ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

លេខសម្ងាត់ខ្លាំង៖ វិធានទាំង ៩ ដើម្បីជួយអ្នកអោយបង្កើត និងងាយស្រួលក្នុងការចងចាំលេខសម្ងាត់ Login របស់អ្នក

សុវត្ថិភាពនៃគណនីធនាគាររបស់អ្នក និងអុីម៉ែលរបស់អ្នក គឺអាស្រ័យលើថា តើអ្នកការពារពាក្យសម្ងាត់របស់អ្នកបានល្អប៉ុណ្ណានោះ។

ជាការពិតណាស់ លេខសម្ងាត់ខ្លាំង គឺជាគន្លឹះសម្រាប់សុវត្ថិភាពរបស់អ្នក។ បញ្ហាប្រឈមគឺការបង្កើតលេខសម្ងាត់ដ៏រឹងមាំដែលអ្នកពិតជាអាចចងចាំបាន ដោយមិនចាំបាច់ធ្វើការច្របល់គ្នានោះទេ ព្រោះនេះគឺជាទំលាប់ដ៏អាក្រក់នោះដែលអាចបង្កនូវភាពអន្តរាយដល់អ្នក ដូចជាការប្រើប្រាស់នូវលេខសម្ងាត់ដដែលៗសំរាប់គណនីច្រើននោះ។

ប៉ុន្តែតើលេខសម្ងាត់ប៉ុន្មានដែលអ្នកពិតជាអាចចងចាំបាននោះ? អ្នកអាចមានលេខសម្ងាត់ចំនួន ៨៥យ៉ាងងាយស្រួលសម្រាប់គណនីរបស់អ្នក ចាប់ពីធនាគាររហូតដល់គណនីប្រព័ន្ធផ្សព្វផ្សាយសង្គម នេះបើយោងតាមការបញ្ជាក់របស់ក្រុមហ៊ុន LogMeIn ដែលជាអ្នកបង្កើតនូវកម្មវិធីគ្រប់គ្រងលេខសម្ងាត់ LastPass Password Manager ។

ការប្រើប្រាស់នូវលេខសម្ងាត់ខ្សោយ ឬការប្រើលេខកូដសម្ងាត់ដូចគ្នា អាចបណ្តាលឱ្យមានផលវិបាកយ៉ាងធ្ងន់ធ្ងរប្រសិនបើទិន្នន័យរបស់អ្នកត្រូវបានវាលួចយក (compromised) – បើទោះបីជាលេខសម្ងាត់នោះរឹងមាំក៏ដោយ។

សុវត្ថិភាពពាក្យសម្ងាត់ប្រហែលជាអាចមិនរារាំងទិន្នន័យរបស់អ្នកពីការបែកធ្លាយនោះទេ ប៉ុន្តែការអនុវត្តល្អបំផុតទាំងនេះអាចជួយកាត់បន្ថយហានិភ័យបាន។ នេះជាវិធីបង្កើត និងគ្រប់គ្រងពាក្យសម្ងាត់ដែលល្អបំផុត របៀបរកមើលថាតើលេខសម្ងាត់ទាំងនេះត្រូវបានគេលួច និងព័ត៌មានគន្លឹះចាំបាច់មួយទៀតដើម្បីធ្វើឱ្យគណនីរបស់អ្នកកាន់តែមានសុវត្ថិភាពនោះ។

ការប្រើប្រាស់កម្មវិធីគ្រប់គ្រងលេខសម្ងាត់ដើម្បីតាមដានពាក្យសម្ងាត់របស់អ្នក

លេខសម្ងាត់ខ្លាំង គឺជាលេខដែលវែងជាងប្រាំបីតួអក្សរ លេខពិបាកទាយ និងផ្ទុកនូវតួរអក្សរ លេខ និងនិមិត្តសញ្ញាពិសេសផ្សេងៗគ្នា។ លេខសម្ងាត់ដែលល្អបំផុតនោះ គឺជាលេខដែលលំបាកក្នុងការចងចាំ ជាពិសេសប្រសិនបើអ្នកកំពុងប្រើប្រាស់នូវការចូល login ជាក់លាក់សម្រាប់គេហទំព័រនីមួយៗនោះ។ នេះគឺជាកន្លែងដែលអ្នកគ្រប់គ្រងលេខសម្ងាត់ត្រូវគេយកមកអនុវត្តន៍នោះ។

