Security

ทำความเข้าใจความหมายของ รหัสผ่าน (Password) แบบเข้ารหัส และ ไม่เข้ารหัส แตกต่างกันอย่างไร?

ปัจจุบัน ชื่อผู้ใช้ (Username) และ รหัสผ่าน (Password) ถูกใช้กับทุกบริการออนไลน์ที่ต้องการการยืนยันตัวตน ว่าเรามีสิทธิในการเข้าถึงข้อมูลต่างๆ หรือไม่

การเก็บข้อมูลผู้ใช้งาน เว็บไซต์ต่างๆ จะเก็บข้อมูลพื้นฐานเป็นชุด ดังนี้ Username และ Password และ เว็บไซต์ที่คำนึงถึงความปลอดภัย ควรเก็บข้อมูล รหัสผ่าน (Password) แบบเข้ารหัสเสมอ เพื่อป้องกันไม่ให้ข้อมูลของสมาชิกหลุดออกไปถึงบุคคลที่สาม ไม่ว่าจะโดยตั้งใจหรือไม่ตั้งใจก็ตาม

Outline บริการ VPN ที่สนับสนุนโปรแกรมโดย Google (ทำงานบน DigitalOcean หรือบริการคลาวด์อื่นๆ)

ข่าวเก่า Google เปิดให้ดาวน์โหลดโปรแกรม Outline บริการ VPN ที่พัฒนาโดย Jigsaw (บริษัทย่อยของ Google) ตัวโปรแกรม Outline แบ่งออกเป็น 2 ส่วนคือ Outline Manager และ Outline Beta (client)

  • Outline Manager เอาไว้จัดการเครือข่าย VPN และกำหนดผู้ใช้งาน
  • Outline Beta (client) โปรแกรมสำหรับการเชื่อมต่อ VPN โดยไม่ต้องแก้ไข Settings อะไรเลย

iTrueMart ต้นเหตุเก็บข้อมูลไม่รัดกุมใน Amazon S3 ลามถึงความน่าเชื่อถือของ Ascend

เรื่องมีอยู่ว่า.. วันก่อนมีรายงานข่าวนักวิจัยด้านความปลอดภัย พบว่าข้อมูลลูกค้าของทรู (ภาพสำเนาบัตร ปชช.) กว่า 4 หมื่นไฟล์ สามารถเขาถึงได้แบบสาธารณะ หากใครไปเจอ URL ที่เก็บข้อมูล

ข้อมูลดังกล่าว ถูกเก็บไว้ในเซิร์ฟเวอร์ Amazon S3. ซึ่งโดยปกติค่าเริ่มต้นของบริการ S3 จะถูกกำหนดให้เป็นส่วนตัว (Private), แต่ไฟล์ภาพสำเนาบัตรดังกล่าว กลับเปิดเป็นสาธารณะ (Public)

พบเว็บ Jaymart ไม่เข้ารหัส ข้อมูล "รหัสผ่าน" ของลูกค้า

ผู้เขียนได้สมัครบริการของบริษัท Jaymart ผ่านเว็บไซต์ Jaymart.co.th เพื่อเข้าใช้บริการ Enjoy Card/ประกันตัวเครื่องมือถือ และรับสิทธิพิเศษอื่นๆ

โดยหลังจากสมัครสมาชิกเรียบร้อย ระบบได้ส่งอีเมลยืนยันการดำเนินการสำเร็จ พร้อมบอกรายละเอียดชื่อสมาชิกพร้อมรหัสผ่านที่ระบุไว้

เปิดใช้งาน Google Prompt เพื่อใช้มือถือแทนรหัสผ่านในการเข้าถึงบัญชี

Google เริ่มใช้งาน Google Prompt มาระยะหนึ่งแล้ว สำหรับผู้ใช้งานที่ผูกบัญชี Gmail เข้ากับโทรศัพท์มือถือ โดยในหลายครั้ง ที่มีการ Sign in ลงชื่อเข้าใช้งาน ด้วยชื่ออีเมล และรหัสผ่าน ระบบจะส่งข้อความมาถามว่า Trying to sign in from another computer? (มีความพยายามเข้าถึงบัญชีจากคอมพิวเตอร์เครื่องอื่น?) เราก็สามารถกดปุ่ม YES หรือ NO เพื่อผ่านกระบวนการนี้

ล่าสุด หากผู้ใช้งาน เข้าไปในแผงควบคุมบัญชี "บัญชีของฉัน" (My Account) ในหมวดหมู่ "การลงชื่อเข้าใช้และความปลอดภัย" (Sign-in & security) จะพบหัวข้อ "ใช้โทรศัพท์เพื่อลงชื่อเข้าใช้" (Use your phone to sign in) เป็นตัวเลือกเพิ่มขึ้นมา จากเดิมที่ใช้เฉพาะ ชื่ออีเมล ร่วมกับรหัสผ่าน แต่การใช้มือถือในการเข้าถึงบัญชี จะไม่ต้องใส่รหัสผ่าน เพียงแค่ตอบ YES หรือ NO ในโทรศัพท์มือถือเท่านั้น

วิธีเปิดใช้งาน Two-Factor Authentication ด้วย Google Authenticator สำหรับ Facebook

Two-Factor Authentication คืออะไร ?

