ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

តើអ្នកបានការពារពាក្យសម្ងាត់របស់អ្នកត្រឹមត្រូវដែរឬទេ?

ទោះបីជាមានការជឿនលឿនថ្មីៗក្នុងបច្ចេកវិទ្យាផ្ទៀងផ្ទាត់សិទ្ធិ ​(authentication) ក៏ដោយ លេខសំងាត់នៅតែជាវិធីដែលអ្នកប្រើប្រាស់ចូលទៅកាន់សេវាកម្មភាគច្រើន។ នោះហើយជាមូលហេតុដែលវាគួរឱ្យសោកស្តាយ ដែលមនុស្សជាច្រើនប្រើពាក្យសម្ងាត់មិនបានសមស្រប។ យោងតាមការវិភាគថ្មីៗនេះបានឱ្យដឹងថា មាន ៨៦% នៃអ្នកប្រើប្រាស់ប្រើលេខសម្ងាត់ គឺប្រើពាក្យសម្ងាត់ដែលត្រូវបានគេបំបែករួចទៅហើយ។ យើងនឹងនិយាយអំពីអ្វីដែលត្រូវការដើម្បីបង្កើតពាក្យសម្ងាត់រឹងមាំ និងអនុវត្តសុវត្ថិភាពពាក្យសម្ងាត់ល្អ។

ការណែនាំដំបូង

ចង់បាននូវពាក្យសម្ងាត់ដែលខ្លាំង និងល្អបំផុត ខាងក្រោមនេះគឺជាការណែនាំ៖

  • តើពាក្យសម្ងាត់ត្រូវមានប្រវែងប្រមាណ? មានប្រវែង ១០តួ យ៉ាងតិចបំផុត។ ប្រវែងរបស់ពាក្យសម្ងាត់ គឺមានសារៈសំខាន់ណាដែលកំណត់ភាពខ្លាំងរបស់វា
  • តើអ្នកគួរតែផ្លាស់ប្តូរពាក្យសម្ងាត់របស់អ្នកដែរឬទេ? អ្នកគួរតែផ្លាស់ប្តូរ បើសិនជាអ្នកគិតថា វាមិនមានសុវត្ថិភាព។ មិនត្រូវបង្ខំឱ្យអ្នកប្រើប្រាស់ ធ្វើការប្រើប្រាស់ពាក្យសម្ងាត់ដដែលនោះទេ។ ធ្វើបែបនេះវាមិនមានសុវត្ថិភាពឡើយ
  • តើខ្ញុំអាចប្រើប្រាស់ពាក្យសម្ងាត់តែមួយដដែលៗនៅក្នុងវេបសាយផ្សេងៗគ្នាបានទេ?​ មិនត្រូវធ្វើដូច្នេះទេ។ រាល់សេវាអនឡាញទាំងអស់ត្រូវតែមានពាក្យសម្ងាត់ផ្សេងៗគ្នា ហេតុដូច្នេះហើយអ្នក មិនចាំបាច់ធ្វើការផ្លាស់ប្តូរវាទាំងអស់ឡើយ នៅពេលដែលមានការលួចនៅក្នុងសេវាអនឡាញណាមួយ
  • តើខ្ញុំត្រូវចងចាំពាក្យសម្ងាត់នោះយ៉ាងដូចម្តេច? មិនត្រូវព្យាយាមចងចាំពាក្យសម្ងាត់របស់អ្នកនោះទេ សូមប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ ​(password manager)។ បើសិនជាអ្នកមិនចង់ប្រើទេ សូមសរសេរវាទុកដោយឡែកនៅក្នុងសៀវភៅ ឬកន្លែងដែលអ្នកគិតថាមានសុវត្ថិភាព
  • ចុះចំណែកឯ two-factor authentication (2FA)? ចូរបើកដំណើរការមុខងារនេះ បើសិនជាមាន។ សូមប្រើប្រាស់វិធីសាស្ត្រ two-factor ដែលខ្លាំង។ ការប្រើប្រាស់ ​SMS text message គឺខ្សោយណាស់ បើសិនជាអាចសូមប្រើប្រាស់ software 2FA ឬក៏ដែលខ្លាំងជាងគេនោះគឺប្រភេទ 2FA hardware
  • ចុះសំណួរសម្រាប់ធ្វើការស្រោចស្រង់ពាក្យសម្ងាត់? មិនត្រូវផ្តល់ចំណែកត្រឹមត្រូវ ហើយជាក់លាក់ ​(ស្មោះត្រង់)​ ពេកទេសម្រាប់ secret questions ឬ recovery questions។ សម្រាប់សុវត្ថិភាពខ្ពស់បំផុតនោះ សូមប្រើប្រាស់ចំលើយដែលសំងាត់សម្រាប់សំណួរនិមួយៗ ហើយរក្សាវាទុកឱ្យបានត្រឹមត្រូវ។

តើអ្វីទៅដែលធ្វើឱ្យពាក្យសម្ងាត់ខ្លាំង?

