ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់

Photo of Phannarith PhannarithFebruary 27, 2019
934 Less than a minute

វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។

ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។

បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា “ពាក្យសម្ងាត់ដែលមានប្រវែង ៨តួ ទោះបីជាមានភាពស្មុគស្មាញយ៉ាងណាក៏ដោយ វាអាចត្រូវបានបំបែកក្នុងពេល ០២ម៉ោង និង ៣០នាទីប៉ុណ្ណោះ”។ សូមបញ្ឈប់ការប្រើប្រាស់វាតទៅទៀត

តើហេតុអ្វីបានជាពាក្យសម្ងាត់០៨តួមិនអាចជួយអ្នកបាន?

ល្បឿនថ្មីដែលត្រូវបានកំណត់ដោយកុំព្យូទ័រដែលប្រើប្រាស់ឧករណ៍ Nvidia RTX 2080 Ti graphics cards ចំនួន០៨ដើម ដំណើរការនូវកម្មវិធីប្រភពកូដចំហរ HashCat ក្នុងការបំបែកពាក្យសម្ងាត់ គឺអាចធ្វើបានចំនួន ១០២.៨ប៊ីលានពាក្យសម្ងាត់ក្នុង១វិនាទី។

A Sagitta Brutalis password-cracking rig (not the one in this story). Credit: Sagitta HPC
រូបភាពតំណាង A Sagitta Brutalis password-cracking rig. Credit: Sagitta HPC

បច្ចេកទេស Microsoft’s NTLM hashing algorithm គឺត្រូវបានប្រើប្រាស់ជាយូរមកហើយ។ បច្ចុប្បន្ននេះ មាននូវបច្ចេកទេស hashing algorithms ដ៏ល្អប្រសើរជានេះទៅទៀត។ ប៉ុន្តែ ដូចគ្នាទៅនឹងសូហ្វវែរចាស់ៗ (legacy software) របស់ Microsoft, NTLM គឺនៅតែប្រើប្រាស់យ៉ាងទូលំទូលាយ ដោយសារតែវាដំណើរការបាន (compartible) ជាមួយគ្រប់អ្វីៗទាំងអស់។

ដូចគ្នានេះដែរ មិនមាននរណាម្នាក់ដែលអាចមានលទ្ធភាពក្នុងការទិញឧបករណ៍តម្លៃ ១២០០ដុល្លា ដើម្បីគ្រាន់តែចង់ធ្វើការបំបែកពាក្យសម្ងាត់នោះទេ។ ប៉ុន្តែអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (PenTester) មានឈ្មោះថា Tom Ervin បានធ្វើការរកឃើញថា គ្រាន់តែចំណាយលុយ ២៥ដុល្លា អ្នកអាចជួល Amazon Elastic Cloud Computing ដើម្បីបំបែកពាក្យសម្ងាត់៨តួ NTLM password hash ក្នុងរយៈពេលតែ ១២នាទីប៉ុណ្ណោះ។

តើអ្នកត្រូវធ្វើដូចម្តេចខ្លះ?

សូមធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ខ្លីៗរបស់អ្នក ដោយដាក់យ៉ាងហោចណាស់ចំនួន១២តួ ទៅ១៥តួ ដោយមានតួអក្សរតូច ធំ លេខ និងនិមិ្មតសញ្ញាបញ្ចូលគ្នា។ បើសិនជាអ្នកដាក់ពាក្យសម្ងាត់ “tH1515n0T@w0rD” គឺវាងាយបំបែកជាងយើងដាក់ពាក្យសម្ងាត់ “BK809e)67w%iS/h” ។

ត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ខុសៗគ្នាចំពោះសេវាអនឡាញផ្សេងៗគ្នា និងមិនត្រូវប្រើប្រាស់ពាក្យសង្ងាត់ដែលមានន័យត្រឹមត្រូវ ជាឈ្មោះរបស់អ្នក ថ្ងៃខែឆ្នាំកំណើត ឬពាក្យដែលមាននៅក្នុងវចនានុក្រមឡើយ៕

ប្រភព៖ https://www.theregister.co.uk/2019/02/14/password_length/

Tags
Photo of Phannarith PhannarithFebruary 27, 2019
934 Less than a minute
Show More
Apsara Media Services (AMS)
Photo of Phannarith

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Fake News

ស្វែងយល់អំពីព័ត៌មានប្រឌិត (Fake News) និងទោសទណ្ឌ!

August 18, 2020

5 Biggest Hosting Companies hacked by Syrian Electronic Army

March 31, 2015

Engineer, Security

June 4, 2020

17th Defense Talk: OS Exploitation

December 22, 2018
Back to top button