៥ជំហានអនុវត្តន៍ពាក្យសម្ងាត់ដែលមានសុវត្ថិភាព

ពាក្យសម្ងាត់គឺជាកូនសោចូលទៅកាន់គណនីជាច្រើនរបស់យើង ដែលក្នុងគណនីនោះ មាននូវទិន្នន័យផ្ទាល់ខ្លួន និងរស៉ើប (sensitive)។ បើសិនជានរណាម្នាក់ មានពាក្យសម្ងាត់របស់ ពួកគេអាចប្រើប្រាស់គណនី និងសេវាកម្មនានាលើអនឡាញ ក្នុងនាមជាយើង។

តើមានហានិភ័យដែរឬទេ ពេលដែលអ្នកផ្សេងមានពាក្យសម្ងាត់របស់យើង?

៥ជំហានអនុវត្តន៍ពាក្យសម្ងាត់ដែលមានសុវត្ថិភាព

ជំហានទី១៖ ហេតុអ្វីបានជាពាក្យសម្ងាត់ – ១២:៣០នាទីជំហានទី២៖ តើអាចមានរឿងអ្វីខ្លះបើសិនពាក្យសម្ងាត់របស់យើងត្រូវបានបែកធ្លាយ – ១៥:៣៧នាទីជំហានទី៣៖ ជាទូទៅ តើពាក្យសម្ងាត់ត្រូវបានគេលួចយកដោយរៀបណា – ២១:៥៣នាទីជំហានទី៤៖ តើគេបង្កើតពាក្យសម្ងាត់ខ្លាំងដោយរបៀបណា? – ៣៨:១៧នាទីជំហានទី៥៖ ហេតុអ្វីក៏មនុស្សភាគច្រើនមិនប្រើប្រាស់ពាក្យសម្ងាត់ដែលខ្លាំង? – ៤៥:២៥នាទីសូមចុចលើតំណរភ្ជាប់ដើម្បីអានមើលពីចំណុចលំអិតពីជំហាននិមួយៗ៖https://www.mosesngeth.com/?p=2169

Posted by ង៉ែត ម៉ូសេ – Moses Ngeth on Monday, May 4, 2020

ជំហានទី១៖ ហេតុអ្វីបានជាពាក្យសម្ងាត់

  • ជំហានទី១៖ ហេតុអ្វីបានជាពាក្យសម្ងាត់
  • គណនីទាំងនេះមានផ្ទុកនូវព័ត៌មានរស៉ើបរបស់យើង ហើយវាអនុញ្ញាត ឲ្យយើង ធ្វើជាខ្លួនយើងឯង ហើយធ្វើការទាក់ទង និងប្រើប្រាស់សេវាកម្ម ឌីជីថលជាច្រើន ដែលមានដូចជា ការផ្ញើសារ ការទិញដូរលើអនឡាញ ជាដើម។
  • ពាក្យសម្ងាត់ក៏អនុញ្ញាតឲ្យយើងដើរតួជាអ្នកដទៃដែរ គឺថាគ្រប់គ្នាដែលមានពាក្យសម្ងាត់ ពួកគេអាចដើរតួជាម្ចាស់គណនីដើម។
  • ពាក្យសម្ងាត់ក៏អនុញ្ញាឲ្យយើងចូលទៅប្រើប្រាស់ឧបករណ៍មួយចំនួន ដូចជា ឧបករណ៍ wifi, កំព្យុទ័រ និងការដោះពាក្យសម្ងាចត់ដើម្បីប្រើប្រាស់ឯកសារ ដែលមានកូនីយកម្ម។

