แสดงบทความที่มีป้ายกำกับ Security แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Security แสดงบทความทั้งหมด

วันพุธที่ 29 มกราคม พ.ศ. 2563

การส่งรหัส OTP ไปที่มือถืออาจไม่ปลอดภัย

การยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication, 2FA) หรือที่เรารูจักกันคือการส่งรหัสผ่านแบบใช้ครั้งเดียว (One Time Password, OTP) ผ่านมาทางมือถือเพื่อให้เราใช้รหัสนั้นเพื่อยืนยันตัวเราในการทำธุรกรรมออนไลน์เช่นการฝากเงินโอนเเงินถอนเงินทำได้โดยปลอดภัยมากขึ้น กว่าการใช้แค่รหัสผ่านของเราอย่างเดียว แต่นักวิจัยจาก Princeton University พบว่าวิธีการดังกล่าวอาจไม่ปลอดภัย เพราะเขาบอกว่าแฮกเกอร์สามารถใช้วิธีที่เรียกว่าการสลับซิม (SIM Swapping) ซึ่งก็คือการเอาซิมใหม่มา แล้วคัดลอกข้อมูลจากซิมเดิมไปใส่ซิมใหม่ จากนั้นก็กลายเป็นเจ้าของเบอร์ได้เลย ซึ่งจริง ๆ แล้วเป็นหน้าที่ของผู้ให้บริการมือถือที่จะต้องป้องกันไม่ให้มีการกระทำดังกล่าว แต่นักวิจัยพบว่าผู้ให้บริการมือถือขนาดใหญ่ของอเมริกาทั้งห้าแห่ง ไม่มีมาตรการรองรับที่ดีพอในเรื่องนี้ 

อ่านข่าวเต็มได้ที่: NewScientist

เพิ่มเติมเสริมข่าว:

แปลกใจที่อเมริกาเพิ่งมาตื่นเต้นกัน จริง ๆ เรื่องนี้ไม่ใช่เรื่องใหม่ของคนไทยเลยนะครับ เราเคยเห็นกรณีแบบนี้มาแล้วหลายครั้ง วิธีการก็ง่าย ๆ คือไปแจ้งว่าซิมหาย แล้วขอเปลี่ยนซิม แต่เมื่อเกิดเหตุการณ์ขึ้นตอนนี้ค่ายมือถือก็เข้มงวดขึ้นโดยขอบัตรประชาชนตัวจริงของผู้มาติดต่อทุกครั้ง ปัญหาแบบนี้ในบ้านเราก็เลยเงียบ ๆ ไป แต่ในอเมริกาเพิ่งมาตื่นเต้นกัน เราจะสรุปได้ไหมนะครับว่าไอ้เรื่องประยุกต์เทคโนโลบีไปในทางไม่ดีนี่ ไทยเราเก่งกว่าอเมริกาเยอะ  

วันพุธที่ 21 มีนาคม พ.ศ. 2555

การใช้รหัสผ่านล้าสมัยแล้ว

เราใช้รหัสผ่านเป็นพื้นฐานด้านความมั่นคงมาเป็นเวลานานแล้ว แต่ปัญหาของรหัสผ่านก็คือตัวผู้ใช้อาจตั้งรหัสผ่านที่เดาได้ง่าย หรืออาจใช้รหัสผ่านตัวเดียวกันกับเกือบทุกระบบตั้งแต่ Facebook ไปจนถึงระบบคอมพิวเตอร์ในที่ทำงาน ถึงแม้จะมีงานวิจัยที่แนะนำให้ตั้งรหัสผ่านที่มีความยาวตั้งแต่ 12 ตัวขึ้นไป และให้มีการผสมกันระหว่างตัวเลข อักขระ และอักขระพิเศษ แต่จะมีผู้ใช้สักกี่คนที่ทำตาม ยิ่งไปกว่านั้นต่อให้ผู้ใช้ทำตาม ก็ยังอาจจะถูกสารพัดวิธีที่รหัสผ่านอาจถูกขโมยไป เช่นถูกโทรจันมาแอบดักจับการกดแป้นพิมพ์ หรืออาจถูกหลอกไปเข้าเว็บ Phishing ดังนั้นอาจกล่าวได้ว่าน่าจะหมดยุคของการที่เราจะพึ่งพาความมั่นคงของระบบโดยใช้รหัสผ่านแล้ว ซึ่งวิธีการที่ดีกว่าก็อาจเป็นวิธีการที่บริษัทบัตรเครดิตใช้นั่นคือ การดูพฤติกรรมของผู้ใช้ โดยจะต้องมีระบบที่ติดตั้งเพื่อดูการใช้งานระบบของผู้ใช้ ถ้าผู้ใช้มีพฤติกรรมที่แปลก ๆ ไปจากเดิม เช่นส่งจดหมายเข้ารหัสไปยังที่อยู่ที่ดูไบ :) ก็น่าจะคิดได้ว่าเป็นพฤติกรรมที่น่าสงสัยที่จะต้องป้องกันและมีการสอบสวน

ระบบนี้ถ้าใช้จริงผมว่าน่าจะต้องมีปัญหาเรื่องละเมิดความเป็นส่วนตัวแน่ แต่ก็อย่างว่าแหละที่เราใช้ ๆ กันอยู่ทุกวันนี้ผมว่าเราก็คงโดนเก็บพฤติกรรม หรือข้อมูลการใช้งานจากระบบต่าง ๆ ไปไม่มากก็น้อยอยู่แล้ว และถ้าเรารู้เราก็โวยวายกันทีหนึ่ง เขาก็บอกว่าไม่เก็บแล้ว แต่จริง ๆ อาจแอบเก็บอีกก็ได้ ดังนั้นจะเก็บไปอีกสักหน่อยก็คงไม่เป็นไรหรอกมั๊ง หรือพวกเราว่ายังไงครับ ส่วนผมเป็นพวกมีพฤติกรรมแปรปรวนดังนั้นระบบนี้อาจมีปัญหากับผมก็ได้นะครับนี่ ...

