คลังเก็บป้ายกำกับ: Authentication

1Password เปิดตัว Passkeys ระบบล็อกอินไม่ต้องใช้รหัสผ่าน

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDA Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา – 1Password

No Description

from:https://www.blognone.com/node/131554

PayPal เริ่มรองรับการล็อกอินด้วยกุญแจ Passkeys แทนการใช้รหัสผ่าน

PayPal ประกาศรองรับการล็อกอินแบบ Passkeys ที่รองรับโดยแพลตฟอร์มของกูเกิล แอปเปิล ไมโครซอฟท์ ทำให้ไม่ต้องใช้รหัสผ่านในการล็อกอินอีกต่อไป

Passkeys เป็นมาตรฐานที่ร่วมกันพัฒนาโดย FIDO Alliance และ W3C แนวคิดของมันคือยืนยันตัวตนผ่านมาตรฐาน WebAuthn ด้วยกุญแจเข้ารหัส (cryptographic key) ที่เก็บอยู่ในอุปกรณ์ของเราอยู่แล้ว โดยซิงก์กุญแจกไปยังอุปกรณ์อื่นๆ ผ่านบริการของเจ้าของแพลตฟอร์ม (เช่น iCloud หรือ Google Password Manager) อีกที (อธิบายง่ายๆ มันคือการล็อกอินด้วย private key แบบเป็นมิตรกับผู้ใช้ทั่วไป)

PayPal ถือเป็นบริการออนไลน์รายใหญ่รายแรกๆ ที่รองรับ Passkeys โดยจะเริ่มจากเวอร์ชันเว็บ paypal.com บนอุปกรณ์ฝั่งแอปเปิล (iPhone, iPad, Mac) แล้วค่อยขยายไปยังแอพเวอร์ชันอื่นๆ และแพลตฟอร์มอื่นๆ ต่อไป

ในการล็อกอินครั้งแรก ผู้ใช้ยังต้องใช้รหัสผ่านตามปกติ แต่หลังจากนั้นจะมีปุ่ม Create a passkey เพิ่มขึ้นมา ผู้ใช้สามารถกดแล้วเก็บคีย์ไว้ใน iCloud ได้ หากสลับไปใช้เครื่องอื่นๆ ที่เชื่อมบัญชี iCloud เดียวกัน ก็สามารถกดล็อกอินด้วย passkey ได้ทันที (ระบบปฏิบัติการต้องเป็น iOS 16, iPadOS 16.1, macOS Ventura ขึ้นไป)

No Description

ที่มา – PayPal

from:https://www.blognone.com/node/131118

Modern Warfare II จะบังคับยืนยันตัวตนด้วยเบอร์โทรศัพท์ แบบเดียวกับ Overwatch 2

Activision Blizzard เดินหน้าบังคับยืนยันตัวตนบัญชี Battle.net ด้วยเบอร์โทรศัพท์ ตามแนวทางที่เริ่มใน Overwatch 2 โดยเกมที่สองที่ตามมาคือ Call of Duty: Modern Warfare II เกมใหญ่ของค่ายประจำปีนี้ (กำหนดขาย 28 ตุลาคม)

ในหน้าเว็บของ Battle.net ระบุว่าบัญชีเกม Call of Duty: Modern Warfare II รวมถึงบัญชีที่สร้างใหม่ของเกม Modern Warfare ภาคแรก จะต้องยืนยันตัวตนด้วยเบอร์โทรศัพท์

Blizzard เพิ่งยกเลิกนโยบายยืนยันตัวตนให้ผู้เล่น Overwatch 2 ที่เป็นบัญชีเก่า แต่ยังบังคับยืนยันตัวตนกับบัญชีสร้างใหม่ ภาพรวมก็แสดงให้เห็นทิศทางของค่าย Activision Blizzard ว่าสุดท้ายแล้วต้องการยืนยันตัวตนผู้เล่นในเกมมัลติเพลเยอร์ทั้งหมด เพื่อแก้ปัญหา toxic ของวงการ

แนวทางยืนยันตัวตนด้วยเบอร์โทรศัพท์ไม่ใช่เรื่องใหม่ มีหลายเกมเคยทำมาก่อนแล้ว เช่น Dota 2 และ Rainbow Six Siege

