่น Google Authenticator หรือ Duo Security แทน

 

ที่มา: https://arstechnica.com/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/

from:https://www.techtalkthai.com/abusing-ss7-steal-money-from-2fa-protected-bank-account/

จับเข่ามานั่งเคลียร์: อันตรายของระบบสแกนลายนิ้วมือ รูม่านตา และใบหน้า คำตอบที่ดีสุดตอนนี้คือการยืนยันตัวตน 2+ ขั้นตอน ใช่หรือไม่?

กระแสเทคโนโลยีช่วงนี้ถือว่าเป็นช่วงเปลี่ยนถ่ายของระบบการยืนยันตัวตน ที่เปลี่ยนจากการใส่รหัสผ่านมาเป็นการยืนยันตัวตนด้วยชีวมาตร(biometric) ได้แก่ การสแกนลายนิ้วมือ รูม่านตา และสแกนใบหน้า ที่แม้แต่รัฐบาลก็กำลังมีแนวคิดใช้ระบบนี้ในการลงทะเบียนซิมการ์ดและการใช้งานระบบธนาคารเพื่อทำธุรกรรมทางอิเล็กทรอนิกส์ แต่แทบทุกคนที่กำลังเห่อไปกับระบบใหม่นี้ยังไม่ตระหนักถึงอันตรายของมันที่จะตามมา นั่นคือ การที่เราอาจคิดง่าย ๆ ว่า ไม่มีใครลอกเลียนคุณลักษณะส่วนตัวนี้ของเราได้ แต่เราลืมไปว่าหากข้อมูลระบุตัวตนของเราชนิดนี้มันหายไป หรือหลุดไปอยู่ในมือคนอื่นได้ เราจะเปลี่ยนมันไม่ได้เหมือนรหัสผ่านนั่นเอง?

 

ข้อมูลหลุดที่ว่านั้น อาจหลุดในรูปแบบไฟล์อิเล็กทรอนิกส์ หรือไฟล์กายภาพ นั่นคือ การปลอมแปลงลายนิ้วมือและใบหน้า ที่ทำได้ง่ายจนเราไม่คาดคิด วันนี้ผมได้อ่านความคิดเห็นของผู้รู้ท่านหนึ่งพร้อมคลิปวิดีโอสาธิตการปลอมแปลงลายนิ้วมือ ทำให้รู้เลยว่า การยืนยันตัวตนด้วยชีวมาตร(biometric) นี่อันตรายจริง ๆ ครับ

 

โดย Thai Netizen Network

ข้อเสียของ Touch ID และการยืนยันตัวตนด้วยชีวมาตรหรือไบโอเมตริก (biometric) โดยทั่วไป ไม่ว่าจะเป็นลายนิ้วมือ ลายม่านตา รูปหน้า ก็คือ เราเปลี่ยนมันไม่ได้ มันจะติดตัวเราไปตลอด ฟังดูก็เหมือนจะดี ไม่ใช่หรือ ของที่ติดตัวเราและมีโอกาสที่จะซ้ำกับคนอื่นมีน้อยมาก … ก็น่าจะใช้ยืนยันตัวตนได้ดีสิ? ก็อาจจะใช่ แต่ไม่ใครรับประกันได้ ว่าข้อมูลชีวมาตรเหล่านี้จะหลุดรั่วไปตกอยู่ในมือใครบ้าง ไม่ว่าจะในรูปแบบอิเล็กทรอนิกส์ ในรูปแบบของรอยนิ้วมือจริงๆ ที่เราไปทิ้งไว้ตามที่ต่างๆ ในชีวิตประจำวัน (ถ้ามือมันหน่อย ก็เป็นรอยอยู่บนโทรศัพท์เราเองนี่แหละ) หรือกระทั่งถูกสร้างขึ้นมาใหม่จากรูปถ่ายความละเอียดสูงที่ถ่ายจากระยะไกลๆ ก็ได้ (เคยมีคนสาธิต สร้างลายนิ้วมือขึ้นมาใหม่ จากภาพถ่ายรัฐมนตรีกลาโหมเยอรมนีที่กำลังโบกมืออยู่)

 ถ้าข้อมูลชีวมาตรที่ถูกใช้ในการยืนยันตัวตนหลุดออกไป ก็แปลว่าจะมีคนอื่นมาทำทีเป็นตัวเราได้ แม้การใช้รหัสผ่านจะมีข้อเสีย เช่น ผู้ใช้ลืมรหัสผ่าน ผู้ใช้ตั้งรหัสผ่านง่ายเกินไป คอมพิวเตอร์เดารหัสผ่านได้เร็วขึ้น แต่ถ้าเรารู้เมื่อไรว่ามีการหลุดรั่วของฐานข้อมูลรหัสผ่าน เราสามารถเปลี่ยนมันได้  แต่ถ้าฐานข้อมูลลายนิ้วมือหลุด เราเปลี่ยนลายนิ้วมือของตัวเราไม่ได้

หลังจากกรณีการปลอมเอกสารเพื่อไปออกซิมโทรศัพท์ใหม่ เพื่อไปทำธุรกรรมทางการเงิน มีข่าวว่า ธนาคารแห่งประเทศไทย กสทช. และผู้ประกอบการกำลังพิจารณาร่วมกัน ถึงความเป็นไปได้ในการใช้ลายนิ้วมือมายืนยันการทำธุรกรรมทางอิเล็กทรอนิกส์ และจะให้ใช้ในการลงทะเบียนซิมด้วย ถ้าฐานข้อมูลลายนิ้วมือเหล่านี้หลุดออกมา จะเป็นอย่างไร?

