ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

ពាក្យសម្ងាត់ដែលអាក្រក់បំផុតទាំង ២៥ និងគន្លឹះសុវត្ថិភាពទៅលើពាក្យសម្ងាត់

តើអ្វីដែលពាក្យសម្ងាត់ដ៏មានប្រជាប្រិយភាពបំផុតជារៀងរាល់ឆ្នាំចាប់តាំងពីឆ្នាំ 2013 មកនោះ? ប្រសិនបើអ្នកឆ្លើយថា “password” នោះគឺជិតត្រឹមត្រូវ ។ “Qwerty” គឺជាពាក្យសម្ងាត់ផ្សេងមួយទៀតដែលពេញនិយមប្រើប្រាស់ផងដែរ ប៉ុន្តែពាក្យដែលពេញនិយមបំផុតនោះគឺជាពាក្យសម្ងាត់ “123456” ។

តាមការបញ្ជាក់របស់ពាក្យសម្ងាត់ដែលពេញនិយមក្នុងការប្រើប្រាស់ទាំង 25 របស់ក្រុមហ៊ុន SplashData បានឱ្យដឹងថា មនុស្សជាច្រើនរាប់ពាន់នាក់នៅតែពេញនិយមក្នុងការប្រើប្រាស់នូវលេខសម្ងាត់ “123456” ។ ពាក្យសម្ងាត់ “123456” នេះគឺជាប់ចំណាត់ថ្នាក់លេខ2 នៅក្នុងឆ្នាំ 2011 និង 2012 ហើយវាក៏ជាប់ចំណាត់ថ្នាក់លេខ 1 ជារៀងរាល់ឆ្នាំរហូតដល់ឆ្នាំ 2019 នេះបើតាមបញ្ជីរបស់ SplashData ដែលធ្វើការ វិភាគទៅលើពាក្យសម្ងាត់ជាច្រើន ដែលមានការបែកធ្លាយនៅលើអុីនធឺណិត។

សម្រាប់ពាក្យសម្ងាត់ជាច្រើនដែលគ្មានសុវត្ថិភាព នៅតែបន្តក្លាយជាពាក្យសម្ងាត់ដែលមានការពេញនិយមបំផុតជាប្រចាំឆ្នាំរបស់ក្រុមហ៊ុន SplashData ដែលរួមមានការប្រើប្រាស់នូវពាក្យថា “password” (តែងតែស្ថិតនៅក្នុងចំណាត់ថ្នាក់កំពូលទាំង 5 និងលេខ 1 នៅក្នុងឆ្នាំ 2011 និង 2012); “qwerty” (តែងតែស្ថិតនៅក្នុងចំណាត់ថ្នាក់កំពូលទាំង 10) និងពាក្យថា “12345678” (តែងតែស្ថិតនៅចំណាត់ថ្នាក់កំពូលទាំង 6) ។

លេខសម្ងាត់ដ៏អាក្រក់បំផុតនៅក្នុងឆ្នាំ 2019 កន្លងទៅនេះ

ទាំងនេះគឺជាពាក្យសម្ងាត់ដែលពេញនិយមបំផុតរបស់ក្រុមហ៊ុន SplashData ហើយវាក៏ជាជាពាក្យសម្ងាត់ដែលមានភាពទន់ខ្សោយផងដែរនៅក្នុងឆ្នាំ 2019 នេះ។

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123

បើធ្វើការប្រៀបធៀបទៅនឹងបញ្ជីជាច្រើននៅក្នុងឆ្នាំ 2018 របស់ក្រុមហ៊ុន SplashData បង្ហាញថាវាមិនមានការផ្លាស់ប្តូរច្រើននោះទេក្នុងរយៈពេលមួយឆ្នាំនេះ។