No Description

ที่มา – Battle.net, PCGamer

from:https://www.blognone.com/node/130886

งานวิจัยแผ่น QR code เรืองแสงแบบกินได้ ใช้ป้องกันเหล้าปลอมและยาปลอม

ทีมวิศวกรชีวะการแพทย์จาก Purdue University และ National Institute of Agricultural Sciences จากเกาหลีใต้ ร่วมมือกันวิจัยพัฒนาแผ่น QR code แบบกินได้ ใช้สำหรับติดภายในขวดบรรจุเหล้าหรือติดบนเม็ดยำ ทำให้ผู้ที่ต้องการซื้อเหล้าหรือผู้ที่จะทานยาสามารถใช้สมาร์ทโฟนเพื่อสแกนตรวจสอบยืนยันได้ว่าเหล้าขวดดังกล่าวหรือยาเม็ดดังกล่าวเป็นของแท้หรือไม่

ในขณะที่สติ๊กเกอร์ป้องกันการปลอมแปลงที่ใช้กันในปัจจุบันนี้สามารถติดลงได้บนกล่องหรือขวดที่เป็นบรรจุภันฑ์ภายนอกเท่านั้น จุดอ่อนประการแรกคือการปลอมแปลง QR code ที่เป็นงานพิมพ์บรรจุภัณฑ์ทั่วไปก็ยังทำได้ไม่ยากนัก ในขณะที่จุดอ่อนอีกประการคือมีความเสี่ยงที่จะพบเหล้าปลอมหรือยาปลอมที่อาศัยการสวมรอยนำเอาสินค้าปลอมมาใส่ในบรรุจภัณฑ์จริงได้

แต่ QR code ของทีมวิจัยนี้มีข้อดีที่เหนือกว่าแนวทางที่ใช้งานในปัจจุบันนี้ คือมันทำมาจากวัสดุที่สามารถทานได้ ทำให้ตัว QR code สามารถติดลงด้านในขวดเหล้าและสัมผัสกับเครื่องดื่มได้โดยตรงยากแก่การที่จะปลอมแปลงหรือแกะออก หรือจะใช้ติดลงบนเม็ดยาให้คนกลืนลงไปพร้อมกันกับตัวยาก็ไม่มีปัญหา อีกทั้งตัว QR code นี้สร้างขึ้นจากหมึกแบบพิเศษที่ปลอมแปลงได้ยาก

No Descriptionแผ่นสติ๊กเกอร์ QR code ขนาดจิ๋วที่ใช้สำหรับติดไว้ภายในขวดเหล้า

แผ่น QR code ดังกล่าวถูกสร้างขึ้นโดยใช้ใยของไหมชนิดพิเศษที่ผ่านกระบวนการปรับแต่งทางพันธุกรรมจนได้เส้นใยไหมที่มีโปรตีนเรืองแสงอยู่ในตัว ทำให้ตัวรังไหมและเส้นใยไหมมีความเรืองแสง และเนื่องจากเส้นใยที่ใช้นี้ก็เป็นโปรตีนจากธรรมชาติจึงไม่เป็นปัญหาสำหรับการใช้งานกับเครื่องดื่มและยา

No Descriptionการปรับแต่งพันธุกรรมหนอนไหม ทำให้ได้ใยไหมที่มีคุณสมบัติเรืองแสงเป็นเฉดสีต่างๆ

เส้นใยเรืองแสงนี้มีสีสันต่างกัน 3 เฉดสี คือ ฟ้า, เขียว และแดง เมื่อใช้เทคนิคการถ่ายภาพเรืองแสง (fluorescence imaging) ซึ่งเป็นการถ่ายภาพใช้ฟิลเตอร์เพื่อคัดกรองคลื่นแสงเฉพาะบางย่านความถี่โดยเฉพาะ ก็จะเห็นการเรืองแสงจากเส้นใยไหมเหล่านี้ที่มีสีสันแตกต่างกันชัดเจน ทีมนักจัยนำเอาเส้นใยพวกนี้มาใส่ในสารละลายเพื่อสร้างหมึกเรืองแสงใช้สำหรับการทำรหัสภาพเป็น QR code ได้ตามต้องการ

No Descriptionเส้นใยใหมเรืองแสงถูกนำมาใส่ในสารละลายเพื่อสร้างหมึกเรืองแสงในเฉดสีต่างๆ ทั้ง ฟ้า, เขียว และแดง

