Nutanix เผยผลสำรวจองค์กรกว่า 73% ย้ายแอปจากพับลิกคลาวด์กลับ on-premise

Nutanix เปิดเผยผลสำรวจดัชนีการใช้งานคลาวด์องค์กร (Enterprise Cloud Index) โดยสำรวจผู้มีอำนาจด้านไอที 2,650 รายทั่วโลก ในประเด็นการใช้งานแอปทางธุรกิจบนระบบใดในปัจจุบัน, แผนในอนาคตและลำดับความสำคัญไปจนถึงความท้าทายในการใช้งานคลาวด์ ซึ่งมีทั้งรายงานทั่วโลกและเฉพาะของประเทศไทย

ส่วนข้อมูลทั่วโลกที่น่าสนใจคือ ผู้ตอบสำรวจกว่า 73% ระบุว่าได้ย้ายแอปพลิเคชันของตัวเองกลับจากพับลิกคลาวด์มายัง on-premise สาเหตุสำคัญคือเรื่องของค่าใช้จ่าย ที่ควบคุมไม่ได้และ/หรือมากเกินกว่าที่ประเมินไว้ ขณะที่ 85% ของผู้ตอบระบุว่าไฮบริดคลาวด์คือสถาปัตยกรรมที่ดีที่สุด (ideal) และ 60% ระบุว่าความปลอดภัยคือปัจจัยสำคัญในการพิจารณาการใช้งานคลาวด์

ขณะที่ผลสำรวจของประเทศไทยก็เห็นแนวโน้มแบบเดียวกัน ที่ผู้ตอบกว่า 52% ระบุว่าจะเปลี่ยนไปใช้งานไฮบริดคลาวด์ภายใน 3-5 ปี แม้ตอนนี้จะมีเพียง 15% ของผู้ตอบแบบสำรวจเท่านั้นที่ใช้ไฮบริด โดยดาต้าเซ็นเตอร์ยังมีสัดส่วนการใช้งานเยอะที่สุดที่ 59% ของผู้ตอบแบบสำรวจ

ที่น่าสนใจคือ คุณสมบัติของคลาวด์ที่บ้านเราให้ความสำคัญสูงกว่าค่าเฉลี่ยทั่วโลกและเอเชียแปซิฟิกคือเรื่อง ความสามารถในการสเกลเพื่อรองรับทราฟฟิคที่สูงในบางช่วงเวลา อย่างไรก็ตามประเด็นที่บ้านเราไม่ให้ความสำคัญคือเรื่อง vendor lock-in ขณะที่ระบบความปลอดภัย การขาดแคลนบุคลากรที่มีทักษะด้านไอที และเรื่องกฎระเบียบเป็นความกังวลระดับต้นๆ ของบริษัทในไทย ซึ่งเป็นไปในแนวทางเดียวกันกับแนวโน้มทั่วโลก

หากสนใจสามารถดู Enterprise Cloud Index

ที่มา: Blognone

เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank

MalwareHunter ได้เปิดเผยมุขใหม่ของคนร้ายที่ทำ Phishing หวังเล่นงานเหยื่อที่ใช้บริการของ Citibank ดังนั้นเป็นหน้าที่ของเราที่ต้องติดตามพฤติกรรมเช่นนี้ให้ไม่ตกเป็นเหยื่อครับ

credit : BleepingComputer

แม้ว่าจะไม่ทราบวิธีการนำเสนอหน้า Phishing สู่เหยื่อว่าอาจเป็นทางอีเมล, SMS หรือช่องทางอื่นๆ แต่จากการวิเคราะห์หน้าเพจ Phishing ที่ชื่อ update-citi.com (รูปประกอบด้านบน) พบขั้นตอนดังนี้