ជំហានទី២៖ តើអាចមានរឿងអ្វីខ្លះបើសិនពាក្យសម្ងាត់របស់យើងត្រូវបានបែកធ្លាយ

  • ឯកសារសំខាន់ៗត្រូវបានគេលួច (ចម្លង) ឬ លុប បើសិនជាឯកសារទាំងនោះត្រូវបានគេលួច អ្នកប្រហែលជាដឹង ឬមិនដឹងនៅក្នុងពេលភ្លាមៗនោះទេ។ ឯកសារសំខាន់ទាំងនោះរាប់ចាប់ពី ឯកសាររស៊ីប ដល់បញ្ជីទាក់ទង និងសារអ៉ីម៉ែល។
  • លុយកាក់ ឬជំនួយហិរញ្ញវត្ថុមអាចត្រូវបានគេលួចយក និងចាយវាយ តាមរយៈ Credit card និងកុងធនាគារ។
  • គណនីអ៉ីម៉ែល និងបណ្តាញសង្គមអាចទទួលបាននូវសារឥតប្រយោជន៍ ឬក៏ត្រូវបានគេយកទៅក្លែងបន្លំជាយើង ដើម្បីបោកបញ្ឆោត បងប្អូន មិត្តភិក្ត ឬក្រុមការងាររបស់យើង។
  • គណនីត្រូវបានគេប្រើប្រាស់មកជម្រិតទារប្រាក់ពីយើង ឬប្រើគណនីរបស់យើងចូលទៅប្រើប្រាស់គណនីផ្សេងទៀត។
  • អ្នកដែលមានពាក្យសម្ងាត់របស់យើងអាចប្រើប្រាស់វាក្នុងការតាមដានឃ្លាំងមើលការទំនាក់ទំនងរបស់យើងដែលយើងខ្លួនឯងមិនបានដឹង។
  • ការចូលបានទៅក្នុងអ៉ីម៉ែលរបស់យើង គឺជាការជះឥទ្ធិពលតគ្នា (domino effect) ដែលគេអាចធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់របស់យើងតាមរយៈការស្នើសុំនូវតំណរភ្ជាប់ពីសេវាកម្មដែលប្រើប្រាស់ ហើយធ្វើការរាងំខ្ទប់ (block ឬ lock) យើងដែលជាម្ចាស់គណនីដើម ដែលនេះវាកើតមានឡើងនៅពេលដែលយើងមិនដែលប្តូរពាក្យសម្ងាត់របស់យើងជាទៀងទាត់។
ក្នុងកម្មវិធី Jimmy Kimmel Live បានសាកសួរពាក្យសម្ងាត់មនុស្សនៅតាមផ្លូវ

ជំហានទី៣៖ ជាទូទៅ តើពាក្យសម្ងាត់ត្រូវបានគេលួចយកដោយរៀបណា

  • ពាក្យម្ងាត់ត្រូវបានសាមីខ្លួនចែករំលែកឲ្យអ្នកផ្សេងដឹង ឬរក្សាវាទុកនៅកន្លែងដែលស្រួលរក ឬមើលឃើញដោយអ្នកផ្សេង ដូចជាយើងសរសេរពាក្យសម្ងាត់របស់កំព្យុទ័ររបស់យើងលើក្រដាស រួចបិទវាលើកំព្យុទ័រខ្លួនឯង ឬដាក់នៅជិត។
  • ពេលដែលមានគេឃើញយើងវាយបញ្ចូលពាក្យសម្ងាត់របស់យើង ពួកគេអាចចាំបាន ឬសរសេរវាទុក
  • ការប្រើប្រាស់កម្មវិធីអ៉ីម៉ែល (mail client) ដែលមិនមាន SSL ដើម្បីការពារ​ការ វាយឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ពេលចូលទៅប្រើប្រាស់ ដែលអនុញ្ញត ឲ្យជនអាក្រក់គេអាចឃើញនូវព័ត៌មានវាយបញ្ជូលទាំងនោះ ឬអត្ថបទអ៉ីម៉ែលទាំងនោះផង
  • កំព្យុទ័រដែលអាចចូលទៅប្រើប្រាស់បានដោយផ្ទាល់ ហើយអ្នកប្រើប្រាស់បានរក្សាពាក្យសម្ងាត់របស់ពួកគេក្នុងការកំណត់ដូច Save My Password ឬ Remember Me ពេលចូលទៅប្រើប្រាស់គណនីអនឡាញតាមរយៈ Web browser ត្រូវគេចូលយកបាន។ ការដែលអាចចូលយកបាននេះ គឺមកពីមុខងារ Full-disk encryption មិនត្រូវបានគេដាក់ឲ្យដំណើរការ។
  • Malware ដូចជាប្រភេទ keybogger ដែលត្រូវបានគេប្រើប្រាស់ដើម្បីចម្លងនូវការវាយលើ Keyboard របស់ជនរងគ្រោះ ដែលព័ត៌មានដែលឃើញនោះអាចមិនត្រឹមតែជាពាក្យសម្ងាត់នោះទេ។
  • Social Engineering: វិធីសាស្ត្របោកបញ្ឆោតមនុស្ស ដោយការក្លែងបន្លំជានរណាម្នាក់ សេវាកម្មណាមួយ ដើម្បីយកពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់
  • False Account Alerts: ពេលខ្លះអ្នកប្រើប្រាស់ទទួលបានអ៉ីម៉ែល ឬសារពីសេវាកម្មដែលគេប្រើប្រាស់ស្នើសុំឲ្យប្តូរពាក្យសម្ងាត់ ឬចុចតំណរភ្ជាប់ដើម្បីស្នើសុំពាក្យសម្ងាត់ថ្មី
  • Brute-Forcing: ជាវិធីសារស្ត្រដោយយក បញ្ជីពាក្យសម្ងាត់ ឬវចនានុក្រុមពាក្យសម្ងាត់ (Word lists or Dictionaries ) ដោយត្រូវប្រើប្រាស់នូវកម្មវិធីប្រភេទ attempt to login ក្នុងពេលតែមួយ ប្រើប្រាស់ប្រាស់ ពាក្យសម្ងាត់ជាច្រើន។ Burte-forcing តម្រូវ ឲ្យមាន Computer power ខ្លាំង។ ស្តាប់ការពន្យល់

