ពាក្យសម្ងាត់ដែលអាក្រក់បំផុតទាំង ២៥ និងគន្លឹះសុវត្ថិភាពទៅលើពាក្យសម្ងាត់

តើអ្វីដែលពាក្យសម្ងាត់ដ៏មានប្រជាប្រិយភាពបំផុតជារៀងរាល់ឆ្នាំចាប់តាំងពីឆ្នាំ 2013 មកនោះ? ប្រសិនបើអ្នកឆ្លើយថា “password” នោះគឺជិតត្រឹមត្រូវ ។ “Qwerty” គឺជាពាក្យសម្ងាត់ផ្សេងមួយទៀតដែលពេញនិយមប្រើប្រាស់ផងដែរ ប៉ុន្តែពាក្យដែលពេញនិយមបំផុតនោះគឺជាពាក្យសម្ងាត់ “123456” ។

តាមការបញ្ជាក់របស់ពាក្យសម្ងាត់ដែលពេញនិយមក្នុងការប្រើប្រាស់ទាំង 25 របស់ក្រុមហ៊ុន SplashData បានឱ្យដឹងថា មនុស្សជាច្រើនរាប់ពាន់នាក់នៅតែពេញនិយមក្នុងការប្រើប្រាស់នូវលេខសម្ងាត់ “123456” ។ ពាក្យសម្ងាត់ “123456” នេះគឺជាប់ចំណាត់ថ្នាក់លេខ2 នៅក្នុងឆ្នាំ 2011 និង 2012 ហើយវាក៏ជាប់ចំណាត់ថ្នាក់លេខ 1 ជារៀងរាល់ឆ្នាំរហូតដល់ឆ្នាំ 2019 នេះបើតាមបញ្ជីរបស់ SplashData ដែលធ្វើការ វិភាគទៅលើពាក្យសម្ងាត់ជាច្រើន ដែលមានការបែកធ្លាយនៅលើអុីនធឺណិត។

សម្រាប់ពាក្យសម្ងាត់ជាច្រើនដែលគ្មានសុវត្ថិភាព នៅតែបន្តក្លាយជាពាក្យសម្ងាត់ដែលមានការពេញនិយមបំផុតជាប្រចាំឆ្នាំរបស់ក្រុមហ៊ុន SplashData ដែលរួមមានការប្រើប្រាស់នូវពាក្យថា “password” (តែងតែស្ថិតនៅក្នុងចំណាត់ថ្នាក់កំពូលទាំង 5 និងលេខ 1 នៅក្នុងឆ្នាំ 2011 និង 2012); “qwerty” (តែងតែស្ថិតនៅក្នុងចំណាត់ថ្នាក់កំពូលទាំង 10) និងពាក្យថា “12345678” (តែងតែស្ថិតនៅចំណាត់ថ្នាក់កំពូលទាំង 6) ។

លេខសម្ងាត់ដ៏អាក្រក់បំផុតនៅក្នុងឆ្នាំ 2019 កន្លងទៅនេះ

ទាំងនេះគឺជាពាក្យសម្ងាត់ដែលពេញនិយមបំផុតរបស់ក្រុមហ៊ុន SplashData ហើយវាក៏ជាជាពាក្យសម្ងាត់ដែលមានភាពទន់ខ្សោយផងដែរនៅក្នុងឆ្នាំ 2019 នេះ។

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123

បើធ្វើការប្រៀបធៀបទៅនឹងបញ្ជីជាច្រើននៅក្នុងឆ្នាំ 2018 របស់ក្រុមហ៊ុន SplashData បង្ហាញថាវាមិនមានការផ្លាស់ប្តូរច្រើននោះទេក្នុងរយៈពេលមួយឆ្នាំនេះ។