• คนร้ายได้ใช้ TLS Certificate ทำให้ขึ้นรูปกูญแจเสมือนว่าเป็นเว็บจริง ซึ่งอันที่จริงแล้วมีค่าแค่ว่าเว็บนี้เข้ารหัสเท่านั้น แต่ถ้าผู้ใช้งานสังเกตก็สามารถกดเข้าไปดูรายละเอียดของ Certificate ได้
• คนร้ายมีหน้าร้องขอข้อมูลหลายแบบโดยขอข้อมูล เช่น ชื่อ-นามสกุล วันเกิด ที่อยู่ เลข 4 หลักของเลขประกันสังคม และข้อมูลบัตรทางการเงิน
• ข้อมูลที่ได้มาจะถูกส่งไปหาเซิร์ฟเวอร์ของคนร้ายและทำทีเหมือนกำลัง Submit
• คนร้ายใช้ข้อมูลจริงที่ได้ไปล็อกอินเว็บจริงของธนาคาร ซึ่งหากมีการป้องกันแบบ 2-factors ผู้ใช้งานจะได้รับ OTP จริงจากธนาคาร
• เพจปลอมร้องขอ OTP เพื่อไปใช้เข้ายึดบัญชีหรือทำกิจกรรมอันตรายได้อย่างสมบูรณ์
• Redirect เหยื่อไปยังหน้าจริงของธนาคารและทิ้งไว้กลางทางอย่างงงๆ

credit : BleepingComputer

จะเห็นได้ว่าคนร้ายได้ใช้ทั้ง Certificate และร้องขอ OTP จากเซิร์ฟเวอร์จริงด้วยซ้ำ หากใครไม่ระวังก็จะถูกแฮ็กบัญชีได้ อย่างไรก็ตามผู้ใช้งานยังสามารถป้องกันตัวเองได้จากการเข้าลิงก์ที่มาจากธนาคารโดยตรงครับ

ที่มา: TechTalk

บริษัท AI เผยการทดสอบ ใช้หน้ากาก 3 มิติหลอกระบบ Face Recognition ได้

การใช้รูปหรือตัวปลอมหลอกระบบ Facial Recognition เป็นประเด็นที่ถูกหยิบยกมาพูดถึงอยู่บ่อยครั้งในแง่ความปลอดภัยและความน่าไว้วางใจของเทคโนโลยี ล่าสุด Kneron บริษัทที่พัฒนา AI ได้ทดสอบหลอกระบบ Facial Recognition ที่ถูกใช้งานในที่สาธารณะด้วยหน้ากาก 3 มิติที่พิมพ์หน้าบุคคลอื่นไว้

นักวิจัยทดสอบทั้งระบบตรวจคนเข้าเมืองในสนามบิน Schiphol กรุงอัมสเตอร์ดัม และระบบจ่ายเงินด้วยใบหน้าของทั้ง Alipay และ WeChat ในจีน ซึ่งทุกระบบถูกหลอกได้ด้วยหน้ากาก 3 มิติที่นักวิจัยพิมพ์มา และแน่นอนว่าการทดสอบทั้งหมดได้รับอนุญาตจากเจ้าหน้าที่แล้ว นักวิจัยก็ย้ำด้วยว่าการมีเจ้าหน้าที่คอยดูแลบริเวณระบบตรวจสอบน่าจะช่วยป้องกันการใช้หน้ากากแบบนี้ได้

อย่างไรก็ตามระบบสแกนใบหน้าของแอปเปิลอย่าง Face ID หรือของ Huawei กลับผ่านการทดสอบนี้ (ไม่ถูกหลอก) เพราะใช้เทคโนโลยีที่เรียกว่า Structured Light Imaging ในการเก็บรูปใบหน้าแบบ 3 มิติด้วยการอาศัยแพทเทิร์นของแสงที่กระทบ

ที่มา: Blognone

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง

ล่าสุด Microsoft ได้ออกมาเปิดเผยถึง 3 เทคนิคการโจมตีแบบ Phishing อันชาญฉลาดและมีความแนบเนียนซึ่งมีผู้ตกเป็นเหยื่อจำนวนมาก ดังนี้