ជំហានទី៤៖ តើគេបង្កើតពាក្យសម្ងាត់ខ្លាំងដោយរបៀបណា?

  • ប្រវែង៖ សម្រាប់ការជ្រើសរើសយកចំនួនពាក្យសម្ងាត់យ៉ាងហោច ៨ខ្ទង់ គឺជាពាក្យសម្ងាត់ដែលខ្សោយ បើទោះបីវាមានអក្សរធំ អក្សរតូច ឬលេខ ឬសញ្ញាលាយឡំគ្នាក្តី។ ពាក្យសម្ងាត់ ១២ ខ្ទង់ត្រូវបានគេចាត់ទុកថា ខ្លាំងល្មម ហើយបើ ២០ខ្ទង់ គឺរឹតតែល្អ។
  • ភាពស្មុគស្មាញ៖ ជាទូទៅយើងត្រូវបានគេប្រាប់ថា ប្រើអក្សរធំអក្សរតូច លេខ និងសញ្ញាបញ្ជូលគ្នា។ បើអ្នកធ្វើបែបនេះ ពាក្យសម្ងាត់របស់អ្នកគួរតែ ១២ ខ្ទង់។
  • ការប្តូរទៀងទាត់៖ អ្នកគួរតែធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ជាទៀងទាត់របស់គណនីណាមួយដែលអ្នកយល់វា ជាគណនីសំខាន់ ឬមានភ្ជាប់ ឬផ្ទុកឯកសាររស៉ីបជាដើម ។ល។ បើសិនជាអ្នកទទួលបានសារ (ពិតប្រាកដ) ពីសេវាកម្មដែលអ្នកប្រើប្រាស់ ស្នើសុំឲ្យប្តូរពាក្យសម្ងាត់ អ្នកគួរតែធ្វើវា។
  • គិតពីឃ្លាសម្ងាត់ ជាជាងពាក្យសម្ងាត់៖ ងាយស្រួលចាំ មានតួអក្សរច្រើន និងអាចមានសញ្ញាឬលេខ។ ឧទាហរណ៍៖ I Love Cambodia 100%
លោក Edward Snowden ណែនាំការប្រើប្រាស់ឃ្លាសម្ងាត់ (Passphrase) ជាជាងពាក្យសម្ងាត់ (Password)

ជំហានទី៥៖ ហេតុអ្វីក៏មនុស្សភាគច្រើនមិនប្រើប្រាស់ពាក្យសម្ងាត់ដែលខ្លាំង?

  • ចំនួនពាក្យសម្ងាត់របស់​យើង​មាន គឺមានតែការកើនឡើង មិនមានការថយចុះសោះ។
  • យើងត្រូវបានទទួលការរៀនសូត្រ និងតាមប្រព័ន្ធផ្សព្វផ្សាយនានាថា ត្រូវបង្កើតពាក្យសម្ងាត់ដែលខ្លាំង ហើយពិបាកចាំ
  • បើយើងបង្កើតពាក្យសម្ងាត់កាន់តែច្រើនឡើងៗ ដែលសូម្បីតែម្ចាស់ខ្លួនមិនទាំងចាំផង ថាតើយើងនឹងចង់ចាំពាក្យសម្ងាត់ទាំងនោះដោយរបៀបណា
  • ការប្រើប្រាស់កម្មវិធីការគ្រប់គ្រងពាក្យសម្ងាត់ គឺជាជម្រើសល្អ