បញ្ហាជាច្រើនជាមួយពាក្យសម្ងាត់សម្រាប់ក្រុមហ៊ុនសហគ្រាស

អាជីវកម្មជាច្រើនកំពុងបង្កើនការប្រើប្រាស់នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវពហុកត្តា (multi-factor authentication (MFA)) និងសេវាកម្មចូលប្រើប្រាស់តែមួយ single sign-on (SSO) ដើម្បីពង្រឹងសន្តិសុខ/សុវត្ថិភាព។ ទោះយ៉ាងណាក៏ដោយនោះ បុគ្គលិកជាច្រើននៅតែប្រើប្រាស់នូវពាក្យសម្ងាត់ដែលអន់ដែលបានធ្វើឱ្យមានភាពទន់ខ្សោយទៅលើសន្តិសុខ/សុវត្ថិភាពទូទៅរបស់ក្រុមហ៊ុនពួកគេ នេះបើយោងតាមរបាយការណ៍សន្តិសុខលេខសម្ងាត់សកលប្រចាំឆ្នាំលើកទី៣ ឆ្នាំ២០១៩ ពីក្រុមហ៊ុន LogMeIn ។

វិធីក្នុងការពង្រឹងទៅលើសុវត្ថិភាពលេខសម្ងាត់សហគ្រាស

១. ការតម្រូវឱ្យមានការប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់

កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់អាជីវកម្មជាច្រើន (ដូចជា 1Password, Dashlane និង LastPass) គឺជាជំហានដំបូងដ៏មានប្រសិទ្ធភាពឆ្ពោះទៅរកការកាត់បន្ថយហានិភ័យសុវត្ថិភាព ដែលទាក់ទងនឹងពាក្យសម្ងាត់ទាំងនេះ។ ក្រុមហ៊ុនសហគ្រាសគួរប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (password management) ដើម្បីបង្កើត និងរក្សាទុកពាក្យសម្ងាត់ ដែលមានតួអក្សរវែង ជាមួយនឹងការប្រើប្រាស់នូវការលាយបញ្ចូលគ្នានៃតួអក្សរតូច និងធំ។ លោកបន្ថែមថា ជាមួយនឹងការគ្រប់គ្រងកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់នេះ អ្នកប្រើប្រាស់គួរតែមានពាក្យសម្ងាត់តែពីរប៉ុណ្ណោះដែលពួកគេត្រូវចងចាំ នោះគឺពាក្យសម្ងាត់សម្រាប់ចូលក្នុងកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ និងពាក្យសម្ងាត់ទៅកាន់គណនីកុំព្យូទ័រ។

២.ការតម្រូវឱ្យមានការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ច្រើនដង MFA

ការផ្ទៀងផ្ទាត់ច្រើនជាងមួយដង ឬ Multi-Factor Authentication (MFA) រួមមាន អ្វីដែលអ្នកស្គាល់ (ពាក្យសម្ងាត់), អ្វីដែលអ្នកមាន (ឧបករណ៍ដូចជា USB Token) និងអ្នកជានរណា (ការស្កេនក្រយៅដៃ ឬបច្ចេកវិទ្យាសំគាល់ផ្ទៃមុខ) ។ ការប្រើប្រាស់នូវការផ្ទៀងផ្ទាត់ MFA ដើម្បីទាមទារការផ្ទៀងផ្ទាត់ ដូចជាលេខកូដដែលបានផ្ញើទៅឧបករណ៍ចល័ត បន្ថែមលើការប្រើប្រាស់លេខសម្ងាត់ខ្លាំង អាចជួយការពារក្រុមហ៊ុនសហគ្រាសបានប្រសើរជាងមុន។

៣.កុំអោយអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ជាមួយពាក្យនៅក្នុងវចនានុក្រម

នៅក្នុងការវាយប្រហារ ទៅលើពាក្យដែលមាននៅក្នុងវចនានុក្រម (brute-force dictionary) ឧក្រិដ្ឋជនប្រើប្រាស់កម្មវិធី ដែលបញ្ចូលរាល់ពាក្យទាំងអស់នៅក្នុងវចនានុក្រម ដើម្បីទាយរកលេខសម្ងាត់ណាមួយ។ អ្នកប្រើប្រាស់ មិនត្រូវប្រើប្រាស់នូវពាក្យសម្ងាត់ដែលមាននៅក្នុងវចនានុក្រមឡើយ ដើម្បីរារាំងការវាយប្រហារបែបនេះ។