បញ្ហាជាច្រើនជាមួយពាក្យសម្ងាត់សម្រាប់ក្រុមហ៊ុនសហគ្រាស

អាជីវកម្មជាច្រើនកំពុងបង្កើនការប្រើប្រាស់នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពហុកត្តា (multi-factor authentication (MFA)) និងសេវាកម្មចូលប្រើប្រាស់តែមួយ single sign-on (SSO) ដើម្បីពង្រឹងសន្តិសុខ/សុវត្ថិភាព។ ទោះយ៉ាងណាក៏ដោយនោះ បុគ្គលិកជាច្រើននៅតែប្រើប្រាស់នូវពាក្យសម្ងាត់ដែលអន់ដែលបានធ្វើឱ្យមានភាពទន់ខ្សោយទៅលើសន្តិសុខ/សុវត្ថិភាពទូទៅរបស់ក្រុមហ៊ុនពួកគេ នេះបើយោងតាមរបាយការណ៍សន្តិសុខលេខសម្ងាត់សកលប្រចាំឆ្នាំលើកទី៣ ឆ្នាំ២០១៩ ពីក្រុមហ៊ុន LogMeIn ។

វិធីក្នុងការពង្រឹងទៅលើសុវត្ថិភាពលេខសម្ងាត់សហគ្រាស

១. ការតម្រូវឱ្យមានការប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់

កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់អាជីវកម្មជាច្រើន (ដូចជា 1Password, Dashlane និង LastPass) គឺជាជំហានដំបូងដ៏មានប្រសិទ្ធភាពឆ្ពោះទៅរកការកាត់បន្ថយហានិភ័យសុវត្ថិភាព ដែលទាក់ទងនឹងពាក្យសម្ងាត់ទាំងនេះ។ ក្រុមហ៊ុនសហគ្រាសគួរប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (password management) ដើម្បីបង្កើត និងរក្សាទុកពាក្យសម្ងាត់ ដែលមានតួអក្សរវែង ជាមួយនឹងការប្រើប្រាស់នូវការលាយបញ្ចូលគ្នានៃតួអក្សរតូច និងធំ។ លោកបន្ថែមថា ជាមួយនឹងការគ្រប់គ្រងកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់នេះ អ្នកប្រើប្រាស់គួរតែមានពាក្យសម្ងាត់តែពីរប៉ុណ្ណោះដែលពួកគេត្រូវចងចាំ នោះគឺពាក្យសម្ងាត់សម្រាប់ចូលក្នុងកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ និងពាក្យសម្ងាត់ទៅកាន់គណនីកុំព្យូទ័រ។

២.ការតម្រូវឱ្យមានការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ច្រើនដង MFA

ការផ្ទៀងផ្ទាត់ច្រើនជាងមួយដង ឬ Multi-Factor Authentication (MFA) រួមមាន អ្វីដែលអ្នកស្គាល់ (ពាក្យសម្ងាត់), អ្វីដែលអ្នកមាន (ឧបករណ៍ដូចជា USB Token) និងអ្នកជានរណា (ការស្កេនក្រយៅដៃ ឬបច្ចេកវិទ្យាសំគាល់ផ្ទៃមុខ) ។ ការប្រើប្រាស់នូវការផ្ទៀងផ្ទាត់ MFA ដើម្បីទាមទារការផ្ទៀងផ្ទាត់ ដូចជាលេខកូដដែលបានផ្ញើទៅឧបករណ៍ចល័ត បន្ថែមលើការប្រើប្រាស់លេខសម្ងាត់ខ្លាំង អាចជួយការពារក្រុមហ៊ុនសហគ្រាសបានប្រសើរជាងមុន។

៣.កុំអោយអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ជាមួយពាក្យនៅក្នុងវចនានុក្រម

នៅក្នុងការវាយប្រហារ ទៅលើពាក្យដែលមាននៅក្នុងវចនានុក្រម (brute-force dictionary) ឧក្រិដ្ឋជនប្រើប្រាស់កម្មវិធី ដែលបញ្ចូលរាល់ពាក្យទាំងអស់នៅក្នុងវចនានុក្រម ដើម្បីទាយរកលេខសម្ងាត់ណាមួយ។ អ្នកប្រើប្រាស់ មិនត្រូវប្រើប្រាស់នូវពាក្យសម្ងាត់ដែលមាននៅក្នុងវចនានុក្រមឡើយ ដើម្បីរារាំងការវាយប្រហារបែបនេះ។