1. ป่วนผลการค้นหาของ Search Engine

Phishing แบบแรกนี้อาศัยการโจมตีหลายขั้นตอนเพื่อป่วนผลการค้นหาของ Google ดังนี้

• แฮ็กเกอร์รวมทราฟฟิกที่ไฮแจ็กมาจากเว็บไซต์ปกติทั่วไปมายังเว็บไซต์ที่ตนเองดูแลอยู่
• เว็บไซต์นั้นๆ กลายเป็นผลลัพธ์ของการค้นหาที่อยู่บนสุดของ Google สำหรับคีย์เวิร์ดบางอย่าง
• แฮ็กเกอร์ส่งอีเมลไปยังเหยื่อพร้อมกับลิงค์ที่เชื่อมโยงไปยังการค้นหาคีย์เวิร์ดนั้นๆ บน Google
• ถ้าเหยื่อคลิกลิงค์การค้นหาคีย์เวิร์ดที่ส่งมา และเลือกเว็บไซต์บนสุด จะกลายเป็นการเข้าถึงเว็บไซต์ที่แฮ็กเกอร์ควบคุมอยู่
• เว็บไซต์ดังกล่าวจะเปลี่ยนเส้นทางของเหยื่อไปยังเว็บ Phishing

Microsoft ยังระบุอีกว่า การป่วนผลลัพธ์การค้นหาของ Google ให้ขึ้นไปติดอันดับบนสุดนั้นไม่ได้ยากอย่างที่คิด ถ้าใช้คีย์เวิร์ดแปลกๆ ที่ไม่มีคนค้นหากัน เช่น “hOJoXatrCPy.” นอกจากนี้ แฮ็กเกอร์ยังพรางการโจมตีโดยใช้การค้นหาตามสถานที่อีกด้วย เช่น จะแสดงผลเว็บ Phishing ก็ต่อเมื่อคลิกลิงค์ค้นหาคียเวิร์ดในทวีปยุโรปเท่านั้น เป็นต้น

2. ใช้ประโยชน์จากหน้า 404 Page Not Found

อีเมล Phishing มักมาพร้อมกับ Phishing URL สำหรับหลอกเหยื่อให้ตกหลุบพราง แต่ในเดือนสิงหาคมที่ผ่านมา Microsoft ได้ตรวจพบแคมเปญ Phishing ที่แนบลิงค์ที่ชี้ไปยังเว็บเพจที่ไม่มีอยู่จริง เมื่อระบบรักษาความมั่นคงปลอดภัยของ Microsoft สแกนลิงค์ดังกล่าว จะได้รับการคืนค่าเป็น 404 Page Not Found ส่งผลให้ระบบจำแนกว่าลิงค์นั้นเป็นลิงค์ที่มีความปลอดภัย อย่างไรก็ตาม ถ้าเหยื่อ (ที่เป็นผู้ใช้จริงๆ ) เข้าถึง URL นั้นๆ เว็บ Phishing จะปลี่ยนเส้นทางไปยังหน้า Phishing แทนที่จะเป็นหน้า 404 Page Not Found

3. Phishing แบบ Man-in-the-Middle

Microsoft ระบุว่า Phishing รูปแบบนี้เป็นการยกระดับการปลอมตัวไปอีกขั้น โดยแทนที่แฮ็กเกอร์จะคัดลอกองค์ประกอบต่างๆ จากเว็บไซต์ต้นฉบับที่ต้องการปลอม กลายเป็นมีคนกลาง (Man-in-the-Middle) ทำการดักจับข้อมูลของบริษัทที่ต้องการจะปลอม เช่น โลโก้, แบนเนอร์, ข้อความ และภาพพื้นหลัง จาก Rendering Site ของ Microsoft แทน ซึ่งผลลัพธ์ที่ได้แทบจะเหมือนกับการเข้าเว็บไซต์ต้นฉบับทุกประการ เพิ่มความแนบเนียนได้เป็นอย่างมาก อย่างไรก็ตาม เทคนิคนี้ยังคงมีช่องโหว่ตรง URL ที่ยังคงเป็นของเว็บ Phishing ทำให้เหยื่อสามารถตรวจจับและหลีกเลี่ยงได้ถ้าระมัดระวังเพียงพอ

ที่มา: TechTalk

รู้จัก LINE Brain โครงการพัฒนาเทคโนโลยี AI ของ LINE, สร้างฟอนต์เลียนแบบลายมือเราได้

ในยุคที่บริษัทไอทีทุกแห่งหันมาทำเรื่อง AI กันอย่างจริงจัง โฟกัสคงไปอยู่ที่บริษัทฝั่งอเมริกัน-จีนเสียเป็นส่วนใหญ่ แต่จริงๆ แล้ว LINE ในฐานะบริษัทเทคโนโลยีฝั่งเอเชีย (ลูกผสมเกาหลี-ญี่ปุ่น) ก็มีโครงการด้าน AI อย่างจริงจัง โดยใช้ชื่อว่า LINE Brain

