ไมโครซอฟท์รายงานถึงการสนับสนุนการล็อกอินด้วย Passkey หรือกุญแจ FIDO เพื่อลดการใช้งานรหัสผ่านหรือการล็อกอินอื่นๆ ที่เสี่ยงต่อการถูกหลอกล็อกอินเว็บปลอม (phishing) โดยไมโครซอฟท์พยายามดึงผู้ใช้ให้สมัครใช้งานและใช้งาน Passkey ให้มากขึ้น

ไมโครซอฟท์เริ่มจากการรองรับ Passkey เป็นตัวเลือกให้ผู้ใช้เข้าไปเปิดใช้งานเอง หลังจากนั้นก็เริ่มเรียกผู้ใช้เข้ามาเปิดใช้งานโดยแจ้งเตือนเมื่อผู้ใช้สร้างบัญชีใหม่, ล็อกอินใหม่, หรือรีเซ็ตรหัสผ่าน โดยเรียกผู้ใช้มาสมัคร Passkey ทำให้ผู้ใช้เปิดใช้ฟีเจอร์นี้คิดเป็น 99% ของผู้ที่ใช้งานทั้งหมด กระบวนการเรียกผู้ใช้มาสมัคร Passkey มีการทดลองใช้คำที่เหมาะสม เช่น การบอกผู้ใช้ว่า Passkey ทำให้ล็อกอินได้เร็วขึ้น ได้ผลดีกว่าการบอกว่า Passkey ปลอดภัยกว่า

Amazon Cognito บริการล็อกอินผู้ใช้ (customer identity and access management - CIAM) ประกาศอัพเดตความสามารถของบริการครั้งใหญ่ หลังเปิดให้บริการมาแล้วสิบปี พร้อมกับปรับราคาแพ็กเกจการคิดราคาใหม่โดยแบ่งแพ็กเกจเป็นสามระดับ Essential, Lite, และ Plus

ฟีเจอร์ใหม่ของ Cognito เริ่มตั้งแต่กระบวนการเซ็ตอัพแอปพลิเคชั่นที่ง่ายขึ้น รองรับเฟรมเวิร์คหลักๆ ทั้งหมด, หน้าจอล็อกอินแบบโฮสต์บน AWS เองแต่ปรับแต่งได้มากขึ้น, และการรองรับล็อกอินแบบไม่ใช้รหัสผ่าน ทั้ง Passkey, SMS, และอีเมล

Android เพิ่มฟีเจอร์ Restore Credentials ภายใต้ Credential Manager API ให้นักพัฒนาแอพสามารถคืนค่าแอพของผู้ใช้เวลาย้ายเครื่อง โดยผู้ใช้ไม่จำเป็นต้องล็อกอินใหม่อีกครั้ง

หลักการของ Restore Credentials คือแอพจะบันทึก restore key เข้าไปใน Android Credential Manager ของเครื่อง ซึ่งจะแบ็คอัพคีย์เหล่านี้ไว้บนคลาวด์ของกูเกิลให้ด้วย เมื่อผู้ใช้ย้ายเครื่องใหม่ โอนถ่ายตัวไฟล์แอพ ข้อมูล และคีย์ มายังเครื่องใหม่ แอพจะขอ restore key เพื่อล็อกอินบัญชีผู้ใช้อีกรอบ ผู้ใช้เปิดแอพมาครั้งแรกจึงไม่ต้องล็อกอินใหม่อีกเลย

กูเกิลบอกว่า restore key เป็น public key ที่เข้ากันได้กับระบบจัดการ passkey / FIDO 2 จึงผ่านมาตรฐานความปลอดภัยที่ใช้ในอุตสาหกรรมอยู่แล้ว

ไมโครซอฟท์ปรับหน้าตาของระบบล็อกอิน Windows Hello ให้ทันสมัย เข้ากับแนวทางออกแบบของ Windows 11 ยุคปัจจุบันมากขึ้น