៤.មិនត្រូវប្រើពាក្យសម្ងាត់ដែលអាចសំគាល់បានព័ត៌មានណាមួយ

កុំប្រើឈ្មោះប្តីប្រពន្ធ សត្វចិញ្ចឹម ទីក្រុងនៃស្រុកកំណើត ទីកន្លែងកំណើត ឬព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួនណាមួយ នៅក្នុងពាក្យសម្ងាត់ ព្រោះព័ត៌មាននោះ អាចត្រូវបានរកឃើញនៅក្នុងគណនីប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់អ្នកបាន។ អ្នកវាយប្រហារទំនងជាទាយឈ្មោះ” សត្វចិញ្ចឹមរបស់អ្នក + 1234’ ជាពាក្យសំងាត់។

៥.អប់រំអ្នកប្រើប្រាស់អំពីសុវត្ថិភាពនៃពាក្យសម្ងាត់

ពាក្យសម្ងាត់សុវត្ថិភាព គឺមិនមាននៅកន្លែងណាផ្សេងទៀតនៅក្នុងវិស័យសាធារណៈ (ដូចជានៅក្នុងវចនានុក្រម) មិនមាននៅក្នុងកន្លែងឯកជន (ដូចជាអ្នកប្រើនៅក្នុងគណនីផ្សេងទៀត) និងមានតួអក្សរច្របល់គ្នាគ្រប់គ្រាន់ ដែលមិនអាចស្មានដឹង សូម្បីតែប្រើប្រាស់នូវ brute-force ឬបច្ចេកទេស Rainbow Table ក៏ដោយ ។

៦.ធ្វើសវនកម្មពាក្យសម្ងាត់ជាទៀងទាត់

ជាការល្អបំផុតនោះ​ អង្គភាពរបស់អ្នកគួរតែប្រើប្រាស់នូវប្រព័ន្ធផ្ទៀងផ្ទាត់សិទ្ធិ ​(authentication system) ដែលអាចអនុញ្ញាតឱ្យមានការធ្វើសវនកម្មទៅលើពាក្យសម្ងាត់ទាំងនោះ។ ការធ្វើសនវកម្មនោះ គឺពាក់ព័ន្ធទៅនឹងការប្រើប្រាស់សារឡើងវិញ ​(reuse) ឬក៏ប្រើប្រាស់ពាក្យសម្ងាត់ដែលពេញនិយម (common words) ។ ប្រព័ន្ធនោះគឺតែមានការចាប់ដោយស្វ័យប្រវត្តិ ប្រសិនបើរកឃើញនូវករណីដែលបានរៀបរាប់ និងប្រើប្រាស់ដើម្បីជូនដំណឹងទៅដល់អ្នកពាក់ព័ន្ធ។

៧.កុំបង្កើតការភ័យខ្លាចដល់អ្នកប្រើប្រាស់

កុំធ្វើឱ្យមនុស្សមានការវភិតភ័យ ព្រោះពួកគេអាចខ្លាចក្នុងការប្រាប់អ្នកនៅពេលដែលពួកគេធ្វើខុស។ ប្រសិនបើអ្នកដឹងអំពីបញ្ហាសន្តិសុខដែលបានកើតមានឡើង សូមអ្នកអាចចាត់វិធានការភ្លាមៗដើម្បីដោះស្រាយការគំរាមកំហែង និងចាត់វិធានការដើម្បីការពារកុំឲ្យវាកើតឡើងនាពេលអនាគត ។

៨.ការតម្រូវឱ្យអ្នកប្រើប្រាស់បង្កើតលេខសម្ងាត់ជាមួយប្រភេទតួអក្សរទាំងអស់

ត្រូវតែមានការណែនាំ ឬយន្តការណាមួយដែលអាចឱ្យអ្នកប្រើប្រាស់បង្កើត (generate) នូវពាក្យសម្ងាត់ ដែល នេះរួមបញ្ចូលទាំងអក្សរធំ និងអក្សរតូច លេខ និងនិមិត្តសញ្ញា ។ យើងអាចប្រើប្រាស់នូវ algorithem ដែលធ្វើការផ្ទៀងផ្ទាត់នូវពាក្យសម្ងាត់បច្ចុប្បន្ន ជាមួយនឹងពាក្យសម្ងាត់មុនៗ៕

ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac ។ ចង់ផ្សព្វផ្សាយពាណិជ្ជកម្ម សូមទំនាក់ទំនង info@secudemy.com.

​Subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac. For advertising: info@secudemy.com

ប្រភព៖ CSOOnline

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button