ตัวอย่างผลงานของ LINE Brain ที่เปิดให้ใช้กันแล้วคือ ฟีเจอร์ OCR แปลงรูปเป็นข้อความ พร้อมแปลภาษาให้ในตัว แต่ LINE ยังมีงานวิจัยด้านอื่นๆ อีกมาก ไม่ว่าจะเป็นเทคโนโลยีด้านเสียง วิดีโอ รูปภาพ ภาษา วิเคราะห์ใบหน้า

ในงาน LINE Developer Day 2019 มีเดโมของเทคโนโลยีบางตัวมาโชว์ให้ดูกัน

ตัวอย่างงานด้าน AI ของ LINE คือฟีเจอร์ Smart Channel ที่เป็นการ "แนะนำข้อมูล" ด้านบนสุดของหน้ารวมแชท (บ้านเรายังเป็นข่าวจาก LINE Today แต่ในญี่ปุ่นมีมากกว่านั้น เช่น สภาพอากาศ) ตรงนี้ใช้ระบบ recommendation engine ที่เกิดจากการทำ machine learning ทั้งฝั่งความสนใจของผู้ใช้ และรูปแบบของตัวคอนเทนต์ในระบบ แล้วค่อยมา match กัน

งานด้าน OCR เป็นสิ่งที่ทีม LINE Brain ให้ความสำคัญมาก โดยนำเดโมการใช้กล้องมือถืออ่านป้ายข้อความในโลกความเป็นจริง (ส่วนใหญ่เป็นภาษาญี่ปุ่น จากกลางเมืองโอซาก้า) และได้ความแม่นยำสูง เทคโนโลยีของ LINE คุยว่าแม่นยำกว่า Google Vision API ด้วยซ้ำ

เดโมอีกอันที่ LINE นำมาโชว์บนเวทีคือ การอ่านลายมือของมนุษย์ เรียนรู้แล้วสามารถเขียนลายมือแทนเราได้เลย (เหมาะกับการคัดข้อความส่งการบ้านมากๆ) ในเดโมบนเวทีนำเครื่องจักรมาจับปากกา แล้วเขียนลายมือให้ดูกันสดๆ ด้วย

เดโมอีกอันเป็นเรื่องเสียงพูด โดยมี LINE Duet บ็อตสำหรับคุยโทรศัพท์จองร้านอาหาร (เป็นภาษาญี่ปุ่น) ลักษณะคล้ายกับ Google Duplex เดี๋ยวเขียนเป็นข่าวแยกอีกอันครับ

สุดท้าย LINE ระบุว่าจะเปิดเทคโนโลยี AI ของทีม LINE Brain ให้บริษัทอื่นๆ ใช้งานด้วย (ตามที่เคยประกาศไว้ก่อนหน้านี้) ถือเป็นครั้งแรกๆ ที่ LINE หันมาทำธุรกิจแบบ B2B นอกจากการให้บริการกับคอนซูเมอร์โดยตรง ด้วยเหตุผลว่างานด้าน AI ยังใหม่ การพัฒนาผลิตภัณฑ์ฝั่งคอนซูเมอร์ต้องใช้เวลานาน เพราะลูกค้าคอนซูเมอร์ก็ยังไม่เข้าใจตัวเองมากนักว่าอยากได้ผลิตภัณฑ์แบบไหน ต่างกับฝั่งลูกค้าองค์กรที่มี requirement ชัดเจน ทำให้ LINE เองก็เรียนรู้ไปด้วยว่าเทคโนโลยี AI มีจุดอ่อนยังไง เพื่อให้ปรับปรุงได้เร็วขึ้น

ที่มา: Blognone

IBM รายงานการใช้แมคในบริษัทเทียบกับ Windows พนักงานลาออกน้อยกว่า 17%, ผลประเมินพนักงานดีกว่า 22%