ในการประยุกต์ใช้งานจริง การสแกน QR code ที่ทำจากหมึกเรืองแสงนี้จะต้องใช้แอพที่สร้างขึ้นมาเพื่อการสแกนนี้โดยเฉพาะ ตัวแอพดังกล่าวมีการตั้งค่าการปล่อยแสง (excitation source) และฟิลเตอร์เพื่อเน้นกรองเอาเฉพาะแสงที่หมึกปลดปล่อยออกมา (emission filter) ให้เหมาะสมสัมพันธ์กับความสามารถในการดูดซับคลื่นแสงและปล่อยแสงกลับออกมาของหมึกแต่ละสี โดยหมึกเรืองแสงทั้ง 3 สี จะต้องมีการปรับแต่งแอพแตกต่างกันดังนี้

  • สีฟ้า excitation source 415 nm, emission filter 460 nm
  • สีเขียว excitation source 470 nm, emission filter 525 nm
  • สีแดง excitation source 530 nm, emission filter 630 nm

ผลจากการประยุกต์ใช้หมึกเรืองแสง 3 นี้เข้าด้วยกันซึ่งต่างก็ทำงานกับแสงคนละย่านความถี่ ทำให้การผลิตแผ่น QR code แต่ละแผ่น สามารถสร้างรหัสภาพ 3 รหัสซ้อนกันได้ โดยสามารถเลือกสแกนรหัสภาพได้ตามต้องการด้วยการปรับตั้งค่าแสงและฟิลเตอร์ให้สอดคล้องกับรหัสภาพที่ต้องการสแกนนั่นเอง

No Descriptionด้วยทางเลือกการใช้สีต่างๆ ทำให้สามารถออกแบบรหัสภาพแบบ QR code มากกว่า 1 รหัสมาซ้อนกันได้

ทั้งนี้ในกระบวนการสร้างแผ่น QR code ด้วยหมึกจากใยไหมเรืองแสงนี้ ทีมวิจัยได้ใช้แอลกอฮอล์มาเป็นตัวเพิ่มความทนทานของแผ่น QR code ดังนั้นการใช้งานมันกับขวดเหล้าจึงไม่มีปัญหา กลับจะยิ่งทำให้ QR code มีความคงทนดียิ่งขึ้น และเป็นตัวอย่างการประยุกต์ใช้งานกรณีแรกๆ ที่ทีมวิจัยนึกถึง

No Descriptionการใช้สมาร์ทโฟนสแกน QR code เพื่อตรวจสอบเหล้า (ดาวน์โหลดวิดีโอสาธิตการสแกนได้ที่นี่)

และตามที่ได้อธิบายไว้ข้างต้นว่าแผ่น QR code นี้ทำมาจากเส้นใยโปรตีนที่สามารถรับประทานได้ มันจึงสามารถนำไปใช้ติดบนยา หรือแม้กระทั่งเม็ดยาก็ยังได้ แนวคิดของทีมวิจัยต้องการให้ผู้ใช้สามารถทำการสแกน QR code บนเม็ดยาทุกเม็ดเพื่อให้แน่ใจว่าเม็ดยาที่กำลังจะทานเข้าไปนั้นเป็นยาจริงที่มีสรรพคุณรักษาอาการเจ็บป่วยได้จริง

No Descriptionการใช้สมาร์ทโฟนสแกน QR code เพื่อตรวจสอบเม็ดยา (ดาวน์โหลดวิดีโอสาธิตการสแกนได้ที่นี่)

ทีมวิจัยได้ทดลองใช้งาน QR code เรืองแสงกินได้นี้กับเหล้าหลากหลายยี่ห้อเป็นเวลานานกว่า 10 เดือน และสามารถใช้งานสแกนข้อมูลได้สำเร็จทุกครั้งภายใต้ภาวะแสงในสิ่งแวดล้อมต่างๆ จึงทำให้ทีมมีความมั่นใจว่าผลงานวิจัยนี้มีความสมบูรณ์พร้อมจะนำไปใช้งานได้จริง

ผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากเอกสารงานวิจัยที่นี่

ที่มา – designboom

from:https://www.blognone.com/node/129835

Cloudflare รายงาน Phishing หลอกรหัสผ่าน-OTP พนักงาน แต่เจาะไม่เข้าเพราะทุกคนใช้คีย์ฮาร์ดแวร์

จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย

Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น

เหตุการณ์ของ Cloudflare เริ่มขึ้นในวันที่ 20 กรกฎาคม หลังทีมความปลอดภัยได้รับแจ้งจากพนักงานว่ามี SMS phishing หลอกให้ล็อกอินหน้าเว็บของบริษัท และมีพนักงานอย่างน้อย 76 คนได้รับข้อความนี้เข้าทั้งเบอร์ส่วนตัว เบอร์ของที่ทำงาน และเบอร์คนในครอบครัว ตอนนี้ยังไม่ชัดเจนว่าแฮ็กเกอร์ได้รายชื่อและเบอร์โทรมาได้อย่างไร

Cloudflare บอกว่าเทรนให้พนักงานทุกคนรายงานสิ่งที่น่าสงสัยไปยังทีมเฝ้าระวังความปลอดภัย (Security Incident Response Team – SIRT) อยู่เสมอ ปกติแล้ว 90% ของรายงานไม่ใช่ภัยคุกคาม แต่บริษัทก็กระตุ้นให้พนักงานส่งรายงานเยอะๆ เหลือดีกว่าขาด (over-reporting) ซึ่งรอบนี้การรายงานเข้าเป้า

ข้อความใน SMS หลอกให้กดลิงก์ไปยังหน้าล็อกอิน Cloudflare Okta ทาง cloudflare-okta.com (หมายเหตุ: Okta เป็นบริษัททำโซลูชันเรื่องการยืนยันตัวตน ซึ่ง Cloudflare ใช้งานอยู่จริงๆ การใช้โดเมนเนมมีคำว่า okta จึงน่าเชื่อถือสำหรับคนที่รู้จักบริษัทนี้) ทาง Cloudflare โดนโจมตีลักษณะนี้บ่อยๆ อยู่แล้ว จึงมีระบบมอนิเตอร๋ว่ามีใครจดทะเบียนโดเมนเนมที่มีคำว่า cloudflare หรือไม่ และไล่ปิดโดเมนเหล่านี้เพื่อป้องกันการนำไปใช้หลอกลวง แต่กรณีนี้ โดเมนเพิ่งถูกจดก่อนส่งลิงก์ทาง SMS เพียง 40 นาที ทำให้ทีมตรวจสอบโดเมนเนมตามไปปิดไม่ทัน

หน้าเว็บ phishing ของแฮ็กเกอร์ฝากไว้บน DigitalOcean โดยทำหน้าตาเลียนแบบหน้าล็อกอินมาตรฐานของ Okta และมีช่องให้ใส่บัญชีผู้ใช้-รหัสผ่าน

จากการวิเคราะห์พบว่า เมื่อพนักงานถูกหลอกให้ใส่รหัสผ่านแล้ว รหัสจะถูกส่งไปยังแฮ็กเกอร์ผ่าน Telegram แบบเรียลไทม์ แฮ็กเกอร์จะนำรหัสผ่านนี้ไปล็อกอินเข้าระบบจริงๆ อีกที

จากนั้นหน้าเว็บปลอมจะขึ้นหน้าจอให้ใส่ OTP ทาง SMS ทันที เพื่อหลอกให้ผู้ใช้กรอก OTP ที่ได้จากระบบของจริง แล้วส่งผ่าน Telegram ให้แฮ็กเกอร์นำ OTP ไปกรอกบนหน้าเว็บจริงให้ทันเวลา expire ของรหัส OTP ได้สำเร็จ

Cloudflare บอกว่าเทคนิคนี้ช่วยให้แฮ็กเกอร์เอาชนะการล็อกอิน 2 ปัจจัย (two-factor authentication) ในกรณีส่วนใหญ่ได้ เพราะองค์กรส่วนมากคิดว่าแข็งแรงพอแล้ว แต่แฮ็กเกอร์มีวิธีเอาชนะได้สำเร็จ ซึ่งมีพนักงานอย่างน้อย 3 คนโดนหลอกสำเร็จ และกรอกรหัสผ่านลงไปในหน้าเว็บปลอม

อย่างไรก็ตาม ระบบยืนยันตัวตนของ Cloudflare ไม่ได้ใช้ OTP แต่ใช้กุญแจความปลอดภัยของฮาร์ดแวร์แบบ FIDO-2 (เช่น Yubikey) ที่ซื้อแจกให้พนักงานทุกคน ดังนั้นเทคนิคการทำ phishing ที่ซับซ้อนแบบนี้จึงทำอะไร Cloudflare ไม่ได้ เพราะกุญแจฮาร์ดแวร์แข็งแกร่งกว่ามากนั่นเอง