 

วิดีโอนี้แสดงการทำปลายนิ้วมือปลอม เพื่อปลดล็อกโทรศัพท์ iPhone 5s อุปกรณ์ทุกอย่างที่ใช้ในวิดีโอนี้ สามารถหาซื้อได้ทั่วไปตามท้องตลาดในราคาไม่แพง (คลิปยาว 3 นาทีครึ่ง แสดงตั้งแต่การสแกนหน้าจอโทรศัพท์ เพื่อดึงเอารอยนิ้วมือที่เลอะอยู่บนจอออกมาด้วยสแกนเนอร์ธรรมดา ๆ จนถึงการสร้างปลายนิ้วมือปลอมด้วยกาวทาไม้)

https://player.vimeo.com/video/75324765

 ดังนั้นส่วนตัวผมเชื่อว่าการยืนยันตัวตนแบบหลายขั้นตอนถือว่าปลอดภัยที่สุดในตอนนี้ ขั้นตอนแรกก็ใช้รหัสผ่าน ต่อมาก็ยืนยันด้วยรหัสชั่วคราวที่ส่งมาที่ SMS เป็นต้น ปัจจุบันมีเว็บไซต์และบริการมากมายเลือกวิธีการยืนยันตัวตนแบบ 2 ขั้นตอน(2-step verification) ทั้ง Facebook, hotmail, Gmail, OneDrive และอื่น ๆ แต่หลายคนยังไม่เคยเปิดใช้งานฟังก์ชันนี้เลย ซึ่งน่าเสียดายเป็นอย่างย่ิงครับ เพราะหากรหัสผ่านของเราหลุดไป มันอาจสร้างความเสียหายให้เราได้มากเกินที่เราจะคาดคิดก็เป็นได้ ขอแนะนำว่าหากบริการหรือเว็บไซต์ที่เราใช้งานอยู่มันมีระบบการยืนยันตัวตน 2 ขั้นตอน ก็เปิดใช้งานเลยครับ 

 แต่หากไม่แน่ใจว่าบริการหรือเว็บไซต์ที่เราใช้งานมันมีระบบนี้หรือไม่? และขี้เกียจไปค้นในเมนูการตั้งค่า เราก็สามารถเช็คได้ที่เว็บไซต์ https://twofactorauth.org ครับ เพียงเข้าไปแล้วก็กรอกชื่อเว็บไซต์ที่เราใช้งานอยู่ หรือค้นหาตามหมวดหมู่ต่าง ๆ ระบบก็จะแจ้งเราเลยครับว่าเว็บไซต์นั้นมีระบบการยืนยันตัวตน 2 ขั้นตอนหรือไม่? เมื่อค้นเจอแล้ว เราสามารถคลิกที่สัญลักษณ์ในคอลัมน์ Docs เพื่อเข้าไปดูวิธีการตั้งค่าเพื่อเปิดใช้งานระบบยืนยันตัวตนแบบ 2 ขั้นตอนได้เลยครับ

 เราคงพึ่งพาการยืนยันตัวตนแบบใดแบบหนึ่งไม่ได้ในปัจจุบัน บริการต่างๆ เริ่มขยับไปใช้การยืนยันตัวตนแบบหลายชั้นกันแล้ว โดยผสมผสานสิ่งที่ผู้ใช้ รู้ (เช่น รหัสผ่าน), มี (เช่น การ์ดหรือกุญแจ), และ เป็น (เช่น ลายนิ้วมือ) เข้าด้วยกัน แต่ปัญหาก็คือว่า การปลอมว่ารู้ (เดารหัสผ่านแบบเร็วจี๋) ปลอมว่ามี (สร้างการ์ดหรือกุญแจปลอมด้วยเครื่องผลิตขนาดเล็ก) และปลอมว่าเป็น (ปลอมลายนิ้วมือจากข้อมูลที่หลุด) นั้นทำได้ง่ายขึ้นๆ เรื่อย เราจะจัดการกับเรื่องเหล่านี้อย่างไร อย่างสมเหตุสมผล (คือยังไงก็คงมีความเสี่ยงอยู่บ้าง แต่เป็นความเสี่ยงในระดับที่เรายอมรับได้ จ่ายไหว) แต่ขั้นแรก ในตอนนี้ บริการในประเทศไทย ควรจะขยับไปใช้การยืนยันตัวตนแบบหลายชั้นกันก่อน

ระบบออนไลน์จะเข้ามามีส่วนในการใช้ชีวิตของเรามากขึ้นเรื่อย ๆ การป้องกันเครื่องยืนยันตัวตนของตนเอง จึงมีความสำคัญเป็นอย่างมาก คนที่อยากขโมยก็พยายามใช้เทคโนโลยีใหม่ ๆ เข้าช่วย ตัวเราเองก็ต้องพยายามศึกษาและตามให้ทันอยู่เสมอ เพื่อป้องกันตัวเองจากการถูกขโมยข้อมูล ณ เวลานี้ ส่วนตัวเชื่อว่าระบบยืนยันตัวตนแบบหลายขั้นตอนนั้นปลอดภัยที่สุดแล้ว เพื่อน ๆ เห็นว่าอย่างไรครับ??

from:https://www.appdisqus.com/2016/11/02/2-step-verification-or-biometric.html

แนะนำ 2-Factor Authentication แบบใหม่บน Mac OS X El Capitan และ iOS 9

พร้อมเริ่มใช้งานในระบบปฏิบัติการใหม่ OS X 10.11 “El Capitan” และ iOS 9 ที่จะให้บริการเร็วๆนี้ ทาง Apple ได้แนะนำวิธีการพิสูจน์ตัวตนแบบ 2-Factor Authentication รูปแบบใหม่ที่จะนำมาแทนระบบเดิมที่ใช้การยืนยันตัวตนแบบ 2 ขั้นตอน (2-Step Verification) ซึ่งใช้การใส่รหัสผ่าน และระบุโค้ดยืนยันตัวตนที่ส่งมายังมือถือ

แทนที่ 2-Step Verification ที่ใช้มาตั้งแต่ปี 2013

การยืนยันตัวตนแบบ 2 ขั้นตอนนั้น เป็นฟีเจอร์การพิสูจน์ตัวตนของ Apple ที่ใช้มาตั้งแต่ปี 2013 โดยผู้ใช้จะต้องระบุรหัสผ่านและโค้ดยืนยันตัวตนที่จะถูกส่งมาให้ผ่านทางมือถือ ในกรณีที่ผู้ใช้ลืมรหัสผ่านและทำมือถือหาย ผู้ใช้สามารถใช้ Recovery Key 14 ตัวอักษรในการลงทะเบียนเข้าใช้งานได้ แต่ถ้าผู้ใช้ลืมแม้แต่ Recovery Key นั้นแล้ว ก็จะไม่สามารถเข้าใช้งาน Apple ID นั้นๆได้อีกต่อไป