កម្មវិធីគ្រប់គ្រងលេខសម្ងាត់ដែលអាចទុកចិត្តបានមានដូចជា 1Password ឬ LastPass អាចបង្កើត និងរក្សាទុកលេខសម្ងាត់វែង និងរឹងមាំជាច្រើនសម្រាប់អ្នក។ កម្មវិធីនេះអាចធ្វើការនៅលើកុំព្យូទ័រលើតុ និងទូរស័ព្ទរបស់អ្នកបានថែមទៀត។ រឿងតូចតាចមួយគឺថា អ្នកនឹងនៅតែត្រូវទន្ទេញអោយចាំនូវលេខសម្ងាត់មេមួយ (master password) ដែលអាចដោះសោលេខសម្ងាត់ផ្សេងទៀតរបស់អ្នកបាន។ ដូច្នេះ សូមធ្វើយ៉ាងណាឱ្យពាក្យសម្ងាត់នោះ master នោះមានភាពខ្លាំង។

កម្មវិធី Browsers ជាច្រើនដូចជាកម្មវិធី Chrome របស់ Google និងកម្មវិធី Firefox របស់ Mozilla ក៏ភ្ជាប់មកជាមួយអ្នកគ្រប់គ្រងលេខសម្ងាត់ (password managers) ផងដែរ ប៉ុន្តែយើងគឺមានការព្រួយបារម្ភអំពីរបៀបដែលកម្មវិធី browsers ទាំងនេះការពារលេខសម្ងាត់ជាច្រើន ដែលអ្នកប្រើប្រាស់បានរក្សាទុក។

ជាការពិតណាស់ កម្មវីធីអ្នកគ្រប់គ្រងលេខសម្ងាត់ (Password managers) ដែលមានលេខសម្ងាត់មេមួយ (master passwords ) គឺជាគោលដៅសម្រាប់ពួកហេគឃ័រ។ ហើយកម្មវិធីអ្នកគ្រប់គ្រងពាក្យសម្ងាត់នេះនៅមិនទាន់ល្អឥតខ្ចោះនោះទេ។ LastPass ទើបតែជួសជុលទៅលើកំហុសមួយកាលពីខែកញ្ញាដែលអាចបង្ហាញពីអត្តសញ្ញាណជាច្រើនរបស់អ្នកប្រើប្រាស់។ ក្រុមហ៊ុននេះល្អ ដែលមាននូវតម្លាភាពអំពីសក្តានុពលនៃការវាយប្រហារដែលអាចកើតមានឡើង និងវិធានការណ៍ដែលខ្លួនធ្វើនៅពេលដែលមានឧប្បទេវហេតុនៃការហេគ។

អ្នកអាចធ្វើការសរសេរនូវលេខសម្ងាត់របស់អ្នកទុក

យើងដឹងហើយ៖ អនុសាសន៍នេះប្រឆាំងនឹងអ្វីគ្រប់យ៉ាងដែលយើងបានប្រាប់អំពីការការពារខ្លួនយើងនៅលើអុិនធឺណិត។ ប៉ុន្តែកម្មវិធីអ្នកគ្រប់គ្រងលេខសម្ងាត់មិនមែនសម្រាប់មនុស្សគ្រប់គ្នាទេ ហើយអ្នកជំនាញផ្នែកសន្តិសុខជាច្រើនដូចជា Electronic Frontier Foundation លើកឡើងថាការរក្សាទុកព័ត៌មានចូលនៅលើសន្លឹកក្រដាស ឬក្នុងសៀវភៅកត់ត្រា គឺជាមធ្យោបាយមួយដើម្បីតាមដានព័ត៌មានសម្ងាត់ជាច្រើនរបស់អ្នក។

ពេលនេះ យើងកំពុងនិយាយអំពីក្រដាសពិតប្រាកដមួយ មិនមែនជាឯកសារអេឡិចត្រូនិក ដូចជាឯកសារ Word ឬសៀវភៅបញ្ជីហ្គូហ្គល (Google spreadsheet) ទេ ព្រោះប្រសិនបើអ្នកណាម្នាក់អាចចូលប្រើកុំព្យូទ័រ ឬគណនីអុិនធឺណិតរបស់អ្នក ពួកគេក៏អាចចូលប្រើឯកសារពាក្យសម្ងាត់អេឡិចត្រូនិចនោះបានដែរ។