จากการตรวจสอบอย่างละเอียด Cloudflare ไม่พบการเจาะระบบที่สำเร็จแต่อย่างใด

หลังจากเกิดเหตุการณ์นี้ Cloudflare บล็อคการเข้าถึงโดเมนเนมนี้ทันที, บังคับตัดเซสชันและรีเซ็ตรหัสผ่านของพนักงาน 3 คนที่โดนหลอก, ประสานงานกับ DigitalOcean เพื่อปิดเซิร์ฟเวอร์ และยึดโดเมนเนม, แชร์ข้อมูลการโจมตีครั้งนี้ให้องค์กรอื่นๆ ที่อาจโดนแบบเดียวกัน

ที่มา – Cloudflare Blog

from:https://www.blognone.com/node/129796

มช. นำร่องการใช้ eKYC ผ่านระบบ NDID เป็นสถานศึกษาแรกของประเทศไทย

มหาวิทยาลัยเชียงใหม่เปิดลงทะเบียนนักศึกษาใหม่ ทำให้กระบวนการลงทะเบียนนักศึกษาใหม่ในปีนี้สามารถทำผ่านระบบออนไลน์ได้ทั้งหมด ตั้งแต่การสร้างบัญชีผู้ใช้, การกรอกประวัติและส่งเอกสาร โดยไม่ต้องเดินทางไปลงทะเบียนที่จุดให้บริการของมหาวิทยาลัยเหมือนเดิม และการยืนยันตัวตนผ่าน NDID เช่นนี้ทำให้นักศึกษาสามารถยืนยันตัวตนได้หากเคยยืนยันตัวตนบนแอปพลิเคชั่นธนาคารใดก็ได้ใน 10 ธนาคารที่ให้บริการยืนยันตัวตนผ่าน NDID

No Description
หลังจากเกิดการระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 ไปทั่วโลก ในฝั่งการให้บริการ เริ่มมีการปรับตัวไปให้บริการในลักษณะออนไลน์มากขึ้น แต่ความท้าทายของการให้บริการออนไลน์คือการตรวจสอบตัวตน (Identity) ของผู้รับบริการ ซึ่งมักจะเรียกกันว่าการทำการรู้จักลูกค้า หรือ KYC (Known Your Customer) จากเดิมที่การตรวจสอบตัวตนอาจจะใช้การยืนยันตัวตนแบบพบเห็นหน้า (Face-to-Face) มาเป็นการทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ (eKYC) แต่อย่างไรก็ตาม ผู้ที่ทำการรู้จักลูกค้าแบบอิเล็กทรอนิกส์ก็ต้องมีความมั่นใจว่าผู้ที่มารับบริการ เป็นบุคคลนั้นจริง ๆ โดยจากประกาศของธนาคารแห่งประเทศไทย (อ้างอิง 1,2) ระบุว่าผู้ให้บริการทางการเงิน ที่ต้องการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า (Non Face-To-Face) จะต้องมีวิธีการตรวจสอบที่ใช้มาตรฐานสากลหรือมาตรฐานที่ยอมรับโดยทั่วไปในการตรวจสอบใบหน้าของลูกค้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน เพื่อพิสูจน์ว่าเป็นลูกค้ารายนั้นจริง แทนการพบเห็นหน้า โดยธนาคารแห่งประเทศไทยได้กำหนดให้ธุรกรรมที่มีความเสี่ยงสูงเช่นการจ่ายเงินหรือการโอนเงิน ภายใน/ระหว่างประเทศ จะต้องมีการยืนยันตัวตนที่ใช้การตรวจสอบบัตรประจำตัวประชาชน เช่นการเสียบบัตรกับเครื่องอ่านร่วมกับการตรวจสอบสถานะบัตร และ การตรวจสอบใบหน้าเทียบกับข้อมูลชีวมิติจากบัตรประจำตัวประชาชน ซึ่งเป็นการตรวจสอบตามระดับมาตรฐาน IAL2.3 ตามข้อกำหนดการพิสูจน์ตัวตนทางดิจิทัล ซึ่งเสนอโดยสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์

ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน (Identity Assurance Level : IAL) เป็นระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของบุคคล ซึ่งจะมีตั้งแต่ระดับ IAL1 (ความน่าเชื่อถือต่ำสุด) จนถึง IAL3 (ความน่าเชื่อถือสูงสุด) โดยในแต่ละระดับก็จะมีข้อกำหนดพื้นฐานที่ผู้ให้บริการต้องปฏิบัติ ตามรูปด้านล่าง

No Description
ภาพจาก ETDA

ตัวอย่างเช่น IAL2.3 ซึ่งเป็นระดับต่ำสุดที่กำหนดโดยธนาคารแห่งประเทศไทยสำหรับผู้ให้บริการทางการเงิน จะต้องมีกระบวนการที่สอดคล้องกับข้อกำหนดทั้งในขั้นตอนการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ และ การตรวจสอบความเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์ โดยสำหรับการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ คือการตรวจสอบว่าบุคคลนั้นมีตัวตนอยู่จริงหรือไม่โดยการให้บุคคลนั้นนำเอาบัตรประจำตัวประชาชน หรือ เอกสารประจำตัวอื่นที่ออกโดยรัฐมาเสียบกับเครื่องอ่าน แล้วทำการตรวจสอบว่าบัตรประจำตัวประชาชนนั้นยังมีสถานะอยู่หรือไม่ ซึ่งเมื่อตรวจสอบแล้ว ก็จะทำการบันทึกอัตลักษณ์ของบุคคลนั้น เช่น ภาพถ่าย เข้าไปในระบบ โดยกระบวนการนี้จะทำโดยผู้พิสูจน์และยืนยันตัวตน (Identity Provider : IdP) แล้วเมื่อบุคคลนั้นต้องการยืนยันตัวตนผ่านทางการตรวจสอบเชื่อมโยงระหว่างบุคคลกับอัตลักษณ์เมื่อต้องการเข้าใช้บริการใดจากผู้ให้บริการ หรือเรียกว่า ผู้อาศัยการยืนยันตัวตน (Relying Party : RP) ก็อาจจะทำการพิสูจน์ตัวตนแบบพบเห็นหน้าโดยการตรวจสอบใบหน้าเทียบกับรูปถ่ายในบัตร หรือ การทำการพิสูจน์ตัวตนแบบไม่พบเห็นหน้า โดยการใช้สิ่งยืนยันตนที่ได้จาก IdP ร่วมกับการตรวจสอบชีวมิติ เป็นต้น

สำหรับในระบบ NDID นั้น ผู้พิสูจน์และยืนยันตัวตนในปัจจุบัน ก็ประกอบไปด้วยธนาคารที่เข้าร่วมกับโครงการ Regulatory Sandbox ของธนาคารแห่งประเทศไทย รวมถึงบริษัทที่ไม่เช่นธนาคาร เช่น AIS ก็ร่วมเป็นผู้พิสูจน์และยืนยันตัวตน โดยผู้ใช้ที่ต้องการลงทะเบียน จะต้องไปทำการเสียบบัตรประจำตัวประชาชนที่ธนาคาร ซึ่งมักจะทำอยู่แล้วในตอนที่ไปเปิดบัญชีธนาคาร แล้วธนาคารก็จะทำการบันทึกตัวตนของผู้ใช้ไว้ในระบบ และเมื่อผู้ใช้ต้องการยืนยันตัวตนกับผู้ให้บริการรายใด ก็จะสามารถแจ้งให้กับผู้ให้บริการว่า ต้องการยืนยันตัวตนโดยธนาคารใด ซึ่งผู้ให้บริการก็จะทำการร้องขอการยืนยันตัวไปยังธนาคาร แล้วธนาคารก็จะแจ้งไปยังผู้ใช้ว่ามีคำร้องขอยืนยันตัวตนเข้ามาในโมบายแอพพลิเคชันของธนาคาร โดยผู้ใช้สามารถทำการอนุญาต และ ยืนยันตัวตนโดยการใช้กล้องถ่ายรูปของโทรศัพท์มือถือในการยืนยันตัวตนได้เลย ซึ่งเมื่อทำการยืนยันตัวตนแล้ว ธนาคารก็จะส่งข้อมูลการยืนยันตัวตนมาให้ผู้ให้บริการเพื่อเป็นการยืนยันว่าผู้ใช้ที่มาขอรับบริการ เป็นบุคคลนั้นจริง