ระบบ Two-Factor Authentication คือ ระบบการยืนยันตัวตนด้วย 2 ปัจจัย ในที่นี้ประกอบด้วย (1) รหัสผ่านปกติ และ (2) ปัจจัยอื่นที่ช่วยในการยืนยันตัวตน แล้วแต่ระบบที่ให้บริการ และผู้ใช้งานจะเลือกสิ่งไหนเป็นปัจจัยที่สอง

ทำไมต้องเปิดใช้งาน Two-Factor Authentication ?

เพราะในปัจจุบัน บัญชีออนไลน์มีความสำคัญกับชีวิตประจำวันมากขึ้น เป็นที่เก็บบันทึกเรื่องราวต่างๆ เป็นที่ติดต่อสื่อสารกับครอบครัว เพื่อนฝูง รวมถึงใช้งานการทำงาน และดำเนินการธุรกิจต่างๆ --- การป้องกันบัญชีออนไลน์ ด้วยรหัสผ่านปกติ เพียงอย่างเดียวอาจจะไม่เพียงพอในการป้องกันบัญชีออนไลน์ จากผู้ไม่ประสงค์ดี

หากผู้ใช้เผลอบอกรหัสผ่านบัญชีออนไลน์ไปยังบุคคลอื่น ก็มีสิทธิที่จะถูกสวมรอย หรือร้ายแรงถึงขั้นแฮกข้อมูล ขโมยข้อมูลไปใช้ โดยผู้ใช้อาจจะเข้าไม่ถึงบัญชีออนไลน์นั้นอีกเลย การเลือกเปิดใช้งาน Two-Factor Authentication จึงเป็นทางเลือกในการยืนยันตัวตน ก่อนเข้าใช้งานทุกครั้ง

มาดูวิธีการอัพเดท WordPress 4.7.2 ด้วยตัวเอง

ตอนนี้ ผู้ใช้งาน WordPress ที่รันด้วยโปรแกรมเวอร์ชั่นที่ต่ำกว่า 4.7.2 (ตามข่าวบอกว่า เวอร์ชั่นที่อยู่ในกลุ่มเสี่ยงคือ 4.7.0 และ 4.7.1) มีความเสี่ยงกันถ้วนหน้า หลังจากที่ WordPress ประกาศอุดช่องโหว่ความปลอดภัย และอัพเดทเป็น WordPress เวอร์ชั่น 4.7.2 ไปเมื่อต้นเดือน กุมภาพันธ์ 2560 ที่ผ่านมา

ล่าสุด มีข่าวแฮกเกอร์ทั่วโลก แห่แฮกเว็บ WordPress กันอย่างสนุกสนาน เว็บไซต์ blognone รายงานว่า ขณะนี้ (วันอาทิตย์ 12 กุมภาพันธ์ 2560) มีผู้ได้รับผลกระทบแล้ว มากกว่า 2 ล้านเพจ

อธิบายคำศัพท์ วิธีการกระทำความผิด ทางอินเทอร์เน็ต

ได้เข้าฟังบรรยายสาธารณะเรื่อง กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค (กิตติพงษ์ ปิยะวรรณโณ) ที่จัดโดย เครือข่ายพลเมืองเน็ต ไอลอว์ และ ศูนย์ทนายความเพื่อสิทธิมนุษยชน มีคำศัพท์เทคนิคหลายคำที่คาดว่าผู้ร่วมฟังบรรยายที่ไม่มีพื้นความรู้น่าจะแอบสงสัยอยู่บ้างว่ามันเป็นอย่างไรกันแน่

ในช่วงหนึ่งของการบรรยาย ผู้บรรยายพูดถึงเรื่อง วิธีการกระทำความผิด ซึ่งมีหัวข้อย่อยดังนี้

  • Social Hacking
  • Brute Force Attack
  • Distributed Denied of Service (DDoS)
  • Sniffing
  • SQL Injection
  • Cross Site Scripting (XSS)
  • Session Hijacking
  • Man in the Middle

Pages

Subscribe to RSS - Security