ជាការពិតណាស់ នរណាម្នាក់ក៏អាចលួចចូលក្នុងផ្ទះរបស់អ្នក ហើយដើរចេញជាមួយបញ្ជីលេខសំងាត់ដែលអ្នកបានកត់ត្រាទុក ប៉ុន្តែរឿងនេះហាក់ដូចជាមិនទំនងនោះទេ។ នៅកន្លែងធ្វើការ ឬនៅផ្ទះ យើងសូមណែនាំឱ្យទុកក្រដាសនេះនៅកន្លែងដែលមានសុវត្ថិភាព – ដូចជាថតតុចាក់សោរ- និងនៅឆ្ងាយពីភ្នែករបស់អ្នកដទៃដែលមិនងាយមើលឃើញនោះ។ សូមកំណត់ចំនួនមនុស្សដែលដឹងថាពាក្យសម្ងាត់របស់អ្នកថានៅឯណា ជាពិសេសគេហទំព័រហិរញ្ញវត្ថុរបស់អ្នក។

ប្រសិនបើអ្នកធ្វើដំណើរញឹកញាប់ ការយកពាក្យសម្ងាត់របស់អ្នកទៅជាមួយនោះ អ្នកនឹងនាំឱ្យមានហានិភ័យខ្ពស់ប្រសិនបើអ្នកភ្លេចសៀវភៅកត់ត្រារបស់អ្នកនោះ។

សូមពិនិត្យមើលលេខសម្ងាត់របស់អ្នក ប្រសិនបើវាត្រូវគេលួចនោះ

អ្នកមិនអាចបញ្ឈប់លេខសម្ងាត់របស់អ្នកពីការបែកធ្លាយបានឡើយ ប៉ុន្តែអ្នកអាចពិនិត្យមើលគ្រប់ពេលវេលា សម្រាប់សញ្ញាណដែលថាគណនីរបស់អ្នកអាចត្រូវបានលួចផងដែរ។

កម្មវិធី Firefox Monitor របស់ Mozilla និង Password Checkup របស់ក្រុមហ៊ុនហ្គូហ្គលអាចបង្ហាញអ្នកនូវអាស័យដ្ឋានអុីម៉ែល និងលេខសម្ងាត់ណាមួយរបស់អ្នក ដែលត្រូវបានលួច ដូច្នេះអ្នកអាចចាត់វិធានការទាន់ពេលវេលា។ Have I Been Pwned អាចបង្ហាញអ្នកបាន ប្រសិនបើអុីម៉ែល និងលេខសម្ងាត់របស់អ្នកត្រូវបានលាតត្រដាងនោះ។ ប្រសិនបើអ្នករកឃើញថាអ្នកត្រូវបានគេលួចចូលមែននោះ សូមមើលការណែនាំរបស់យើងអំពីវិធីការពារខ្លួនអ្នក។

សូមជៀសវាងពាក្យធម្មតា និងបន្សំតួអក្សរនៅក្នុងលេខសម្ងាត់របស់អ្នក

គោលដៅរបស់អ្នក គឺការបង្កើតលេខសម្ងាត់ដែលអ្នកណាម្នាក់មិនដឹង ឬមិនអាចស្មានបានដោយងាយស្រួល។ សូមជៀសវាងការប្រើប្រាស់នូវពាក្យធម្មតាដូច “password” ឬ ឃ្លាដូចជា “ mypassword” និងលំដាប់តួអក្សរដែលអាចព្យាករណ៍បានដូចជា “qwerty” ឬ “ thequickbrownfox” ជាដើម ។

សូមចៀសវាងការប្រើប្រាស់ឈ្មោះ ឈ្មោះហៅក្រៅ ឈ្មោះសត្វចិញ្ចឹម ថ្ងៃខួបកំណើត ឬខួបអាពាហ៍ពិពាហ៍ ឈ្មោះផ្លូវរបស់អ្នក ឬអ្វីៗដែលទាក់ទងនឹងអ្នកដែលអ្នកណាម្នាក់អាចរកបានពីបណ្តាញសង្គម ឬពីការនិយាយដោយស្មោះជាមួយមនុស្សចម្លែកនៅលើយន្តហោះ ឬនៅបារ។

ការប្រើប្រាស់នូវលេខសម្ងាត់វែងគឺកាន់តែល្អ៖ ការប្រើប្រាស់ ៨ តួអក្សរគឺជាចំណុចចាប់ផ្តើមមួយ