สำหรับการรายงานตัวขึ้นทะเบียนเป็นนักศึกษาของมหาวิทยาลัยเชียงใหม่นั้น ได้ดำเนินการไปจนถึงระดับ IAL2.3 ตามแนวทางที่กำหนดโดยธนาคารแห่งประเทศไทย และมีการสอบทานข้อมูลของนักศึกษากับฐานข้อมูลทะเบียนราษฏร์ของกรมการปกครอง เพื่อให้มั่นใจว่า ข้อมูลของนักศึกษานั้นตรงกับข้อมูลของภาครัฐจริง ๆ โดยการดำเนินการทั้งหมด ได้มีการตรวจสอบจากบริษัทภายนอกในการทำ Penetration Test ตามมาตรฐานที่กำหนดโดย NDID เพื่อให้มั่นใจว่าจะไม่มีช่องโหว่ให้สามารถปลอมแปลงอัตลักษณ์ส่วนบุคคลได้ และมีการออกแบบระบบคำนึงถึงการปกป้องข้อมูลส่วนบุคคลตั้งแต่แรก เช่น ไม่มีข้อมูลส่วนตัวของนักศึกษาส่งผ่านไปยังธนาคารผู้ยืนยันตัวบุคคล เป็นต้น ยิ่งไปกว่านั้นนักศึกษาที่ลงทะเบียนเข้าใช้ระบบ NDID แล้ว สามารถใช้การยืนยันตัวบุคคลในบริการอื่น ๆ เช่น การเปิดบัญชีธนาคารอื่น ๆ โดยไม่จำเป็นต้องเดินทางไปยังธนาคารนั้นได้อีกด้วย

การยืนยันตัวบุคคลโดยระบบ NDID จะเป็นแนวทางที่สำคัญของประเทศไทยในการยกระดับความน่าเชื่อถือในการยืนยันตัวบุคคลในการให้บริการแบบออนไลน์ และสอดคล้องกับการปกป้องข้อมูลส่วนบุคคล และในอนาคต คาดว่าน่าจะมีบริการอื่น ๆ ที่เข้าร่วมกับ NDID ซึ่งจะทำให้ผู้ใช้บริการมีความสะดวกมากยิ่งขึ้นอีกต่อไป

ที่มา:
เฟซบุ๊ครับเข้าศึกษาปริญญาตรี มช., NDID

ข้อมูลเปิดเผย: ผู้เขียนข่าวเป็นพนักงานมหาวิทยาลัยเชียงใหม่

from:https://www.blognone.com/node/128885

ไมโครซอฟท์รวบบริการยืนยันตัวตนผู้ใช้เข้าเป็นชุดในชื่อ Microsoft Entra

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management – IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวมMicrosoft Entra จะมีบริการหลัก 3 ส่วน คือ

  • บริการยืนยันตัวตน (login) เป็น Azure AD และ Azure B2C เดิม
  • บริการจัดการสิทธิ์เข้าถึงบริการคลาวด์มาจาก CloudKnox แต่เปลี่ยนชื่อเป็น Microsoft Entra Permissions Management เริ่มใช้งานได้จริงเดือนกรกฎาคมปีนี้
  • Microsoft Entra Verified ID เปลี่ยนชื่อจาก Azure Active Directory Verifiable Credentials เป็นบริการสำหรับการยืนยันตัวตนในโลกความเป็นจริง เช่น หลักฐานการทำงาน, หลักฐานการศึกษา, การยืนยันว่าเป็นสมาชิกองค์กรต่างๆ (เช่นคนไข้ยืนยันว่ากำลังคุยออนไลน์กับแพทย์จริง) เริ่มใช้งานได้จริงเดือนสิงหาคมนี้

การใช้งานโดยรวมอาจจะไม่ต่างจากเดิมนัก แต่ธุรกิจ IAM ก็นับเป็นอุตสาหกรรมที่เติบโตสูง บริษัทคู่แข่งของไมโครซอฟท์จำนวนมากเป็นบริษัทที่ทำแต่ธุรกิจ IAM เป็นหลัก เช่น Okta, Ping Identity, หรือ OneLogin การแยกแบรนด์ออกมาและทำตลาดว่าสามารถใช้งานกับบริการคลาวด์รายอื่นนอกจาก Azure ได้ด้วย ก็น่าจะทำให้ธุรกิจส่วนนี้ของไมโครซอฟท์ชัดเจนขึ้น