Credit: Jason Cipriani/CNET

2-Factor Authentication ยกเลิกการใช้ Recovery Key

เมื่อผู้ใช้ล็อคอินโดยใช้ Apple ID บนอุปกรณ์ใหม่หรือผ่านทางเว็บเบราเซอร์ที่ไม่เคยล็อคอินมาก่อน ผู้ใช้จะต้องทำการยืนยันตัวตนโดยใส่รหัสผ่านและโค้ดยืนยันตัวตน 6 หลัก ซึ่งโค้ดการยืนยันตัวตนดังกล่าวจะปรากฏขึ้นบนอุปกรณ์ที่รันระบบปฏิบัติการ OS X El Capitan หรือ iOS 9 โดยอัตโนมัติ ในกรณีที่ผู้ใช้ไม่มีอุปกรณ์ Apple อยู่ใกล้มือ ผู้ใช้สามารถขอรับโค้ดยืนยันตัวตนผ่านทางข้อความ SMS แบบเดิมหรือโทรศัพท์ไปยัง Call Center ได้

โค้ดยืนยันตัวตนจำเป็นต้องใช้ในการล็อคอินบนอุปกรณ์ใหม่ครั้งแรกเพียงครั้งเดียวเท่านั้น หลังจากนั้นเพียงแค่ใช้รหัสผ่านก็สามารถล็อคอินได้ทันที เว้นแต่ว่า ผู้ใช้จะทำการลบอุปกรณ์ดังกล่าวออกจากลิสต์อุปกรณ์ที่ใช้งาน หรือต้องการเปลี่ยนรหัสผ่านใหม่ ในกรณีที่ล็อคอินผ่านเว็บเบราเซอร์ ผู้ใช้ก็สามารถเลือกที่จะ “Trust” เว็บเบราเซอร์เพื่อที่จะได้ไม่ต้องระบุโค้ดยืนยันตัวตนใหม่ในครั้งต่อไปได้เช่นกัน

ป้องกันการหลอกขโมยรหัสผ่าน

ในกรณีที่มีปัญหาในการล็อคอิน จนไม่สามารถเข้าถึง Apple ID ได้แม้แต่ช่องทางเดียว ผู้ใช้สามารถติดต่อ Apple Support เพื่อทำการ recover ชื่อบัญชีได้ ซึ่งกระบวนการดังกล่าวอาจะใช้เวลาหลายวันขึ้นอยู่กับข้อมูลที่ผู้ใช้สามารถให้แก่ทีมซัพพอร์ท ซึ่งการยกเลิก Recovery Key และให้ติดต่อ Apple Support แทนนั้น ทาง Apple ระบุว่า เป็นการป้องกันนักต้มตุ๋นบนโลกไซเบอร์ที่ต้องการหลอกขโมยรหัสผ่านของผู้ใช้

ที่มา: https://developer.apple.com/support/two-factor-authentication/

from:https://www.techtalkthai.com/apple-introduces-2-factor-authentication-in-os-x-el-capitan-and-ios-9/

แอปเปิ้ลปล่อย iOS 8.3 (beta) มาแล้ว

ปัจจุบันเราใช้ iOS 8.1.x กันอยู่และกำลังรอ iOS 8.2 ที่น่าจะออกมาพร้อมๆกับการเปิดขาย Apple Watch แต่เหมือนว่าทุกอย่างดูไม่ทันใจแอปเปิ้ลเพราะออก iOS 8.3 สำหรับนักพัฒนาซอฟท์แวร์ มารอท่าไว้แล้ว

แม้ว่า iOS 8.2 จะยังไม่ออกมาให้ดาวน์โหลดก็ตามแอปเปิ้ลก็ปล่อย iOS 8.3 (beta) ออกมาให้นักพัฒนาซอฟท์แวร์ได้ทดสอบกันก่อน โดยมีส่วนที่ปรับปรุงดังนี้

• รองรับ Google 2-step Verification
• รองรับการใชงาน CarPlay แบบไร้สาย
• Emoji มีการออกแบบเลย์เอาท์ใหม่
• พบโค้ดเกี่ยวกับ Apple Pay ว่าจะรองรับในจีนกับ China UnionPay
• Apple Pay แยกชนิดการส่งสินค้าระหว่าง Shipping , Delivery, Pickup from Store และ Pickup from Customer
• ในส่วนที่เกี่ยวข้องกับภาษาไทยเท่าที่ตรวจสอบยังไม่มีอะไรเปลี่ยนแปลง

iOS 8.3 จากสิ่งที่ปรับปรุงและเพิ่มเข้ามาก็คงเป็นเรื่อง รองรับ Google 2-step Verification และกำลังจะเปิดใช้ Apple Pay ในจีน ซึ่งถ้าเปิดใช้ Apple Pay ในจีนเมื่อไหร่คงมีข่าวเกี่ยวกับยอดผู้ใช้งานออกมาให้ตื่นตาตื่นใจกันเป็นแน่

ข้อมูลเพิ่มเติม : developer.apple.com

 

 

from:http://www.siampod.com/2015/02/10/ios-8-3-for-developers/

เสริมความปลอดภัย+ป้องกันคนอื่นแฮก Facebook แม้รู้รหัสผ่านของเรา !!

ช่วงนี้มีกระแสแรงมากครับ เกี่ยวกับข่าวที่อาจจะมีขบวนการแอบขโมยรหัสผ่าน Facebook (อย่างถูกกฏหมาย ?) เพื่อเข้าไปส่องดูบัญชีของเราว่าเป็นใคร? อยู่ในกลุ่มไหนบ้าง ? ผมเลยมีทิปดีๆ มาแนะนำครับ เป็นเทคนิคการเสริมความปลอดภัยด้วยการยืนยันแบบสองชั้น (ศัพท์อย่างเป็นทางการคือ 2-Step Verification) โดยถึงแม้คนอื่นจะลักแคะรหัสผ่านของเราไปได้ แต่ก็ไม่สามารถนำไปล็อกอินเพื่อเพื่อเข้าสู่ระบบได้สำเร็จ ถ้าไม่ได้ทำการยืนยันชั้นที่สองที่ผมจะมาแนะนำให้ทุกคนตั้งค่า

ทิปนี้เป็นทิปที่ไม่ใหม่ แต่เชื่อว่าหลายคนยังไม่รู้จักและไม่เคยใช้เพราะอาจจะคิดว่าเป็นขั้นตอนที่ยาก จริงๆ แล้วมันเป็นขั้นตอนที่ง่ายมากๆ ครับ เพียงแค่มีสมาร์ทโฟน (เชื่อว่าน่าจะมีกันเกือบทุกคน) ไม่ต้องรับ SMS และไม่เสียค่าบริการเพิ่มใดๆ