การเปลี่ยนแปลงสำคัญคือการปรับไอคอนของวิธีล็อกอินใหม่ ให้รองรับ Passkey ซึ่งเพิ่มเข้ามาได้สักพักแล้ว โดย UI จะรองรับการใช้อุปกรณ์ยืนยันตัวตนได้ง่ายขึ้น และ รองรับวิธีการยกระดับสิทธิ Administrator Protection

Windows Hello โฉมใหม่เริ่มใช้แล้วใน Windows 11 Insider Preview Build 27754 (Canary Channel)

ที่มา - Microsoft

ไมโครซอฟท์เปิดตัว Administrator Protection ระบบขอสิทธิแอดมินแบบใหม่ของ Windows 11 ที่ช่วยให้ผู้ใช้ทั่วไปขอสิทธิแอดมินเพื่อแก้คอนฟิกระบบอย่างปลอดภัยมากขึ้น

ในแง่การใช้งาน Administrator Protection หน้าตาคล้ายระบบ User Account Control (UAC) ในปัจจุบัน แต่จะยืนยันตัวตนของผู้ใช้ผ่าน Windows Hello แทน เช่น ใช้ใบหน้า ลายนิ้วมือ หรือ PIN เฉพาะเครื่องที่ตั้งค่าไว้

Google Cloud ประกาศแผนการบังคับใช้ multi-factor authentication (MFA) ทุกกรณี โดยจะทยอยบังคับใช้เป็นเฟสๆ จนถึงสิ้นปี 2025

• เฟส 1: พฤศจิกายน 2024แนะนำให้ใช้ MFA ด้วยการแจ้งเตือนผ่านช่องทางต่างๆ เช่น Google Cloud Console บอกว่ามีข้อดีอย่างไร
• เฟส 2: ต้นปี 2025บังคับใช้ MFA สำหรับผู้ใช้ที่ล็อกอินด้วยรหัสผ่าน
• เฟส 3: สิ้นปี 2025บังคับใช้ MFA สำหรับผู้ใช้ที่ล็อกอินผ่านระบบอื่นผ่านมาทาง Google Cloud (federated authentication)

กูเกิลบอกว่าตอนนี้ผู้ใช้กูเกิล 70% ใช้งาน MFA อยู่แล้ว และแนะนำให้เปิดใช้งาน MFA ได้ทันทีในวันนี้เลยผ่านหน้าจอตั้งค่าใน Google Account ไม่ต้องรอบังคับใช้แต่อย่างใด

Amazon เปิดเผยสถิติว่า หลังจากรองรับการล็อกอินด้วย Passkey เมื่อ 1 ปีที่แล้ว ตอนนี้มีผู้ใช้งานแล้ว 175 ล้านคน รองรับการล็อกอินบนหน้าเว็บ และแอพ Amazon Shopping บน iOS/Android

ในช่วง 1 ปีที่ผ่านมา Amazon ยังเปิดใช้งาน Passkey กับบริการย่อยๆ ในเครือ เช่น Audible เพื่ออำนวยความสะดวกให้ผู้ใช้ล็อกอินได้รวดเร็วขึ้นด้วย

NIST เผยแพร่ แนวทางสำหรับความปลอดภัยของรหัสผ่าน (Password) ซึ่งระบุในเอกสาร 800-63B ภาพรวมนั้นคล้ายกับแนวทางที่เคยระบุในเอกสารฉบับก่อนหน้า แต่มีการเปลี่ยนแปลงบางหัวข้อ ซึ่งหลายคนอาจคุ้นเคยว่าเป็นแนวทางตั้งรหัสผ่านที่ปลอดภัย แต่ NIST เปลี่ยนคำแนะนำแล้ว

โดยหัวข้อหนึ่ง NIST บอกว่า ต้องไม่กำหนดให้ตั้งรหัสผ่านที่ซับซ้อน ซึ่งมีทั้งอักษรตัวเล็ก-ตัวใหญ่ ตัวเลข และอักขระพิเศษ (Shall Not) แต่ ต้องกำหนดให้รหัสผ่านยาวอย่างน้อย 8 ตัวอักษร (Shall) และ แนะนำให้กำหนดอย่างน้อย 15 ตัวอักษร (Should) ซึ่งนักวิจัยของ NIST ให้ข้อมูลว่า รหัสผ่านที่ยาวกว่านั้นปลอดภัยกว่า และดีกว่าการไปกำหนดให้ตั้งรหัสผสมอักขระ