ไอบีเอ็มรายงานผลการใช้เครื่องแมคในบริษัทที่เริ่มโครงการมาตั้งแต่ปี 2015 และหลังจากนั้นก็รายงานว่าค่าใช้จ่ายถูกลง ตอนนี้รายงานระยะยาวก็แสดงให้เห็นแนวโน้มการประหยัดค่าใช้จ่ายที่ชัดเจน

ประเด็นที่น่าประหลาดใจคือ ไอบีเอ็มติดตามประสิทธิภาพการทำงานพนักงานโดยรวม พบว่าพนักงานที่ได้รับผลประเมินเกินคาดหวัง (exceed expectations) ฝั่งที่ใช้แมคนั้นสูงกว่าวินโดวส์ถึง 22%, ยอดขายเฉลี่ยของพนักงานใช้แมคดีกว่า 16%, และอัตราการลาออกของพนักงานใช้แมคต่ำกว่าวินโดวส์ 17%

ในแง่ของการซัพพอร์ต ไอบีเอ็มใช้วิศวกรซัพพอร์ต 7 คนต่ออุปกรณ์แมค 200,000 ชิ้น ขณะที่วินโดวส์ใช้ 20 คน กระบวนการอัพเดตมีอัตราพึงพอใจสูงกว่า, และอัตราการขอซัพพอร์ตหน้าเครื่องของแมคน้อยกว่าวินโดวส์ถึง 5 เท่าตัว

ที่มา: Blognone

โดรนของบริษัท Wing ได้ให้บริการส่งมอบสินค้าเชิงพาณิชย์ครั้งแรกที่เวอร์จิเนียในสหรัฐ

ขณะนี้ Wing บริษัทลูกของ Alphabet ได้ให้บริการส่งมอบสินค้าในเวอร์จิเนียแล้ว โดยเริ่มจากส่งขนมขบเคี้ยวและผลิตภัณฑ์ดูแลสุขภาพให้กับผู้ที่พักอาศัยในเมืองคริสเตียนเบิร์กรัฐเวอร์จิเนีย ซึ่งเป็นการใช้โดรนส่งมอบสินค้าเชิงพาณิชย์เป็นครั้งแรกในสหรัฐอเมริกา หลังจากที่บริษัทได้รับอนุมัติจากรัฐบาลและร่วมมือกับ Walgreens บริษัทดำเนินกิจการร้านขายยา ผลิตภัณฑ์ดูแลสุขภาพและยา และ FedEx บริษัทขนส่งสินค้าสัญชาติอเมริกัน

เมื่อเมษายนที่ผ่านมา Wing เป็นเจ้าของสายการบินโดรนเชิงพาณิชย์รายแรกที่ได้การรับรองโดย สำนักงานบริหารการบินแห่งชาติสหรัฐ (Federal Aviation Administration : FAA) ที่มีแนวคิดส่งมอบยาและอาหารจากร้านสะดวกซื้อใกล้บ้านไปส่งให้ลูกค้าถึงบ้านได้อย่างปลอดภัยมากกว่าการใช้บริการรถขนส่ง

Wing เปิดเผยว่าการส่งมอบด้วยโดรนจะช่วยลดจำนวนรถยนต์และรถบรรทุกบนท้องถนน ซึ่ง Wing จะพยายามส่งมอบสินค้าภายในไม่กี่นาทีสำหรับคำสั่งซื้อจากผู้พักอาศัยในเมืองคริสเตียนเบิร์ก และฟรีค่าธรรมเนียมในการจัดส่งอีกด้วย

Wing ได้โพสต์วิดีโอตัวอย่างการให้บริการกับครอบครัวคู่สามีภรรยาสูงอายุและครอบครัวที่มีเด็กเล็ก ซึ่งใช้สมาร์ตโฟนเลือกรายการสินค้าที่ต้องการให้จัดส่ง จากนั้นจะเห็นพนักงานจัดวางสินค้าลงในกล่องกระดาษแข็งที่คล้ายกับ Happy Meal ขนาดใหญ่ แล้วนำไปเกี่ยวกับคลิปสีเหลืองที่ห้อยลงจากโดรนและค่อยถูกดึงขึ้นไปด้านบนล็อกเข้ากับตัวโดรนแล้วบินออกไปส่งยังลูกค้า