การยืนยันแบบสองชั้น (2-Step Verification) คืออะไร

การยืนยันแบบสองชั้น หรือที่สากลว่า 2-Step Verification เป็นวิธีที่จะช่วยให้เจ้าของบัญชีของบริการต่างๆ มีความปลอดภัยในการเข้าสู่ระบบ (Login) มายิ่งขึ้น นอกเหนือจากการใช้รหัสผ่านแบบธรรมดา ที่เมื่อใส่ถูกต้องแล้วสามารถใช้งานได้เลย มาเป็นการเพิ่มขั้นตอนการยืนยันอีกขั้นด้วยการให้ทางเว็บไซต์นั้นๆ ส่งรหัสยืนยันอีกชุดที่เป็นรหัสลับชั่วคราว (รหัสนี้ใช้ได้ครั้งเดียว แล้วจะหมดอายุในเวลาไม่กี่วินาที) มาให้เรากรอกเพื่อยืนยัน (คล้ายๆ กับหลักการ OTP : One Time Password ของระบบธนาคาร)

คราวนี้ ถึงแม้คนอื่นจะแอบรู้รหัสผ่านจริงๆ ของเรา แต่ถ้าไม่มีรหัสลับในการยืนยัน ก็จะไม่สามารถล็อกอินเข้าระบบของเราได้อย่างแน่นอนครับ เป็นการป้องกันความเสี่ยงไปได้อีกมากเลยทีเดียว

มาถึงตรงนี้หลายคนคิดว่าเจ้าของเว็บไซต์เรานั้นจะส่งรหัสลับมาทาง SMS ได้อย่างเดียว ซึ่งคิดดูแล้วน่าจะลำบากพอสมควร ยิ่งเป็น SMS จากบริการในต่างประเทศ มักมีปัญหาส่งไม่ค่อยถึงเบอร์ในประเทศไทย แต่จริงๆ แล้ว 2-Step Verification ในยุคใหม่มีตัวเลือกให้เรารับรหัสผ่านได้จากแอพพลิเคชั่นบนสมาร์ทโฟนครับ โดยสมาร์ทโฟนนั้นไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตก็สามารถรับรหัสลับนั้นได้ด้วย

และที่ผมจะมาแนะนำการตั้งค่าวันนี้เป็นการตั้งค่าของบริการ Facebook ครับ ซึ่ง Facebook เองก็รองรับระบบ 2-Step Verification มานานแล้ว แต่เชื่อว่าหลายคนยังไม่ทราบเลยขอเอามาแนะนำขั้นตอนอย่างละเอียดให้ดูกัน

ขั้นตอนการตั้งค่า 2-Step Verification ให้ Facebook ของเรา

(ผมจะขอใช้เมนุที่เป็นภาษาไทยนะครับ ใครใช้เป็นภาษาอื่น ก็ดูๆ ไปปรับใช้ได้)

เริ่มจากเข้าไปที่หน้าเว็บ Facebook กดเมนูมุมขวาบน แล้วคลิกที่ การตั้งค่า

มาถึงหน้าการตั้งค่าให้คลิกเมนุด้านซ้ายว่า ความปลอดภัย แล้วคลิก แก้ไข ตรงหัวข้อ การอนุมัติการเข้าสู่ระบบ

ติ๊กถูกตรงที่ช่อง ต้องใช้รหัสรักษาควมปลอดภัย… (หรือรหัสลับที่ผมได้กล่าวไปในข้างต้น นั่นเอง) แล้วคลิกที่ เริ่มต้นใช้งาน

คลิก ดำเนินการต่อ

จุดนี้ ถ้าใครยังไม่เคยยืนยันเบอร์มือถือกับทาง Facebook ทาง Facebook จะให้เรายืนยันก่อนครับ ว่าเราใช้เบอร์อะไร (ถ้าใครเคยยืนยันแล้ว ก็ข้ามขั้นนี้ไปได้เลย) ด้วยการกรอกเบอร์โทรไปแล้วรอรหัสผ่านยืนยันที่จะส่งมาทาง SMS (ทำครั้งแรกครั้งเดียว)

นำรหัสที่ได้ทาง SMS มายืนยัน

เพียงเท่านี้เราก็ได้ทำการเปิด 2-Step Verification ให้กับัญชี Facebook ของเราเรียบร้อยแล้ว แต่ยังไม่จบครับ ถ้าทำถึงแค่นี้รหัสลับของ 2-Step Verification จะถูกส่งมาทาง SMS ซึ่งก็อย่างที่ผมได้บอกไปแล้วว่า เบอร์มือถือในเมืองไทยมักมีปัญหาส่งไม่ถึงเมื่อเบอร์ที่ส่งมาจาก Facebook …ดังนั้นเราจะใช้การยืนยันผ่านแอพบนสมาร์ทโฟนครับ

ให้หยิบสมาร์ทโฟนขึ้นมา จะเป็นระบบอะไรก็ได้ แล้วติดตั้งแอพ Google Authenticator (เป็นแอพที่เราจะใช้รับรหัสรับ เห็นชื่อแอพว่า Google Authenticator หลายคนอาจจะสงสัยครับว่าเกี่ยวอะไรกับ Google จริงๆ แล้วแอพนี้เป็นแอพที่สร้างโดย Google ซึ่ง Google เป็นหนึ่งในผู้ผลักดันให้บริการต่างๆ หันมาใช้ 2-Step Verification เลยอำนวยความสะดวกด้วยการออกแอพ Google Authenticator มาให้ใช้กันฟรีๆ)

ดาวน์โหลดแอพ Google Authenticator

• สำหรับ Android
• สำหรับ iOS
• สำหรับ Windows Phone

เมื่อติดตั้งเสร็จแล้วก็วางมือถือไว้ก่อนครับ กลับมาที่หน้าจอตั้งค่าของ Facebook คลิกที่เมนู ตั้งค่า ในหัวข้อ ตัวสร้างรหัส

จะมีหน้าจอ QR Code ขึ้นมาพร้อมรหัสลับด้านล่าง

หยิบมือถือของแล้วแล้วกดเข้าแอพ Google Authenticator จากนั้นเข้าไปที่เมนู Scan a barcode เพื่อทำการเชื่อมระบบ 2-Step Verification เข้ากับแอพ Google Authenticator ของเรา (ขั้นตอนนี้ทำครั้งแรก ครั้งเดียว)

เมื่อเพิ่มเสร็จเรียบร้อยแล้ว เราจะได้รหัสลับออกมา ซึ่งรหัสนี้จะสุ่มออกมาโดยที่คนอื่นไม่สามารถคาดเดาได้ และรหัสผ่านจะหมดอายุเองภายในเวลาไม่กี่วินาที (มีนาฬิกานับถอยหลังอยู่)