NIST เปิดรับความเห็นร่างเอกสาร NIST SP-800-63B มาตรฐานการยืนยันตัวตนที่เคยอัพเดตไปเมื่อปี 2017 โดยรอบนี้มีจุดสำคัญคือการเพิ่มมาตรฐานความปลอดภัยของ Passkey ที่ใช้ล็อกอินโดยไม่ต้องการรหัสผ่าน และยังสามารถซิงก์ข้ามอุปกรณ์ได้

เอกสารเรียกการยืนยันตัวตนแบบนี้ว่า Syncable Authenticator พร้อมกำหนดแนวทางการพัฒนาว่าต้องใช้กระบวนการเข้ารหัสลับที่ได้รับการรับรอง, เก็บกุญแจลับในรูปแบบที่เข้ารหัสเสมอ, แม้จะซิงก์ผ่านคลาวด์ก็ต้องอ่านค่าได้โดยผู้ใช้เท่านั้น, กระบวนการเข้าถึงกุญแจต้องยืนยันตัวตนผู้ใช้ในระดับ AAL2 ขึ้นไป, และระบบต้องมีตัวเลือกห้ามซิงก์ข้ามอุปกรณ์ (non-exportability) ซึ่งจำเป็นสำหรับการยืนยันตัวตนระดับ AAL3

X ประกาศว่ากำลังจะรองรับ Passkey บนแอปเวอร์ชันแอนดรอยด์ หลังเปิดให้ผู้ใช้ iOS ในสหรัฐฯ ได้ลองไปก่อนในเดือนมกราคม และเปิดให้ผู้ใช้ iOS ทั่วโลก ได้ใช้ในเดือนเมษายน

Passkey เริ่มได้รับความนิยมจากผู้ให้บริการออนไลน์ตั้งแต่ช่วงปลายปีที่ผ่านมา เพราะช่วยลดความเสี่ยงจากการกรอกรหัสผ่าน ด้วยการยืนยันผ่านอุปกรณ์เข้ารหัสแทน ซึ่งมีความปลอดภัยมากกว่าวิธียืนยันตัวตนสองขั้นตอนแบบอื่น

Twilio เจ้าของแอป Authy ที่ใช้สำหรับการยืนยันตัวตนสองขั้นตอน (2FA) ยืนยันเหตุการณ์ข้อมูลผู้ใช้งานรั่วไหล โดยพบการเข้าถึงข้อมูลบัญชีผู้ใช้งานรวมทั้งเบอร์โทรศัพท์ เนื่องจาก API ที่ endpoint เป็นแบบไม่ปลอดภัย ซึ่ง Twilio ได้แก้ไขปัญหาดังกล่าวไปแล้ว การเข้าถึงด้วยวิธีดังกล่าวไม่สามารถทำได้อีก

Twilio บอกว่ายังไม่พบการเข้าถึงข้อมูลอ่อนไหวอื่นของผู้ใช้งาน โดยแนะนำให้ผู้ใช้งาน Authy บนสมาร์ทโฟนทั้ง iOS และ Android อัปเดตเป็นเวอร์ชันล่าสุดที่มีการแก้ไขช่องโหว่ความปลอดภัยนี้

Red Hat ประกาศรองรับการล็อกอินแบบ Passkey ในระบบปฏิบัติการ Red Hat Enterprise Linux 9.4 เวอร์ชันล่าสุด ถือเป็นระบบปฏิบัติการองค์กรที่รองรับเทคโนโลยีการยืนยันตัวตนยุคใหม่ 3 มิติ ได้แก่

AWS ประกาศเพิ่มฟีเจอร์ Passkey สำหรับการล็อกอินเข้าระบบด้วยกุญแจ USB, โทรศัพท์มือถือผ่านบัญชี Google/Apple, ล็อกบัญชีเข้ากับอุปกรณ์ที่รองรับ FIDO