ការប្រើប្រាស់ ៨ តួអក្សរ គឺជាកន្លែងដ៏ល្អមួយដើម្បីចាប់ផ្តើមនៅពេលបង្កើតលេខសម្ងាត់រឹងមាំ ប៉ុន្តែពាក្យសម្ងាត់កាន់តែវែង គឺកាន់តែប្រសើរ។ Electronic Frontier Foundation និងអ្នកជំនាញខាងសន្តិសុខលោក Brian Curbs ក្នុងចំណោមអ្នកដទៃទៀត ណែនាំឱ្យប្រើឃ្លាសម្ងាត់ (passphrase) ដែលបង្កើតឡើងដោយពាក្យចៃដន្យបី ឬបួនសម្រាប់សុវត្ថិភាពបន្ថែម។ ឃ្លាវែងដែលផ្សំឡើងដោយពាក្យដែលមិនទាក់ទងគ្នាអាចជាការពិបាកក្នុងការចងចាំ ទោះយ៉ាងណានេះជាមូលហេតុដែលអ្នកគួរពិចារណាក្នុងការប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (password manager)។

កុំប្រើប្រាស់លេខសម្ងាត់ដដែលរបស់អ្នកឡើងវិញ

អ្នកត្រូវចងចាំថាការប្រើប្រាស់លេខសម្ងាត់ឡើងវិញនៅលើគណនីផ្សេងៗគ្នាគឺជាគំនិតដ៏គួរឱ្យភ័យខ្លាចមួយ។ ប្រសិនបើអ្នកណាម្នាក់រកឃើញលេខសម្ងាត់ដែលបានប្រើប្រាស់ឡើងវិញរបស់អ្នកសម្រាប់គណនីមួយនោះ ពួកគេមានកូនសោរមួយសម្រាប់គណនីផ្សេងទៀតដែលអ្នកអាចប្រើប្រាស់លេខសម្ងាត់នោះ។

ដូចគ្នានេះដែរសម្រាប់ការផ្លាស់ប្តូរលេខសម្ងាត់ដែល (root password) ដែលធ្វើការផ្លាស់ប្តូរបានជាមួយនឹងពាក្យបន្ថែមដើម ឬពាក្យបន្ថែមចុងថែមទៀត។ ឧទាហរណ៍ PasswordOne, PasswordTwo។ តាមរយៈការជ្រើសរើសយកលេខសម្ងាត់តែមួយសម្រាប់គណនីនីមួយៗនោះ អ្នកវាយប្រហារជាច្រើនដែលលួចចូលក្នុងគណនីតែមួយគឺមិនអាចប្រើប្រាស់វាដើម្បីចូលប្រើប្រាស់គណនីផ្សេងទៀតបាននោះទេ។

សូមជៀសវាងការប្រើប្រាស់លេខកូដសម្ងាត់ដែលគេដឹងថាត្រូវបានគេលួចហើយ

ពួកហេគឃ័រអាចប្រើប្រាស់លេខកូដសម្ងាត់ដែលត្រូវបានលួចពីមុន ឬលួចចូលក្នុងការប៉ុនប៉ងចូលដោយស្វ័យប្រវត្តិដែលត្រូវបានគេហៅថាជាព័ត៌មានសម្ងាត់ (credential stuffing) ដើម្បីចូលទៅក្នុងគណនីរបស់អ្នក។ ប្រសិនបើអ្នកចង់ពិនិត្យមើលថាតើពាក្យសម្ងាត់ដែលអ្នកកំពុងពិចារណាប្រើត្រូវបានលាតត្រដាងរួចហើយនៅក្នុងការលួចហេគចូលនេះ សូមចូលទៅកាន់ Have I Been Pwned និងវាយបញ្ចូលនូវលេខសម្ងាត់នោះទៅ។

មិនចាំបាច់ដូរលេខសម្ងាត់ជាទៀងទាត់នោះទេ

អស់រយៈពេលជាច្រើនឆ្នាំ ការផ្លាស់ប្តូរលេខសម្ងាត់របស់អ្នករៀងរាល់ ៦០ ឬ ៩០ថ្ងៃ គឺជាការអនុវត្តដែលត្រូវបានទទួលយកជាយូរមកហើយ ពីព្រោះនោះគឺជារយៈពេលដែលត្រូវបានចំណាយដើម្បីបំបែកពាក្យសម្ងាត់របស់អ្នក។ ប៉ុន្តែឥឡូវនេះក្រុមហ៊ុន Microsoft សូមណែនាំថា លុះត្រាតែអ្នកសង្ស័យថាពាក្យសម្ងាត់របស់អ្នកត្រូវបានលាតត្រដាង ហើយអ្នកមិនចាំបាច់ផ្លាស់ប្តូរវាជាទៀងទាត់ទេ។ តើហេតុផលជាអ្វី? ភាគច្រើននៃពួកយើងត្រូវបានបង្ខំឱ្យផ្លាស់ប្តូរលេខសម្ងាត់របស់យើងរៀងរាល់ពីរបីខែម្តង ហើយសកម្មភាពនេះនឹងធ្លាក់ចូលក្នុងទម្លាប់អាក្រក់នៃការបង្កើតលេខសម្ងាត់ដែលងាយចាំ ឬសរសេរវានៅលើកំណត់ត្រាក្រដាសស្អិតហើយដាក់វានៅលើម៉ូនីទ័ររបស់យើងវិញ។