ให้นำรหัสลับที่เราเห็นบนจอมือถือ กรอกไปบนหน้าจอ Faebook ถ้ารหัสถูกต้องแล้วกด ยืนยัน เป็นอันเสร็จพิธีครับ

มาทบทวนกันก่อนครับ ว่าขั้นตอนการใช้งานระบบ 2-Step Verification กับ Facebook เป็นอย่างไร

1. เข้าไปที่หน้าเว็บ Facebook.com
2. กรอก User และ Pass ตามปกติ กด Login
3. จากนั้นจะมีหน้าจอถามรหัสลับ
4. หยิบโทรศัพท์แล้วเปิดแอพ Google Authenticator
5. กรอกรหัสลับที่เห็นลงในหน้าจอของ Facebook …เป็นอันเสร็จ

เริ่มทดสอบจริงกันเลยดีกว่า…

เมื่อล็อกอินตามปกติมาแล้ว จะพบหน้าจอให้กรอกรหัสลับ

เปิดแอพ Google Authenticator บนมือถือ กรอกรหัสลับที่เห็นลงในช่อง แล้วกดดำเนินการ

จะมีคำถามถามว่าให้บันทึกเบราเซอร์ในเครื่องนี้ไว้หรือไม่ ถ้าบันทึก ครั้งต่อไปเราสามารถล็อกอินได้เลยโดยไม่ต้องทำ 2-Step Verification (เหมาะสำหรับเครื่องส่วนตัว เครื่องที่บ้าน) หรือถ้าเป็นเครื่องในที่ทำงานหรือเครื่องสาธารณะ ให้กดว่า ไม่ต้องบันทึกครับ

เพียงเท่านี้เราก็สามารถเข้า Facebook ได้ตามปกติ

วิธีนี้ใช้ได้กับทั้ง Facebook บนเดสก์ท็อปและในแอพ Facebook บนมือถือเลยนะครับ

หากต้องการยกเลิก 2-Step Verification ของ Facebook ก็เพียงเข้าไปตั้งค่าเอาเครื่องหมายถูกออก

หวังว่าทุกคนจะลองไปใช้กันดูนะครับ ใช้แล้วปลอดภัยขึ้นอีกเยอะเลย

ปล. บริการออนไลน์ดังๆ เกือบทุกเจ้ารองรับ 2-Step Verification กันเกือบทั้งหมดครับ ไม่ว่าจะเป็น Google (Gmail), Dropbox, Twitter, Apple, Outlook, Onedrive ซึ่งหลักการโดยรวมแล้วก็คล้ายกับที่ผมได้สสาธิตการตั้งค่าของ Facebook ให้ดู สามารถนำไปปรับใช้ได้เหมือนกันครับ ใช้แอพ Google Authenticator ได้เหมือนกัน …เอาไว้ว่างๆ เดี๋ยวผมจะมาแนะนำเพิ่มเติมให้อีกครับ

from:http://www.9tana.com/node/facebook-2-step-verification/

เสริมความปลอดภัย+ป้องกันคนอื่นแฮก Facebook แม้รู้รหัสผ่านของเรา !!

ช่วงนี้มีกระแสแรงมากครับ เกี่ยวกับข่าวที่อาจจะมีขบวนการแอบขโมยรหัสผ่าน Facebook (อย่างถูกกฏหมาย ?) เพื่อเข้าไปส่องดูบัญชีของเราว่าเป็นใคร? อยู่ในกลุ่มไหนบ้าง ? ผมเลยมีทิปดีๆ มาแนะนำครับ เป็นเทคนิคการเสริมความปลอดภัยด้วยการยืนยันแบบสองชั้น (ศัพท์อย่างเป็นทางการคือ 2-Step Verification) โดยถึงแม้คนอื่นจะลักแคะรหัสผ่านของเราไปได้ แต่ก็ไม่สามารถนำไปล็อกอินเพื่อเพื่อเข้าสู่ระบบได้สำเร็จ ถ้าไม่ได้ทำการยืนยันชั้นที่สองที่ผมจะมาแนะนำให้ทุกคนตั้งค่า

ทิปนี้เป็นทิปที่ไม่ใหม่ แต่เชื่อว่าหลายคนยังไม่รู้จักและไม่เคยใช้เพราะอาจจะคิดว่าเป็นขั้นตอนที่ยาก จริงๆ แล้วมันเป็นขั้นตอนที่ง่ายมากๆ ครับ เพียงแค่มีสมาร์ทโฟน (เชื่อว่าน่าจะมีกันเกือบทุกคน) ไม่ต้องรับ SMS และไม่เสียค่าบริการเพิ่มใดๆ

การยืนยันแบบสองชั้น (2-Step Verification) คืออะไร

การยืนยันแบบสองชั้น หรือที่สากลว่า 2-Step Verification เป็นวิธีที่จะช่วยให้เจ้าของบัญชีของบริการต่างๆ มีความปลอดภัยในการเข้าสู่ระบบ (Login) มายิ่งขึ้น นอกเหนือจากการใช้รหัสผ่านแบบธรรมดา ที่เมื่อใส่ถูกต้องแล้วสามารถใช้งานได้เลย มาเป็นการเพิ่มขั้นตอนการยืนยันอีกขั้นด้วยการให้ทางเว็บไซต์นั้นๆ ส่งรหัสยืนยันอีกชุดที่เป็นรหัสลับชั่วคราว (รหัสนี้ใช้ได้ครั้งเดียว แล้วจะหมดอายุในเวลาไม่กี่วินาที) มาให้เรากรอกเพื่อยืนยัน (คล้ายๆ กับหลักการ OTP : One Time Password ของระบบธนาคาร)

คราวนี้ ถึงแม้คนอื่นจะแอบรู้รหัสผ่านจริงๆ ของเรา แต่ถ้าไม่มีรหัสลับในการยืนยัน ก็จะไม่สามารถล็อกอินเข้าระบบของเราได้อย่างแน่นอนครับ เป็นการป้องกันความเสี่ยงไปได้อีกมากเลยทีเดียว

มาถึงตรงนี้หลายคนคิดว่าเจ้าของเว็บไซต์เรานั้นจะส่งรหัสลับมาทาง SMS ได้อย่างเดียว ซึ่งคิดดูแล้วน่าจะลำบากพอสมควร ยิ่งเป็น SMS จากบริการในต่างประเทศ มักมีปัญหาส่งไม่ค่อยถึงเบอร์ในประเทศไทย แต่จริงๆ แล้ว 2-Step Verification ในยุคใหม่มีตัวเลือกให้เรารับรหัสผ่านได้จากแอพพลิเคชั่นบนสมาร์ทโฟนครับ โดยสมาร์ทโฟนนั้นไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตก็สามารถรับรหัสลับนั้นได้ด้วย