แม้ว่า Passkey จะใช้แทนรหัสผ่านไปได้เลย แต่ตอนนี้ AWS ก็เลือกที่จะใช้รหัสผ่านต่อไป โดยใช้ Passkey เป็นแค่การล็อกอินขั้นที่สอง หน้าจอคอนโซลของ AWS เปิดให้เพิ่ม Passkey เข้าระบบเพิ่มขึ้นได้เรื่อยๆ ไม่จำกัดจำนวนอุปกรณ์

การเพิ่มฟีเจอร์ครั้งนี้มาพร้อมกับการบังคับว่า root account จะต้องล็อกอินสองขั้นตอนเท่านั้น โดยยังบังคับเฉพาะ root account ของ AWS Organization ก่อนโดยจะค่อยๆ ไล่บังคับไปจนครบภายในปีนี้

ไมโครซอฟท์ประกาศเปลี่ยนวิธีการล็อกอินบัญชีอีเมลส่วนตัว Outlook.com, Hotmail.com, Live.com จากระบบเดิม Basic Auth ที่ใช้เพียงชื่อผู้ใช้-รหัสผ่าน มาเป็นระบบการล็อกอินแบบใหม่ Modern Authentication ที่ตรวจสอบตัวตนเข้มข้นขึ้น เช่น ต้องยืนยันผ่าน 2FA, มีระบบขอสิทธิเข้าถึง, มีระบบป้องกัน brute force เพิ่มเข้ามา

ผู้ใช้บัญชีอีเมลเหล่านี้ผ่านหน้าเว็บโดยตรง หรือผ่านแอพอีเมลของไมโครซอฟท์ (Outlook บนแพลตฟอร์มต่างๆ) จะไม่ได้รับผลกระทบใดๆ

ไมโครซอฟท์ประกาศรองรับการยืนยันตัวตนด้วย Passkey มีผลกับบัญชี Microsoft ผู้ใช้งานกลุ่ม Consumer ทุกคน เพื่อร่วมฉลองวันรหัสผ่านโลกหรือ World Password Day วันนี้

ทั้งนี้ไมโครซอฟท์สนับสนุนแนวทางล็อกอินแบบไม่ต้องใช้รหัสผ่านมานาน เริ่มจาก Windows Hello ใน Windows 10 ตั้งแต่ปี 2015 มาถึงการประกาศความร่วมมือผลักดันร่วมกับ Google และ Apple ในปี 2022 และรองรับ Passkey บน Windows 11 เมื่อปีที่แล้ว

กูเกิลรายงานความก้าวหน้าของ Passkey ซึ่งเป็นการยืนยันตัวผ่านอุปกรณ์แทนที่การล็อกอินด้วยรหัสผ่าน เนื่องในวันรหัสผ่านโลก (World Password Day) ซึ่งตรงกับวันพฤหัสแรกของเดือนพฤษภาคมทุกปี

กูเกิลบอกว่าตอนนี้มีการเปิดใช้งาน Passkey บนบัญชีของกูเกิล (Google Account) แล้ว มากกว่า 400 ล้านบัญชี มีการล็อกอินยืนยันตัวตนมากกว่า 1 พันล้านครั้ง

นอกจากนี้กูเกิลยังเตรียมรองรับการใช้ Passkey สำหรับผู้ใช้งานที่มีความเสี่ยงสูง โดยเพิ่ม Advanced Protection Program (APP) ซึ่งจะใช้ฮาร์ดแวร์ยืนยันตัวตนเพิ่มอีกหนึ่งชั้น

X หรือ Twitter ประกาศรองรับการล็อกอินบัญชีด้วย Passkey สำหรับผู้ใช้ iOS ทั่วโลกแล้ว หลังจาก เปิดให้ใช้งาน เฉพาะในสหรัฐอเมริกาก่อนหน้านี้ ส่วนแพลตฟอร์มอื่นยังไม่มีประกาศว่าจะใช้งานได้เมื่อใด