ការយល់ច្រឡំមួយចំនួនពីពាក្យសម្ងាត់

  • Account Privacy Questions នឹងរក្សាពាក្យសម្ងាត់ និងគណនីរបស់ខ្ញុំពិតប្រាកដ៖ Security Questions ត្រូវបានគេសួរនៅពេលដែលតម្រូវឲ្យផ្ទៀងផ្ទាត់ពីអត្តសញ្ញាណពិតប្រាកដរបស់ម្ចាស់គណនី ដោយសារតែសំណួរទាំងនោះ គឺជាសំណួរដែលមានតែយើងទើបដឹងអាចឆ្លើយបាន។ ប៉ុន្តែជាហូរហែ ចម្លើយរបស់វាគឺត្រូវបានអ្នកប្រើប្រាស់ផ្សព្វផ្សាយជាសាធារណៈទៅហើយ។ ឧទាហារណ៍៖ តើសាលាដែលអ្នករៀនកាលពីនៅក្មេង។ ចម្លើយ អាចស្វែងរកនៅក្នុងគណនីបណ្តាញសង្គមរបស់អ្នកប្រើប្រាស់។
  • Account Lockouts អាចការពារខ្ញុំបាន៖ ប្រព័ន្ធសុវត្ថិភាពរបស់សេវាកម្មជាច្រើនបានកំណត់ចំនួនពីការវាយបញ្ចូលព័ត៌មានការចូលគណនីខុស បន្ទាប់ប្រព័ន្ធសុវត្ថិភាពនឹងធ្វើការ lockouts គណនីរបស់អ្នកប្រើប្រាស់សិន។ នេះគឺជាការការពារមួយផ្នែកតែមិនបានទាំងអស់នោះទេ។ បើសិនជានរណាម្នាក់ ដែលមានជំនាញ និងឧបករណ៍ជំនួយពួកគេអាចចូលទៅយកនូវ កូដនីយកម្មរបស់ ពាក្យសម្ងាត់ដែលយើងហៅថា Hash រួចមកយកវាមក ដោយូដនីយកម្ម ដោយប្រើប្រាស់ វិធីសាស្ត្រ Brute-forcing
  • ប្រើប្រាស់ពាក្យសម្ងាត់ដែលមិនមែនជាភាសាអង់គ្លេសនឹងធ្វើឲ្យពាក្យសម្ងាត់របស់ខ្ញុំមានសុវត្ថិភាព៖ បើសិនជាត្រូវបានកំណត់ជាគោលដៅក្នុងការវាយប្រហារ ឧក្រិដ្ឋជនអនឡាញទាំងនោះ គឺបានសិក្សាពីអ្នករួចរាល់ទៅហើយ ក្នុងនោះគឺមានភាសាដើមរបស់អ្នកដែរ។ ពួកគេអាចបង្កើតនូវភាសាដើមរបស់អ្នកដាក់ចូលក្នុងបញ្ជីពាក្យសម្ងាត់ ដូចជាទីកន្លែងកំណើត ឈ្មោះ ជាដើម ដើម្បីធ្វើ Brute-force។

កំណត់សំគាល់

  • ការប្រើប្រាស់ 2-Factor Authentication ឬ 2FA គឺជាការបង្កើនសុវត្ថិភាពដល់គណនីអ្នកប្រើប្រាស់បានមួយកម្រិតទៀត។ អ្នកសិក្សាស្រាវជ្រាវផ្នែកសុវត្ថិភាពឌីជីថល ណែនាំត្រូវតែប្រើប្រាស់
  • ក្រុមហ៊ុនសេវាកម្មរបស់បណ្តាញសង្គមជាច្រើនសុទ្ធតែមានមុខងារ 2FA នេះដូចជា Facebook, twitter, Instagram…
  • ការដាក់លេខទូរស័ព្ទដើម្បីទទួលបាននូវលេខកូដ ពីសេវាកម្មអនឡាញ គឺជាវិធីមិនគ្រប់ជ្រុងជ្រោយនោះទេ។ ឧទហាណ៍ ពេលអ្នកធ្វើដំណើរទៅបរទេសដែលមិនអាច simcard របស់អ្នកមិនអាច activate បាន។
  • ជម្រើសអាចជាវ Security Key ដាក់តាមខ្លួន ឬប្រើប្រាស់ កម្មវិធី Google AuthenticatorAuthy

(Visited 202 times, 1 visits today)