และที่ผมจะมาแนะนำการตั้งค่าวันนี้เป็นการตั้งค่าของบริการ Facebook ครับ ซึ่ง Facebook เองก็รองรับระบบ 2-Step Verification มานานแล้ว แต่เชื่อว่าหลายคนยังไม่ทราบเลยขอเอามาแนะนำขั้นตอนอย่างละเอียดให้ดูกัน

ขั้นตอนการตั้งค่า 2-Step Verification ให้ Facebook ของเรา

(ผมจะขอใช้เมนุที่เป็นภาษาไทยนะครับ ใครใช้เป็นภาษาอื่น ก็ดูๆ ไปปรับใช้ได้)

เริ่มจากเข้าไปที่หน้าเว็บ Facebook กดเมนูมุมขวาบน แล้วคลิกที่ การตั้งค่า

มาถึงหน้าการตั้งค่าให้คลิกเมนุด้านซ้ายว่า ความปลอดภัย แล้วคลิก แก้ไข ตรงหัวข้อ การอนุมัติการเข้าสู่ระบบ

ติ๊กถูกตรงที่ช่อง ต้องใช้รหัสรักษาควมปลอดภัย… (หรือรหัสลับที่ผมได้กล่าวไปในข้างต้น นั่นเอง) แล้วคลิกที่ เริ่มต้นใช้งาน

คลิก ดำเนินการต่อ

จุดนี้ ถ้าใครยังไม่เคยยืนยันเบอร์มือถือกับทาง Facebook ทาง Facebook จะให้เรายืนยันก่อนครับ ว่าเราใช้เบอร์อะไร (ถ้าใครเคยยืนยันแล้ว ก็ข้ามขั้นนี้ไปได้เลย) ด้วยการกรอกเบอร์โทรไปแล้วรอรหัสผ่านยืนยันที่จะส่งมาทาง SMS (ทำครั้งแรกครั้งเดียว)

นำรหัสที่ได้ทาง SMS มายืนยัน

เพียงเท่านี้เราก็ได้ทำการเปิด 2-Step Verification ให้กับัญชี Facebook ของเราเรียบร้อยแล้ว แต่ยังไม่จบครับ ถ้าทำถึงแค่นี้รหัสลับของ 2-Step Verification จะถูกส่งมาทาง SMS ซึ่งก็อย่างที่ผมได้บอกไปแล้วว่า เบอร์มือถือในเมืองไทยมักมีปัญหาส่งไม่ถึงเมื่อเบอร์ที่ส่งมาจาก Facebook …ดังนั้นเราจะใช้การยืนยันผ่านแอพบนสมาร์ทโฟนครับ

ให้หยิบสมาร์ทโฟนขึ้นมา จะเป็นระบบอะไรก็ได้ แล้วติดตั้งแอพ Google Authenticator (เป็นแอพที่เราจะใช้รับรหัสรับ เห็นชื่อแอพว่า Google Authenticator หลายคนอาจจะสงสัยครับว่าเกี่ยวอะไรกับ Google จริงๆ แล้วแอพนี้เป็นแอพที่สร้างโดย Google ซึ่ง Google เป็นหนึ่งในผู้ผลักดันให้บริการต่างๆ หันมาใช้ 2-Step Verification เลยอำนวยความสะดวกด้วยการออกแอพ Google Authenticator มาให้ใช้กันฟรีๆ)

ดาวน์โหลดแอพ Google Authenticator

• สำหรับ Android
• สำหรับ iOS
• สำหรับ Windows Phone

เมื่อติดตั้งเสร็จแล้วก็วางมือถือไว้ก่อนครับ กลับมาที่หน้าจอตั้งค่าของ Facebook คลิกที่เมนู ตั้งค่า ในหัวข้อ ตัวสร้างรหัส

จะมีหน้าจอ QR Code ขึ้นมาพร้อมรหัสลับด้านล่าง

หยิบมือถือของแล้วแล้วกดเข้าแอพ Google Authenticator จากนั้นเข้าไปที่เมนู Scan a barcode เพื่อทำการเชื่อมระบบ 2-Step Verification เข้ากับแอพ Google Authenticator ของเรา (ขั้นตอนนี้ทำครั้งแรก ครั้งเดียว)

เมื่อเพิ่มเสร็จเรียบร้อยแล้ว เราจะได้รหัสลับออกมา ซึ่งรหัสนี้จะสุ่มออกมาโดยที่คนอื่นไม่สามารถคาดเดาได้ และรหัสผ่านจะหมดอายุเองภายในเวลาไม่กี่วินาที (มีนาฬิกานับถอยหลังอยู่)

ให้นำรหัสลับที่เราเห็นบนจอมือถือ กรอกไปบนหน้าจอ Faebook ถ้ารหัสถูกต้องแล้วกด ยืนยัน เป็นอันเสร็จพิธีครับ

มาทบทวนกันก่อนครับ ว่าขั้นตอนการใช้งานระบบ 2-Step Verification กับ Facebook เป็นอย่างไร

1. เข้าไปที่หน้าเว็บ Facebook.com
2. กรอก User และ Pass ตามปกติ กด Login
3. จากนั้นจะมีหน้าจอถามรหัสลับ
4. หยิบโทรศัพท์แล้วเปิดแอพ Google Authenticator
5. กรอกรหัสลับที่เห็นลงในหน้าจอของ Facebook …เป็นอันเสร็จ

เริ่มทดสอบจริงกันเลยดีกว่า…

เมื่อล็อกอินตามปกติมาแล้ว จะพบหน้าจอให้กรอกรหัสลับ

เปิดแอพ Google Authenticator บนมือถือ กรอกรหัสลับที่เห็นลงในช่อง แล้วกดดำเนินการ

จะมีคำถามถามว่าให้บันทึกเบราเซอร์ในเครื่องนี้ไว้หรือไม่ ถ้าบันทึก ครั้งต่อไปเราสามารถล็อกอินได้เลยโดยไม่ต้องทำ 2-Step Verification (เหมาะสำหรับเครื่องส่วนตัว เครื่องที่บ้าน) หรือถ้าเป็นเครื่องในที่ทำงานหรือเครื่องสาธารณะ ให้กดว่า ไม่ต้องบันทึกครับ