Passkey เป็นการยืนยันตัวตนผู้ใช้งาน โดยลดความเสี่ยงจากการกรอกรหัสผ่าน มาเป็นการยืนยันผ่านอุปกรณ์เข้ารหัส ซึ่งมีความปลอดภัยมากกว่าวิธียืนยันตัวตนสองขั้นตอนแบบอื่น

Twillo ประกาศเร่งกระบวนการเลิกซัพพอร์ต Authy เวอร์ชั่นเดสก์ทอปจากเดิม ประกาศไว้เดือนสิงหาคมนี้ เหลือเพียงถึงวันที่ 19 มีนาคมนี้เท่านั้น

สำหรับผู้ใช้ที่ใช้งานแอปบนโทรศัพท์มือถืออยู่แล้วสามารถซิงก์ข้อมูลได้ทันที แต่หากต้องการย้ายไปแอปอื่นนั้น Authy ไม่มีช่องทางในการ export ข้อมูลออกไปภายนอกเลย ทำให้ผู้ใช้ต้องไปสั่งย้ายอุปกรณ์ 2FA ทีละบริการเอง

ที่มา - Authy

มีรายงานจาก Mark Gurman แห่ง Bloomberg เนื่องจากเฮดเซต Apple Vision Pro ต้องตั้งค่าเริ่มต้นเป็นรหัสปลดล็อก Passcode สำหรับยืนยันตัวตนผู้ใช้งาน แบบเดียวกับ iPhone, iPad ที่มักเป็นตัวเลข 6 หลัก แต่คำถามคือหากลืมรหัส Passcode นี้ จะกู้คืนเองได้หรือไม่?

คำตอบที่ Gurman ได้จากลูกค้าที่ลืมรหัสนี้ แล้วสอบถามไปทางแอปเปิลคือ ไม่สามารถกู้คืนหรือรีเซตได้เอง ต้องนำ Vision Pro มาแก้ไขที่ร้าน Apple Store เท่านั้น กรณีไม่สะดวกเดินทางไป ก็ให้ส่งสินค้ามาที่แอปเปิล

Twilio ผู้ให้บริการแอป Authy ประกาศหยุดการสนับสนุนการใช้งานเวอร์ชั่น Desktop ได้แก่ Windows, macOS และ Linux ทั้งนี้ผู้ที่ใช้งานเครื่อง Mac ชิปตระกูล Apple Silicon M1 และ M2 จะยังสามารถดาวน์โหลดและติดตั้งได้ แต่จะเป็นเวอร์ชั่นของ iOS แทน โดยจะมีผลในเดือนสิงหาคม 2567

Twilio ให้เหตุผลว่าต้องการเน้นพัฒนาเวอร์ชั่นมือถือที่เป็นบริการหลัก กับความต้องการใช้งานที่มากขึ้นในปัจจุบัน และแนะนำให้เปิดการตั้งค่ารหัสผ่านเพื่อซิงค์ไว้ใช้งานกับมือถือ

สำหรับลูกค้าที่ใช้งาน Authy API จะได้รับผลกระทบจากการปิดบริการ Desktop เช่นกัน โดยต้องแจ้งผู้ใช้งานเปลี่ยนมาใช้แอป Authy บนมือถือก่อนจะปิดบริการในเดือนสิงหาคม 2567

X หรือ Twitter ประกาศรองรับการล็อกอินเข้าใช้บัญชีด้วย Passkey ซึ่งเป็นการยืนยันตัวตนด้วยอุปกรณ์ มีความปลอดภัยมากกว่าวิธียืนยันตัวตนสองขั้นตอนแบบอื่น และแพลตฟอร์มใหญ่ต่างออกมาสนับสนุนแนวทางนี้ให้แพร่หลายขึ้น

อย่างไรก็ตาม X บอกว่า Passkey ตอนนี้รองรับเฉพาะแอป iPhone สำหรับผู้ใช้งานในสหรัฐอเมริกาเท่านั้น โดยไม่ได้บอกแผนว่าจะขยายมา Android หรือเพิ่มประเทศหรือไม่และเมื่อใด

