วันพฤหัสบดีที่ 29 สิงหาคม พ.ศ. 2562

สิงคโปร์ขีดเส้นตาย 1 กันยายนนี้ห้ามธุรกิจเก็บเลขบัตรประชาชนไว้ในระบบ ระบุให้ใช้เบอร์โทรศัพท์, username, หรือค่าแฮชแทน

กรรมการปกป้องข้อมูลส่วนบุคคลสิงคโปร์ (Personal Data Protection Commission - PDPC) ออกประกาศแจ้งเตือนว่าธุรกิจที่ไม่ได้ขออนุญาตเป็นพิเศษจะไม่มีสิทธิ์เก็บข้อมูลเลขบัตรประชาชนหลังจากวันที่ 1 กันยายนนี้ โดยต้องปรับเปลี่ยนกระบวนการทำงานให้ฐานข้อมูลในระบบไม่มีเลขบัตรประชาชนอีกต่อไป


กฎนี้ครอบคลุมถึงหมายเลขประจำตัวอื่นที่เปลี่ยนแปลงไม่ได้ เช่น หมายเลขใบเกิด, หมายเลขต่างด้าว, หรือหมายเลขอนุญาตทำงาน

คำแนะนำของ PDPC ระบุให้ธุรกิจปรับเปลี่ยนไปใช้กระบวนการระบุตัวผู้ใช้ด้วยวิธีการอื่น เช่น ชื่อผู้ใช้ที่ตั้งได้เอง, หมายเลขโทรศัพท์, หมายเลขประจำตัวที่สร้างโดยระบบ หรือหมายเลขบัตรประชาชนบางส่วน

แม้จะห้ามเก็บหมายเลขบัตรประชาชนไว้ในฐานข้อมูลตรงๆ แต่กฎนี้ยังอนุญาตให้เก็บเลข 3 ตัวท้ายและอีก 1 ตัวอักษรท้ายของหมายเลขบัตรประชาชน และค่าแฮชของเลขบัตรประชาชนได้ โดยในกรณีที่ต้องการตรวจสอบบัตรประชาชนก็สามารถสแกนบาร์โค้ดและแฮชข้อมูลทันทีเพื่อตรวจสอบจากค่าแฮชเอา

บริการที่จะได้รับผลกระทบจากเงื่อนไขนี้ ได้แก่ บริการสมาชิกของร้านต่างๆ, บริการซื้อสินค้าออนไลน์, ระบบบัตรเข้างาน และข้อกำหนดนี้ยกเว้นกิจการที่ต้องเก็บเลขบัตรประชาชนตามกฎหมาย เช่น สถานพยาบาลที่ต้องเก็บข้อมูลผู้ป่วย, โรงแรมที่ต้องเก็บข้อมูลผู้เข้าพัก ฯลฯ

ที่มา: Blognone
ไม่มีความคิดเห็น:

ไมโครซอฟท์ระบุ การเปิดใช้ multi-factor authentication ช่วยป้องกันการถูกแฮ็กบัญชีได้ถึง 99.9%

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

การทำ MFA อีกวิธีที่ยังถือว่าปลอดภัยอยู่คือการใช้กุญแจยืนยันตัวตน U2F ตามมาตรฐาน FIDO ที่เราต้องกดปุ่มจริงๆ บนกุญแจที่เสียบเข้าพอร์ต USB เพื่อเป็นการยืนยันว่าเราเป็นคนล็อกอินเข้าบัญชี ไม่ใช่คนที่รู้รหัสผ่านของเรา หรือหากไม่มีกุญแจ U2F ในแอนดรอยด์ก็มีป๊อปอัพให้กด Yes เวลาเราล็อกอินเข้าบัญชีกูเกิล หรือใน Pixel 3/3a สามารถกดปุ่ม power ของโทรศัพท์เพื่อยืนยันตนได้เช่นกัน


ด้าน Alex Weinert ผู้จัดการฝ่ายความปลอดภัยบุคคลของไมโครซอฟท์ออกมาบอกว่า "จากการศึกษาของเรา บัญชีผู้ใช้มีโอกาสถูกแฮ็กสำเร็จน้อยลงกว่า 99.9% หากเปิดใช้งาน MFA" และยังให้คำแนะนำว่าห้ามใช้รหัสผ่านที่เคยรั่วออกมาสู่สาธารณะ รวมถึงการใช้รหัสผ่านยาวมากๆ ก็ไม่ได้ช่วยสักเท่าไร

รหัสผ่านยาวๆ นั้นไม่มีประโยชน์มากนักเพราะปัจจุบันมีเทคนิคมากมายที่จะเอารหัสผ่านของผู้ใช้มาได้ เช่น phishing (หลอกให้ผู้ใช้กรอกรหัส) หรือ Credential Stuffing คือการนำรหัสผ่านที่หลุดจากบริการหนึ่งไปลองใช้กับบริการอื่นๆ หากผู้ใช้คนนั้นใช้รหัสผ่านซ้ำกันก็สามารถขโมยบัญชีได้ทั้งหมด

ไมโครซอฟท์ระบุว่ามีการพยายามล็อกอินโดยมิชอบมากกว่า 300 ล้านครั้งต่อวัน (เฉพาะบริการของไมโครซอฟท์เอง) และหากผู้ใช้เปิดใช้งาน MFA จะสามารถป้องกันการล็อกอินแบบนี้ได้


ที่มา: Blognone
ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)