เพียงเท่านี้เราก็สามารถเข้า Facebook ได้ตามปกติ

วิธีนี้ใช้ได้กับทั้ง Facebook บนเดสก์ท็อปและในแอพ Facebook บนมือถือเลยนะครับ

หากต้องการยกเลิก 2-Step Verification ของ Facebook ก็เพียงเข้าไปตั้งค่าเอาเครื่องหมายถูกออก

หวังว่าทุกคนจะลองไปใช้กันดูนะครับ ใช้แล้วปลอดภัยขึ้นอีกเยอะเลย

ปล. บริการออนไลน์ดังๆ เกือบทุกเจ้ารองรับ 2-Step Verification กันเกือบทั้งหมดครับ ไม่ว่าจะเป็น Google (Gmail), Dropbox, Twitter, Apple, Outlook, Onedrive ซึ่งหลักการโดยรวมแล้วก็คล้ายกับที่ผมได้สสาธิตการตั้งค่าของ Facebook ให้ดู สามารถนำไปปรับใช้ได้เหมือนกันครับ ใช้แอพ Google Authenticator ได้เหมือนกัน …เอาไว้ว่างๆ เดี๋ยวผมจะมาแนะนำเพิ่มเติมให้อีกครับ

from:http://feedproxy.google.com/~r/9tana/~3/N-O9_RX1MMY/

Two-step verification ยุ่งยากเพิ่มอีกนิด เพื่อชีวิตออนไลน์ที่ปลอดภัย

สวัสดีครับเพื่อนสมาชิก Droidsans ทุกท่าน หากท่านได้ติดตามข่าวสารในเว็บ Droidsans ช่วงนี้จะเห็นว่ามีข่าวเกี่ยวกับความปลอดภัยของข้อมูลผู้ใช้อินเตอร์เน็ตถูกคุกคามจากผู้ไม่ประสงค์ดีหรือ Hacker เจาะข้อมูลเหล่านั้นออกมาและนำไปเผยแพร่ต่อสาธารณะชน อาจจะเพื่อผลประโยชน์ของตัวเองโดยการขายข้อมูลเหล่านั้นเพื่อเงิน หรือเพื่อความสะใจและต้องการแสดงความสามารถของตัวเองให้โลกได้รับรู้ก็ตาม ผู้ใช้งานอินเตอร์เน็ตล้วนตกเป็นเหยื่อต่ออาชญากรรมออนไลน์เหล่านี้โดยไม่รู้ตัว มารู้อีกทีก็เมื่อสายไปแล้ว ดังเช่นกรณีของภาพนู้ดของดารา Hollywood โดนแฮ็กจาก Apple iCloud หรือ รหัสผ่านของผู้ใช้ Gmail หลุดเกือบ 5 ล้านราย เมื่อเร็วๆนี้ บทสรุปวิธีป้องกันที่ทั้ง 2 ข่าวมีการอ้างถึงคือสิ่งที่เรียกว่า Two-step verification ดังนั้นวันนี้เรามาลองทำความเข้าใจเจ้าสิ่งนี้กันดูว่ามันช่วยป้องกันข้อมูลของเราได้ดีขนาดไหนกัน

 

Two-step verification คืออะไร?

Two-step verification เรียกย่อๆว่า TSV เป็นกระบวนการการตรวจสอบตัวตนของผู้ใช้ 2 ขั้นตอนต่อเนื่องกัน ก่อนที่จะอนุญาตให้เข้าถึงบริการและข้อมูลต่างๆ วิธีการนี้ใช้ป้องกันข้อมูลได้ทั้งที่อยู่บนเครื่องคอมพิวเตอร์หรือบนอินเตอร์เน็ต แนวคิดมาจากเหตุผลที่ว่าการป้องกันข้อมูลด้วย “รหัสผ่าน (Password)” นั้นไม่เพียงพออีกแล้วในปัจจุบันเพราะเป็นสิ่งที่ Hacker พุ่งเป้าเจาะเป็นอันดับแรก ถึงแม้จะตั้งรหัสผ่านที่จำยากแค่ไหนก็ไม่ใช่เรื่องยากสำหรับ Hacker อีกแล้ว และถ้าสามารถเจาะได้สำเร็จก็จะสามารถเข้าถึงข้อมูลทุกอย่างของเราได้อย่างง่ายดาย

Two-step verification จะต้องอาศัยของ 2 สิ่งในการตรวจสอบตัวตนเสมอ คือ สิ่งที่เรารู้ (something you know) และ สิ่งที่เรามี (something you have) จะเป็นลำดับอย่างไรก็ได้ขอให้มีทั้ง 2 สิ่งก็ถือว่าผ่านการตรวจสอบ

 

ตัวอย่างของ Two-step verification ที่มีใช้งานอยู่ในชีวิตประจำวันของเราแต่หลายคนยังไม่รู้ มันคือ ATM นั่นเอง โดยการที่เราจะสามารถไปถอนเงินออกจากตู้ ATM ได้ตั้งอาศัยของ 2 สิ่งคือ บัตร ATM และรหัส PIN โดยการเสียบบัตร ATM เข้าตู้จะการเป็นการตรวจสอบขั้นแรก เมื่อบัตรถูกต้องระบบจะขึ้นหน้าจอมาให้เราใส่รหัส PIN ที่เป็นตัวเลข 4 หลักเพื่อการตรวจสอบขั้นที่ 2 ถ้าใส่รหัสได้ถูกต้องก็ถือว่าผ่าน เราก็จะสามารถเข้าถึงบริการของตู้ ATM ได้อย่างครบถ้วน

 

การเปิด Two-step verification สำหรับ Google Account

การใช้งาน Two-step verification บนบริการของ Google จะต้องการของ 2 สิ่งสำหรับยืนยันตัวตนของเรา อย่างแรกคือ “รหัสผ่าน” ที่เราเป็นคนตั้งเองจำเองรู้เองตั้งแต่ตอนที่เราสมัครใช้บริการ อย่างที่สองคือ “โทรศัพท์มือถือ” ที่เราเป็นเจ้าของ โดย Google จะส่งรหัสตัวเลข 6 ตัวมาให้เราทาง SMS หรือใช้ระบบอัตโนมัติโทรมาบอกเรา แล้วเราจึงนำตัวเลขนั้นไปใส่บนหน้าจอเพื่อยืนยันตัวตนของเราในขั้นสุดท้ายก่อนจะเข้าใช้งานบริการทั้งหมดได้ มาลองเปิดใช้งาน Two-step verification กันเถอะ ว่าแล้วก็กดเข้าไปที่ Link นี้เลย พอเราเข้าไปตาม Link ก็จะเป็นการเริ่มต้นกระบวนการเปิดใช้งาน

https://accounts.google.com/SmsAuthConfig

 