ที่มา – Microsoft

No Description

from:https://www.blognone.com/node/128763

Apple, Microsoft และ Google ประกาศความร่วมมือผลักดันล็อกอินไม่ต้องใช้รหัสผ่าน มาตรฐาน FIDO

แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)

ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด

สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ

ทั้ง แอปเปิล ไมโครซอฟท์ และกูเกิล คาดว่าความสามารถล็อกอินด้วยมาตรฐานใหม่นี้ จะให้บริการได้เร็วที่สุดในปี 2022 หรืออย่างช้าในปี 2023 ซึ่งจะรองรับทั้ง iOS, Android, Windows, macOS, Safari, Edge และ Chrome ซึ่งเป็นเครื่องมือพื้นฐานของทั้งสามค่าย

หมายเหตุ: ทั้ง 3 บริษัท เลือกประกาศความร่วมมือในวันนี้ 5 พฤษภาคม 2022 ซึ่งถือเป็นวันรหัสผ่านโลก ตรงกับวันพฤหัสบดีแรก เดือนพฤษภาคมของทุกปี

ที่มา: FIDO Alliance, กูเกิล และ แอปเปิล ผ่าน The Verge

alt="Password"

alt="How FIDO works"

from:https://www.blognone.com/node/128326

GitHub บังคับบัญชีนักพัฒนาต้องเปิดใช้ 2FA มีผลภายในสิ้นปี 2023

GitHub ประกาศปรับนโยบายการใช้งาน โดยบังคับให้นักพัฒนาที่อัพโหลดโค้ดเข้ามา ต้องเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) อย่างน้อย 1 วิธีการ มีผลภายในสิ้นปี 2023

Mike Hanley หัวหน้าฝ่ายความปลอดภัยของ GitHub บอกว่าแนวคิดนี้เกิดจากพื้นฐานว่า กระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยรัดกุมทุกขั้นตอน ต้องเริ่มต้นที่นักพัฒนาเป็นลำดับแรก เพราะบัญชีนักพัฒนาเป็นเป้าหมายแรกของผู้โจมตีในการสอดไส้มัลแวร์เข้าไปในโค้ด

ทั้งนี้ GitHub ระบุว่าผลการสำรวจมีบัญชีที่เปิดใช้ 2FA มีอยู่ 16.5% ของบัญชีที่มีการใช้งานเป็นประจำ หรือคิดเป็น 1 ใน 6 เท่านั้น ก่อนหน้านี้ GitHub ปรับนโยบายบังคับผู้ดูแลแพ็คเกจ NPM ยอดนิยม 100 อันดับแรก ต้องเปิดใช้ 2FA ซึ่งลำดับถัดไปจะขยายเป็น 500 ลำดับแรก ภายในสิ้นเดือนพฤษภาคมนี้

ที่มา: GitHub

alt="GitHub"

from:https://www.blognone.com/node/128310

AIS เปิดบริการ Public IDP ยืนยันตัวตนด้วยแอป myAIS ผ่านเครือข่าย NDID

วันนี้ในงาน NDID Day ทาง AIS ประกาศเปิดบริการ Public IDP (identity provider) ให้บริการยืนยันตัวตนแก่บริการอื่นๆ เช่น การเปิดบัญชีธนาคาร, การสมัครกองทุน, หรือการใช้บริการประกันภัย

ที่ผ่านมาทาง AIS ใช้จุดบริการของตัวเองกว่า 16,277 จุดให้บริการ IDP Agent เป็นบริการแสดงตัวตนที่ลูกค้าจะต้องไปแสดงตัวเพื่อพิสูจน์ตัวตน การขยายบริการเป็น Public IDP จะทำให้ผู้ใช้บริการ myAIS สามารถแสดงตัวได้ทันที จากเดิมที่ผู้ให้บริการ IDP มักเป็นธนาคารเป็นหลัก

ตอนนี้ยังไม่มีกำหนดว่าบริการ Public IDP จะเปิดให้บริการจริงช่วงใด แต่ทาง AIS ระบุว่าจะเปิดเร็วๆ นี้

ที่มา – จดหมายข่าว AIS, งาน NDID Day

No Description

Topics: 

from:https://www.blognone.com/node/127564