៤.មិនត្រូវប្រើពាក្យសម្ងាត់ដែលអាចសំគាល់បានព័ត៌មានណាមួយ

កុំប្រើឈ្មោះប្តីប្រពន្ធ សត្វចិញ្ចឹម ទីក្រុងនៃស្រុកកំណើត ទីកន្លែងកំណើត ឬព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួនណាមួយ នៅក្នុងពាក្យសម្ងាត់ ព្រោះព័ត៌មាននោះ អាចត្រូវបានរកឃើញនៅក្នុងគណនីប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់អ្នកបាន។ អ្នកវាយប្រហារទំនងជាទាយឈ្មោះ” សត្វចិញ្ចឹមរបស់អ្នក + 1234’ ជាពាក្យសំងាត់។

៥.អប់រំអ្នកប្រើប្រាស់អំពីសុវត្ថិភាពនៃពាក្យសម្ងាត់

ពាក្យសម្ងាត់សុវត្ថិភាព គឺមិនមាននៅកន្លែងណាផ្សេងទៀតនៅក្នុងវិស័យសាធារណៈ (ដូចជានៅក្នុងវចនានុក្រម) មិនមាននៅក្នុងកន្លែងឯកជន (ដូចជាអ្នកប្រើនៅក្នុងគណនីផ្សេងទៀត) និងមានតួអក្សរច្របល់គ្នាគ្រប់គ្រាន់ ដែលមិនអាចស្មានដឹង សូម្បីតែប្រើប្រាស់នូវ brute-force ឬបច្ចេកទេស Rainbow Table ក៏ដោយ ។

៦.ធ្វើសវនកម្មពាក្យសម្ងាត់ជាទៀងទាត់

ជាការល្អបំផុតនោះ​ អង្គភាពរបស់អ្នកគួរតែប្រើប្រាស់នូវប្រព័ន្ធផ្ទៀងផ្ទាត់សិទ្ធិ ​(authentication system) ដែលអាចអនុញ្ញាតឱ្យមានការធ្វើសវនកម្មទៅលើពាក្យសម្ងាត់ទាំងនោះ។ ការធ្វើសនវកម្មនោះ គឺពាក់ព័ន្ធទៅនឹងការប្រើប្រាស់សារឡើងវិញ ​(reuse) ឬក៏ប្រើប្រាស់ពាក្យសម្ងាត់ដែលពេញនិយម (common words) ។ ប្រព័ន្ធនោះគឺតែមានការចាប់ដោយស្វ័យប្រវត្តិ ប្រសិនបើរកឃើញនូវករណីដែលបានរៀបរាប់ និងប្រើប្រាស់ដើម្បីជូនដំណឹងទៅដល់អ្នកពាក់ព័ន្ធ។

៧.កុំបង្កើតការភ័យខ្លាចដល់អ្នកប្រើប្រាស់

កុំធ្វើឱ្យមនុស្សមានការវភិតភ័យ ព្រោះពួកគេអាចខ្លាចក្នុងការប្រាប់អ្នកនៅពេលដែលពួកគេធ្វើខុស។ ប្រសិនបើអ្នកដឹងអំពីបញ្ហាសន្តិសុខដែលបានកើតមានឡើង សូមអ្នកអាចចាត់វិធានការភ្លាមៗដើម្បីដោះស្រាយការគំរាមកំហែង និងចាត់វិធានការដើម្បីការពារកុំឲ្យវាកើតឡើងនាពេលអនាគត ។

៨.ការតម្រូវឱ្យអ្នកប្រើប្រាស់បង្កើតលេខសម្ងាត់ជាមួយប្រភេទតួអក្សរទាំងអស់

ត្រូវតែមានការណែនាំ ឬយន្តការណាមួយដែលអាចឱ្យអ្នកប្រើប្រាស់បង្កើត (generate) នូវពាក្យសម្ងាត់ ដែល នេះរួមបញ្ចូលទាំងអក្សរធំ និងអក្សរតូច លេខ និងនិមិត្តសញ្ញា ។ យើងអាចប្រើប្រាស់នូវ algorithem ដែលធ្វើការផ្ទៀងផ្ទាត់នូវពាក្យសម្ងាត់បច្ចុប្បន្ន ជាមួយនឹងពាក្យសម្ងាត់មុនៗ៕

ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac ។ ចង់ផ្សព្វផ្សាយពាណិជ្ជកម្ម សូមទំនាក់ទំនង info@secudemy.com.

​Subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac. For advertising: info@secudemy.com

ប្រភព៖ CSOOnline

Exit mobile version