ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់

វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។

ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។

បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា “ពាក្យសម្ងាត់ដែលមានប្រវែង ៨តួ ទោះបីជាមានភាពស្មុគស្មាញយ៉ាងណាក៏ដោយ វាអាចត្រូវបានបំបែកក្នុងពេល ០២ម៉ោង និង ៣០នាទីប៉ុណ្ណោះ”។ សូមបញ្ឈប់ការប្រើប្រាស់វាតទៅទៀត

តើហេតុអ្វីបានជាពាក្យសម្ងាត់០៨តួមិនអាចជួយអ្នកបាន?

ល្បឿនថ្មីដែលត្រូវបានកំណត់ដោយកុំព្យូទ័រដែលប្រើប្រាស់ឧករណ៍ Nvidia RTX 2080 Ti graphics cards ចំនួន០៨ដើម ដំណើរការនូវកម្មវិធីប្រភពកូដចំហរ HashCat ក្នុងការបំបែកពាក្យសម្ងាត់ គឺអាចធ្វើបានចំនួន ១០២.៨ប៊ីលានពាក្យសម្ងាត់ក្នុង១វិនាទី។

A Sagitta Brutalis password-cracking rig (not the one in this story). Credit: Sagitta HPC
រូបភាពតំណាង A Sagitta Brutalis password-cracking rig. Credit: Sagitta HPC

បច្ចេកទេស Microsoft’s NTLM hashing algorithm គឺត្រូវបានប្រើប្រាស់ជាយូរមកហើយ។ បច្ចុប្បន្ននេះ មាននូវបច្ចេកទេស hashing algorithms ដ៏ល្អប្រសើរជានេះទៅទៀត។ ប៉ុន្តែ ដូចគ្នាទៅនឹងសូហ្វវែរចាស់ៗ (legacy software) របស់ Microsoft, NTLM គឺនៅតែប្រើប្រាស់យ៉ាងទូលំទូលាយ ដោយសារតែវាដំណើរការបាន (compartible) ជាមួយគ្រប់អ្វីៗទាំងអស់។

ដូចគ្នានេះដែរ មិនមាននរណាម្នាក់ដែលអាចមានលទ្ធភាពក្នុងការទិញឧបករណ៍តម្លៃ ១២០០ដុល្លា ដើម្បីគ្រាន់តែចង់ធ្វើការបំបែកពាក្យសម្ងាត់នោះទេ។ ប៉ុន្តែអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (PenTester) មានឈ្មោះថា Tom Ervin បានធ្វើការរកឃើញថា គ្រាន់តែចំណាយលុយ ២៥ដុល្លា អ្នកអាចជួល Amazon Elastic Cloud Computing ដើម្បីបំបែកពាក្យសម្ងាត់៨តួ NTLM password hash ក្នុងរយៈពេលតែ ១២នាទីប៉ុណ្ណោះ។

តើអ្នកត្រូវធ្វើដូចម្តេចខ្លះ?

សូមធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ខ្លីៗរបស់អ្នក ដោយដាក់យ៉ាងហោចណាស់ចំនួន១២តួ ទៅ១៥តួ ដោយមានតួអក្សរតូច ធំ លេខ និងនិមិ្មតសញ្ញាបញ្ចូលគ្នា។ បើសិនជាអ្នកដាក់ពាក្យសម្ងាត់ “tH1515n0T@w0rD” គឺវាងាយបំបែកជាងយើងដាក់ពាក្យសម្ងាត់ “BK809e)67w%iS/h” ។

ត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ខុសៗគ្នាចំពោះសេវាអនឡាញផ្សេងៗគ្នា និងមិនត្រូវប្រើប្រាស់ពាក្យសង្ងាត់ដែលមានន័យត្រឹមត្រូវ ជាឈ្មោះរបស់អ្នក ថ្ងៃខែឆ្នាំកំណើត ឬពាក្យដែលមាននៅក្នុងវចនានុក្រមឡើយ៕

ប្រភព៖ https://www.theregister.co.uk/2019/02/14/password_length/

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button