1. ให้เรากดที่ปุ่ม “Start setup >>” เพิ่มเริ่มต้น

2. ขั้นตอนนี้จะเป็นการ Login เพื่อระบุ Account ที่เราต้องการจะเปิด Two-step verification ก็ให้ Login ด้วยรหัสผ่านไปตามปกติ

 

3. มาถึงขั้นตอนนี้จะเป็นการกรอกเบอร์โทรศัพท์มือถือของเรา ซึ่งจะถูกใช้ในการส่งรหัสที่สองให้ ถ้าใครยังไม่เคยใส่เบอร์ก็ใส่ตรงนี้ได้เลย ส่วนใครที่เคยใส่ไว้แล้วจะมีเบอร์แสดงขึ้นมา ถ้าไม่ใช่เบอร์โทรปัจจุบันก็ทำการแก้ไขให้ถูกต้องนะครับ

4. มาถึงส่วนการตรวจสอบเบอร์โทรศัพท์ โดย Google จะให้เลือกว่าเราต้องการให้ส่งรหัสมามือถือของเราทางไหน Text message (SMS) หรือ โทรเข้า (Voice Call) ก็ให้เลือกเป็น Text message แล้วกดปุ่ม Send code

 

5. เมื่อได้รหัสตัวเลขมาทาง SMS ก็ให้นำมากรอกที่หน้านี้แล้วกดปุ่ม Verify

 

6. ที่ขั้นตอนนี้จะเป็นการเลือกว่า เราไว้ใจเครื่องคอมพิวเตอร์ที่เรากำลังใช้อยู่ตอนนี้หรือไม่? ถ้าเราเลือกไว้ใจ Google จะไม่ถามรหัสที่สองจากเรา เวลาเราใช้เครื่องนี้เข้าถึงบริการต่างๆของ Google ดังนั้นถ้าเป็นเครื่องส่วนตัวของเราก็ให้เลือก “Trust this computer” แล้วกดปุ่ม Next ได้เลย

 

7. ขั้นตอนนี้จะเป็นการยืนยันว่าเราต้องการเปิด Two-step verification จริงๆ ดังนั้นก็กดปุ่ม Confirm ได้เลย เป็นอันเสร็จสิ้น

 

8. หน้าจอนี้จะเป็นการแจ้งเตือนว่า ถ้าคุณมี App ที่เคยเชื่อมต่อกับ Google Account ไว้ทางอุปกรณ์ของ Apple ได้แก่ iPhone, iPad หรือ Mac และอุปกรณ์ Blackberry หรือ Windows Phone คุณจะต้อง Login ใหม่ด้วย Two-step verification ทั้งหมด ดังนั้นก็อย่าสงสัยถ้าเราไปเปิดอุปกรณ์เหล่านี้แล้ว Google ให้ Login ใหม่นะครับ

 

ตัวอย่างการ Login ด้วย Two-step verification จะเป็นตามรูปด้านล่างเลย โดยขั้นแรกจะเป็นการ Login ด้วย Username และ Password ตามปกติ พอ Login ผ่านแล้วจะเป็นหน้าจอให้ใส่รหัสชุดที่ 2 ที่ส่งให้ทาง SMS โดยเราสามารถเลือกได้ว่า “ไม่ต้องถามรหัสอีกสำหรับเครื่องนี้ ” อีกด้วย

 

คำถามที่น่าสนใจ

1. ถ้าเราไปอยู่ในที่อับสัญญาณมือถือหรืออยู่ในต่างประเทศแล้วไม่ได้เปิด Roaming แล้วจะทำยังไง?

เราสามารถ download แอพที่ชื่อว่า Google Authenticator ใน Play Store มาใช้แทนในกรณีที่เราอยู่ในที่อับสัญญาณมือถือได้

 

2. แล้วถ้ามือถือเราแบตหมดหรือโดนขโมยไป อย่างนื้ทำไง?

Google มีแผนสำรองให้เราอีกสำหรับกรณีแบบนี้โดยเฉพาะ โดยถ้าเราเข้าไปในส่วน 2-Step verification ของ Account เราบนหน้าเว็บ จะมีส่วนที่เรียกว่า Backup Option อยู่ โดยเราสามารถใส่เบอร์สำรองไว้อีก 1 เบอร์ และยังสามารถพิมพ์รหัสชุดที่ 2 ใส่กระดาษแผ่นเล็กๆเก็บไว้ใช้กรณีฉุกเฉินได้อีกด้วย

 

3. ต้องใส่รหัสชุดที่ 2 ทุกครั้งที่ Login เลยเหรอ?

เราสามารถเลือกไว้วางใจเครื่องส่วนตัวของเราได้ ไม่ว่าจะเป็นคอมพิวเตอร์หรือมือถือ อย่างที่ผมได้อธิบายไปแล้ว และ Google จะจำค่านี้ไว้ 30 วัน ถึงจะถามใหม่อีกครั้ง

4. Google Authenticator ใช้กับบริการอื่นที่ไม่ใช่ Google ได้หรือเปล่า?

ได้ครับ ตอนนี้ Google Authenticator รองรับการใช้งานกับ LastPass, WordPress, Amazon Web Services, Drupal และ DreamHost

 

นี่แหละครับสิ่งที่เรียกว่า Two-step verification และมันเป็นสิ่งที่สำคัญมากต่อความปลอดภัยของข้อมูลส่วนตัวของเราบนโลกอินเตอร์เน็ตที่เต็มไปด้วยผู้ไม่ประสงค์ดี ดังนั้นผมขอแนะนำให้ทุกคนเปิดมันไว้ อย่างน้อยก็อุ่นใจได้ว่า ถึงรหัสผ่านของเราจะโดนเจาะได้ แต่ Hacker ก็ยังไม่สามารถเข้าถึงข้อมูลของเราได้อยู่ดี “ยุ่งยากเพิ่มขึ้นอีกนิด เพื่อชีวิตออนไลน์ที่ปลอดภัย” นะครับ สวัสดี

from:http://droidsans.com/two-step-verification-not-that-hard-to-use-and-very-secure