ที่มา: TechRepublic

วันอาทิตย์ที่ 18 ธันวาคม พ.ศ. 2554

ขั้นตอนวิธีที่จะช่วยเพิ่มความปลอดภัยในระบบคลาวด์

นักวิจัยจาก Weizmann Institute และ Massachusetts Institute of Technology (MIT) กำลังจะประสบความสำเร็จในการพัฒนาขั้นตอนวิธีในการใช้งานข้อมูลที่ถูกเข้ารหัสอยู่โดยไม่ต้องถอดรหัสก่อน และหลังจากประมวลผลแล้วยังสามารถสร้างผลลัพธ์ที่อยู่ในรูปแบบการเข้ารหัสได้อีกด้วย ซึ่งงานวิจัยนี้มีการนำเสนอในปีพ.ศ. 2552 โดยนักวิจัยจากมหาวิทยาลัย Stanford คือ Craig Gentry ขั้นตอนวิธีที่เขานำเสนอนั้นมีชื่อว่า Fully Homomorphic Encryption (FHE) แต่ปัญหาของขั้นตอนวิธีนี้คือมันใช้เวลาในการทำงานนานมาก ซึ่งนักวิจัยจากทั้งสองสถาบันข้างต้นได้ปรับปรุงขั้นตอนวิธีการดังกล่าวให้ใช้เวลาประมวลผลน้อยลงโดยใช้วิธีการทางคณิตศาตร์ที่ีง่ายขึ้น ซึ่งตามข่าวบอกว่าอาจเร็วขึ้น 100 เท่า หรือ อาจถึง 1000 เท่า ผลที่ได้จากงานวิจัยนี้จะมีประโยชน์กับงานที่เกี่ยวข้องกับข้อมูล ซึ่งในปัจจุบันนี้ข้อมูลต่าง ๆ นิยมเก็บไว้ในระบบคลาวด์ โดยข้อมูลถึงจะเข้ารหัสเอาไว้แต่ในวิธีการใช้งานแบบดั้งเดิมถ้าจะใช้ข้อมูลต้องถอดรหัสข้อมูลก่อน ซึ่งในขั้นตอนนี้อาจเป็นปัญหาด้านความปลอดภัยได้ งานวิจัยนี้จึงน่าจะตอบโจทย์ในส่วนนี้ได้

ที่มา: Weizmann Wonder Wander

วันพฤหัสบดีที่ 21 เมษายน พ.ศ. 2554

รหัสผ่านง่าย ๆ ก็ปลอดภัยได้

ผมว่าพวกเราหลายคนก็คงทราบแล้วว่าการตั้งรหัสผ่านแบบง่าย ๆ นั้นเสี่ยงต่อการถูกแฮกได้ง่าย แต่หลายคนก็เลือกที่จะตั้งให้มันง่าย ๆ เข้าไว้ เพราะกลัวจะลืม นักวิจัยจาก Max Planck Institute เข้าใจปัญหานี้ดีครับ จึงได้คิดระบบที่จะช่วยให้รหัสผ่านง่าย ๆ ก็ปลอดภัยได้ เขาเรียกระบบนี้ว่า p-Captcha หลักการก็คือการนำเอา รหัสผ่าน และ CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) ซึ่งก็คือเจ้ารหัสที่หลาย ๆ เว็บไซต์สร้างขึ้นมาให้เราป้อนตามเพื่อให้เรายืนยันว่าเราเป็นคนมาผสมกัน คือเราสามารถตั้งรหัสผ่านง่าย ๆ ที่เราจำได้เพื่อใช้เป็นคีย์ ระบบจะเอารหัสผ่านของเราไปเข้ารหัสเพื่อให้ได้เป็นรหัสผ่านที่ยากแล้วทำให้อยู่ในรูป CAPTCHA จากนั้นระบบจะแปลง CAPTCHA ให้อยู่ในรูปแบบที่อ่านไม่รู้เรื่อง เมื่อเราต้องการจะใช้รหัสผ่านเพื่อเข้าเว็บไซต์ต่าง ๆ เราก็ป้อนรหัสผ่านง่าย ๆ ที่เราจำได้ที่เครื่องของเราผ่านโปรแกรม ซึ่งก็จะแปลง CAPTHCA ที่ถูกแปลงแล้วกลับมาเป็น CAPTCHA ที่อ่านได้ และเราก็ใช้รหัสผ่านที่อยู่บน CAPTCHA นั้นในการเข้าเว็บไซต์ต่าง ๆ ข้อจำกัดของวิธีนี้ในขณะนี้คือกระบวนการการแปลง CAPCTHA นั้นยังต้องใช้เครื่องที่มีประสิทธิภาพสูงเพื่อให้ได้ผลลัพธ์ออกมาในเวลาที่ไม่นานจนเกินไป ซึ่งนักวิจัยกำลังทดลองหาวิธีการที่จะปรับปรุงขั้นตอนวิธีเพื่อที่จะให้กระบวนการนี้ทำได้เร็วยิ่งขึ้นและปลอดภัยขึ้น

ที่ีมา: Max-Planck-Gesellschaft