โดรนจะบินไปยังบ้านลูกค้าแล้วหย่อนกล่องลงไปให้ลูกค้าที่กำลังรออยู่ ซึ่งคู่สามีภรรยาสูงอายุได้รับด้ายและผ้าพันแผล ส่วนครอบครัวที่มีเด็กเล็กได้รับขนมขนมขบเคี้ยว แล้วเด็กก็ชี้ไปบนท้องฟ้าเพื่อกล่าวลาโดรนที่กำลังบินจากไป

ที่มา: Beartai

Amazon ย้ายฐานข้อมูลทั้งบริษัทออกจาก Oracle แล้ว, ถึงขั้นเปิดแชมเปญฉลองชัย

Amazon กับ Oracle กลายเป็นคู่กัดคู่ใหม่ของวงการไอที เหตุเพราะบริการด้านคลาวด์กลายเป็นคู่แข่งกัน ฝั่งของ Amazon ก็พยายาม เลิกใช้ฐานข้อมูล Oracle สำหรับงานในบริษัท

วันนี้ Amazon ประกาศว่าย้ายฐานข้อมูลของตัวเองออกจาก Oracle อย่างสมบูรณ์แล้ว (ยกเว้นซอฟต์แวร์ 3rd party บางตัวที่บังคับใช้ Oracle เท่านั้น)

หลายคนอาจสงสัยว่า Amazon ย้ายไปใช้ฐานข้อมูลอะไรแทน คำตอบคือย้ายไปใช้ฐานข้อมูลในเครือ AWS ทั้งหมด ขึ้นกับรูปแบบงาน ตั้งแต่ DynamoDB (NoSQL), Aurora (Relational เวอร์ชันทำเอง), Amazon RDS (MySQL/PostgreSQL เวอร์ชันคลาวด์) และ Amazon Redshift (data warehouse)

Amazon ระบุว่าต้องย้ายฐานข้อมูลภายในบริษัทจำนวนเกือบ 7,500 ฐาน ขนาดข้อมูลรวม 75 petabyte สามารถย้ายได้โดยแทบไม่ต้องมี downtime เลย

Amazon ยังคุยว่าหลังย้ายแล้วสามารถลดค่าใช้จ่ายลงได้ 60% จากเรตราคาพิเศษที่ Amazon ได้ส่วนลดจาก Oracle อยู่แล้ว ซึ่งลูกค้าทั่วไปที่ไม่ได้เรตนี้ ย้ายมาอยู่กับ AWS จะสามารถประหยัดค่าใช้จ่ายได้ถึง 90% ส่วนข้อดีอื่นๆ คือลด latency ลงได้ 40% และลดภาระของแอดมินฐานข้อมูลได้ 70%

จะด้วยเหตุผลเรื่องธุรกิจหรือความแค้นก็ไม่ทราบได้ แต่ Amazon ถึงขั้นทำคลิปฉลองการปิดฐานข้อมูล Oracle อันสุดท้าย และเปิดแชมเปญฉลองด้วย

โฆษณาคลาวด์ฝั่ง Oracle ก็ไม่ด้อยไปกว่ากัน

ที่มา: Blognone

สิงคโปร์ขีดเส้นตาย 1 กันยายนนี้ห้ามธุรกิจเก็บเลขบัตรประชาชนไว้ในระบบ ระบุให้ใช้เบอร์โทรศัพท์, username, หรือค่าแฮชแทน

กรรมการปกป้องข้อมูลส่วนบุคคลสิงคโปร์ (Personal Data Protection Commission - PDPC) ออกประกาศแจ้งเตือนว่าธุรกิจที่ไม่ได้ขออนุญาตเป็นพิเศษจะไม่มีสิทธิ์เก็บข้อมูลเลขบัตรประชาชนหลังจากวันที่ 1 กันยายนนี้ โดยต้องปรับเปลี่ยนกระบวนการทำงานให้ฐานข้อมูลในระบบไม่มีเลขบัตรประชาชนอีกต่อไป

กฎนี้ครอบคลุมถึงหมายเลขประจำตัวอื่นที่เปลี่ยนแปลงไม่ได้ เช่น หมายเลขใบเกิด, หมายเลขต่างด้าว, หรือหมายเลขอนุญาตทำงาน