ปัจจุบันมีแพลตฟอร์มใหญ่หลายรายที่รองรับ Passkey เช่น Google , Amazon , WhatsApp , Apple เป็นต้น

กูเกิลเปิดตัวกุญแจ Titan Security Key รุ่นใหม่ รองรับ การล็อกอินด้วย Passkey ที่กูเกิลกำลังผลักดันเต็มตัว

กุญแจ Titan Security Key รุ่นใหม่มีทั้งแบบ USB-A และ USB-C โดยจะวางขายแทนกุญแจ U2F รุ่นเดิมที่วางขายในปัจจุบัน กุญแจทั้งสองรุ่นรองรับการเชื่อมต่อกับอุปกรณ์พกพาด้วย NFC และหน่วยความจำในตัวกุญแจสามารถเก็บคีย์ในระบบ Passkey ได้สูงสุด 250 คีย์ ซึ่งกูเกิลบอกว่าน่าจะครอบคลุมการใช้งานของคนทั่วไปแล้ว

ราคาขายรุ่น USB-A ตัวละ 30 ดอลลาร์ รุ่น USB-C ตัวละ 35 ดอลลาร์ ราคาต่างจากเวอร์ชันก่อนเล็กน้อย ที่เหมือนเดิมคือยังไม่มีขายในไทยอย่างเป็นทางการ

Mozilla ประกาศเปลี่ยนชื่อแบรนด์ Firefox Account มาเป็น Mozilla Account เพื่อสะท้อนว่าบัญชีสามารถใช้กับบริการอื่นๆ ในเครือ Mozilla ได้ด้วย เช่น Pocket หรือ Fakespot บริการตรวจสอบสินค้าน่าสงสัยที่ Mozilla เพิ่งซื้อกิจการมา

การเปลี่ยนแปลงมีผลเฉพาะชื่อแบรนด์เท่านั้น ตัวบัญชีไม่มีผลกระทบใดๆ ผู้ใช้สามารถล็อกอินใช้งานได้ตามปกติ

ไมโครซอฟท์ประกาศแผนการระยะยาวของ Windows ที่ต้องการลดการล็อกอินระยะไกลผ่าน NT LAN Manager (NTLM) ที่ใช้มายาวนานตั้งแต่ยุค Windows NT เปลี่ยนมาใช้โปรโตคอลที่ใหม่กว่าคือ Kerberos แทน

NTLM เป็นโปรโตคอลเก่าแก่ที่ใช้กันมานาน มีข้อดีเรื่องใช้ง่าย แต่ก็ถือว่าล้าสมัยแล้วตามมาตรฐานปัจจุบัน ขาดฟีเจอร์ด้านความปลอดภัยและการต่อขยายหลายอย่าง

กูเกิลประกาศผลักดันให้ผู้ใช้งานเปลี่ยนมาล็อกอินด้วย Passkeys มากขึ้น หลังจากประกาศรองรับมาตั้งแต่ เดือนพฤษภาคม โดยเมื่อผู้ใช้งานทำการล็อกอินเข้าบัญชี จะมีข้อความแจ้งแนะนำให้สร้าง Passkeys

ในข้อความแนะนำนั้น กูเกิลบอกว่าเมื่อใช้ Passkeys ผู้ใช้งานสามารถใช้ลายนิ้วมือ สแกนใบหน้า หรือระบบปลดล็อกหน้าจออุปกรณ์ เพื่อยืนยันตัวตน ซึ่งเป็นขั้นตอนที่ง่ายมากขึ้น กูเกิลบอกว่าวิธีการนี้เร็วกว่าการใส่รหัสผ่าน 40%

กูเกิลยังประกาศร่วมมือกับพาร์ทเนอร์ต่าง ๆ เพื่อนำ Passkeys มาใช้งานร่วมกับ Chrome และ Android เป้าหมายเพื่อลดการใส่รหัสผ่านให้มากที่สุด พร้อมประกาศให้อุตสาหกรรมต่าง ๆ เปลี่ยนมาใช้แนวทาง Passkeys กันให้มากขึ้นด้วย