សូមប្រើប្រាស់នូវការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) …ប៉ុន្តែសូមព្យាយាមជៀសវាងការប្រើប្រាស់លេខកូដនោះជាសារទូរស័ព្ទ

ប្រសិនបើចោរលួចពាក្យសម្ងាត់របស់អ្នកនោះ អ្នកនៅតែអាចរារាំងពួកគេពីការចូលប្រើប្រាស់គណនីរបស់អ្នកដោយប្រើប្រាស់នូវមុខងារការផ្ទៀងផ្ទាត់ពីរកត្តា (ហៅផងដែរថាការផ្ទៀងផ្ទាត់ពីរជំហានឬ 2FA) ការការពារសុវត្ថិភាពដែលតម្រូវឱ្យអ្នកបញ្ចូលព័ត៌មានទីពីរ ដែលមានតែអ្នកប៉ុណ្ណោះដែលដឹង (ជាធម្មតាលេខកូដតែមួយដង) មុនពេលកម្មវិធី ឬសេវាកម្មនេះអនុញ្ញាតអោយអ្នក Login ចូល។

នៅក្នុងវិធីនេះ ទោះបីជាហេគឃ័រមិនបង្ហាញលេខសម្ងាត់ជាច្រើនរបស់អ្នក ដោយគ្មានឧបករណ៍ដែលអ្នកទុកចិត្ត (ដូចជាទូរស័ព្ទរបស់អ្នក) និងលេខកូដផ្ទៀងផ្ទាត់ដែលបញ្ជាក់ថា វាពិតជារបស់អ្នកក៏ដោយ ក៏ពួកគេនឹងមិនអាចចូលប្រើប្រាស់គណនីរបស់អ្នកបានដែរ។

ខណៈពេលដែលវាជារឿងធម្មតា និងងាយស្រួលក្នុងការទទួលលេខកូដទាំងនេះជាសារទៅទូរស័ព្ទចល័តរបស់អ្នក ឬក្នុងការហៅទៅទូរស័ព្ទតាមលេខរបស់អ្នកក៏ដោយ វាជាការធម្មតាទេដែលក្រុមហេគឃ័រអាចលួចលេខទូរស័ព្ទរបស់អ្នកតាមរយៈការបន្លំប្តូរស៊ីមកាត (SIM swap ) ហើយបន្ទាប់មកស្កាត់កូដផ្ទៀងផ្ទាត់របស់អ្នក។

វិធីដែលមានសុវត្ថិភាពជាងមុនដើម្បីទទួលបានលេខកូដផ្ទៀងផ្ទាត់សម្រាប់អ្នកគឺការបង្កើត និងទាញយកវាដោយខ្លួនឯងដោយប្រើកម្មវិធីផ្ទៀងផ្ទាត់ដូចជា Authy, Google Authenticator ឬ Microsoft Authenticator ជាដើម។ ហើយនៅពេលអ្នកបានដំឡើងវារួចហើយនោះ អ្នកអាចជ្រើសរើសចុះឈ្មោះឧបករណ៍ ឬកម្មវិធីអ៊ីនធឺណិត (browser) របស់អ្នក ដូច្នេះអ្នកមិនចាំបាច់ត្រូវបញ្ជាក់ផ្ទៀងផ្ទាត់វារាល់ពេលដែលអ្នកចូលនោះទេ។

នៅពេលនិយាយអំពីសុវត្ថិភាពពាក្យសម្ងាត់នោះ ការធ្វើឱ្យមានភាពសកម្មគឺជាការការពារដ៏ល្អបំផុតរបស់អ្នក។ នោះរួមបញ្ចូលទាំងការដឹងថាតើអុីម៉ែល និងពាក្យសម្ងាត់របស់អ្នកនៅលើ black market ដែឬអត់។ ហើយប្រសិនបើអ្នករកឃើញទិន្នន័យរបស់អ្នកត្រូវបានលាតត្រដាងនៅទីនោះ យើងបានណែនាំអ្នកពីអ្វីដែលត្រូវធ្វើប្រសិនបើពួកហេគឃ័រចូលប្រើប្រាស់គណនីធនាគារ និងកាតឥណទានជាច្រើនរបស់អ្នក៕

ប្រភព៖ https://www.cnet.com

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button