คำแนะนำของ PDPC ระบุให้ธุรกิจปรับเปลี่ยนไปใช้กระบวนการระบุตัวผู้ใช้ด้วยวิธีการอื่น เช่น ชื่อผู้ใช้ที่ตั้งได้เอง, หมายเลขโทรศัพท์, หมายเลขประจำตัวที่สร้างโดยระบบ หรือหมายเลขบัตรประชาชนบางส่วน

แม้จะห้ามเก็บหมายเลขบัตรประชาชนไว้ในฐานข้อมูลตรงๆ แต่กฎนี้ยังอนุญาตให้เก็บเลข 3 ตัวท้ายและอีก 1 ตัวอักษรท้ายของหมายเลขบัตรประชาชน และค่าแฮชของเลขบัตรประชาชนได้ โดยในกรณีที่ต้องการตรวจสอบบัตรประชาชนก็สามารถสแกนบาร์โค้ดและแฮชข้อมูลทันทีเพื่อตรวจสอบจากค่าแฮชเอา

บริการที่จะได้รับผลกระทบจากเงื่อนไขนี้ ได้แก่ บริการสมาชิกของร้านต่างๆ, บริการซื้อสินค้าออนไลน์, ระบบบัตรเข้างาน และข้อกำหนดนี้ยกเว้นกิจการที่ต้องเก็บเลขบัตรประชาชนตามกฎหมาย เช่น สถานพยาบาลที่ต้องเก็บข้อมูลผู้ป่วย, โรงแรมที่ต้องเก็บข้อมูลผู้เข้าพัก ฯลฯ

ที่มา: Blognone

ไมโครซอฟท์ระบุ การเปิดใช้ multi-factor authentication ช่วยป้องกันการถูกแฮ็กบัญชีได้ถึง 99.9%

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

การทำ MFA อีกวิธีที่ยังถือว่าปลอดภัยอยู่คือการใช้กุญแจยืนยันตัวตน U2F ตามมาตรฐาน FIDO ที่เราต้องกดปุ่มจริงๆ บนกุญแจที่เสียบเข้าพอร์ต USB เพื่อเป็นการยืนยันว่าเราเป็นคนล็อกอินเข้าบัญชี ไม่ใช่คนที่รู้รหัสผ่านของเรา หรือหากไม่มีกุญแจ U2F ในแอนดรอยด์ก็มีป๊อปอัพให้กด Yes เวลาเราล็อกอินเข้าบัญชีกูเกิล หรือใน Pixel 3/3a สามารถกดปุ่ม power ของโทรศัพท์เพื่อยืนยันตนได้เช่นกัน

ด้าน Alex Weinert ผู้จัดการฝ่ายความปลอดภัยบุคคลของไมโครซอฟท์ออกมาบอกว่า "จากการศึกษาของเรา บัญชีผู้ใช้มีโอกาสถูกแฮ็กสำเร็จน้อยลงกว่า 99.9% หากเปิดใช้งาน MFA" และยังให้คำแนะนำว่าห้ามใช้รหัสผ่านที่เคยรั่วออกมาสู่สาธารณะ รวมถึงการใช้รหัสผ่านยาวมากๆ ก็ไม่ได้ช่วยสักเท่าไร

รหัสผ่านยาวๆ นั้นไม่มีประโยชน์มากนักเพราะปัจจุบันมีเทคนิคมากมายที่จะเอารหัสผ่านของผู้ใช้มาได้ เช่น phishing (หลอกให้ผู้ใช้กรอกรหัส) หรือ Credential Stuffing คือการนำรหัสผ่านที่หลุดจากบริการหนึ่งไปลองใช้กับบริการอื่นๆ หากผู้ใช้คนนั้นใช้รหัสผ่านซ้ำกันก็สามารถขโมยบัญชีได้ทั้งหมด

ไมโครซอฟท์ระบุว่ามีการพยายามล็อกอินโดยมิชอบมากกว่า 300 ล้านครั้งต่อวัน (เฉพาะบริการของไมโครซอฟท์เอง) และหากผู้ใช้เปิดใช้งาน MFA จะสามารถป้องกันการล็อกอินแบบนี้ได้

ที่มา: Blognone