កត្តាមួយដែលសំខាន់បំផុតនៅក្នុងសុវត្ថិភាពនៃពាក្យសម្ងាត់គឺ តើពាក្យសម្ងាត់នោះត្រូវរក្សាទុកយ៉ាងដូចម្តេច? ពាក្យសម្ងាត់គួរតែត្រូវបានរក្សាទុកនៅក្នុងទម្រង់កូដនីយកម្ម ​(encrypted)​ ដោយប្រើប្រាស់នូវ cryptographic algorithms ដែលខ្លាំង។ បើសិនជាពាក្យសម្ងាត់មិនត្រូវបានធ្វើកូដនីយកម្មនោះទេ នោះអ្វីដែលអាចការពារពាក្យសម្ងាត់នោះបាន គឺធ្វើយ៉ាងណាកុំឱ្យមានការវាយលុកចូលលួចបាន។

កត្តាដែលអ្នកអាចគ្រប់គ្រងបាននោះគឺប្រវែងនៃពាក្យសម្ងាត់

ពាក្យសម្ងាត់ដែលពិបាក គឺដោយសារតែប្រវែងរបស់វា។ ជាឧទាហរណ៍ ពាក្យសម្ងាត់ដែលមានប្រវែង ៩តួ ត្រូវចំណាយពេលប្រមាណជា ២ម៉ោងដើម្បីធ្វើការវាយលុកទស្សទាយ ​(brute force) ដោយប្រើប្រាស់កុំព្យូទ័រមានល្បឿនជាមធ្យមភាគ។ បើសិនជាយើងធ្វើការបន្ថែមតែ ១តួ ទៅលើពាក្យសម្ងាត់នេះ វាអាចនឹងចំណាយពេល ៧ថ្ងៃ បើសិនជាយើងដាក់ដល់ ១២តួ នោះវាអាចចំណាយពេល ២ទសវត្ស។

ចុះថាតើ វាមានប្រវែងប៉ុន្មានបានគ្រប់គ្រាន់? វាអាស្រ័យទៅតាមកម្រិតនៃអ្នកវាយប្រហារ ប៉ុន្តែបើសិនជា មានការធ្វើកូដនីយកម្មត្រឹមត្រូវ ពាក្យសម្ងាត់ ១០តួ គឺគ្រប់គ្រាន់ទៅហើយ។

រូបភាព៖ តំណាងពាក្យសម្ងាត់ដែលមានប្រវែងវែង

ចំនុចមួយទៀតដែលសំខាន់ដែលនោះ គឺពាក្យសម្ងាត់មានតែមួយប៉ុណ្ណោះ ​(uniqueness)

ដូចដែលអ្នកបានដឹងរួចមកហើយថា ពាក្យសម្ងាត់ដែលបានបែកធ្លាយ នឹងត្រូវប្រើប្រាស់ដើម្បីធ្វើការព្យាយាមវាយលុកចូលទៅកាន់គណនីរបស់អ្នក។ មានន័យថា បើសិនជាអ្នកប្រើប្រាស់ពាក្យសម្ងាត់ដដែលៗនោះ គឺមិនល្អហើយ។ បើសិនជាពាក្យសម្ងាត់មានតែមួយ នោះមានតែពាក្យសម្ងាត់តែមួយប៉ុណ្ណោះដែលអាចផ្លាស់ប្តូរ បើសិនជាមានសេវាអនឡាញណាមួយត្រូវបានវាយលុកដោយជោគជ័យ។

អ្នកក៏មិនត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ដែលគេនិយមផងដែរ ដូចជាពាក្យសម្ងាត់ ឬឃ្លាណាដែលគេដាក់បង្ហាញជាសាធារណៈជាដើម។ ទោះបីជាវាងាយស្រួលចាំ ហើយនឹងប្រវែងវែងក៏ដោយ ក៏នៅមានឱកាសដែលមាននណាម្នាក់បានប្រើប្រាស់វារួចទៅហើយ។

តើអ្នកត្រូវធ្វើដូចម្តេច?

សង្ខេបមកវិញ ពាក្យសម្ងាត់ដែលល្អបំផុតនោះ គឺយ៉ាងហោចណាស់មានប្រវែង១០តួ រក្សាទុកដោយមានសុវត្ថិភាព និងមានតែមួយ ​(unique)។ វាងាយណាស់មែនទេ? មើលទៅដូចជាមិនមែនទេ។

ជាសំណាងល្អ មាននូវបច្ចេកទេសជាច្រើន និងបច្ចេកវិទ្យាដែលជួយអ្នកក្នុងការពង្រឹងសុវត្ថិភាពពាក្យសម្ងាត់របស់អ្នក។ បើសិនជាអ្នកប្រើប្រាស់វាបានល្អ មាននូវការអនុវត្តល្អៗ គឺវាមានភាពងាយស្រួលណាស់។

១. ប្រើប្រាស់នូវកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (Password Manager)

មានកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ជាច្រើនដែលកំពុងតែមាននៅលើទីផ្សារ ហើយមានមុខងារដូចៗគ្នាប៉ុណ្ណោះ។ Password Manager​​ អនុញ្ញាតឱ្យអ្នកមាននូវពាក្យសម្ងាត់មេមួយដែលខ្លាំង (master password)​ ដើម្បីធ្វើការគ្រប់គ្រងទៅលើពាក្យសម្ងាត់ជាច្រើនទៀតរបស់សេវាអនឡាញដែលអ្នកប្រើប្រាស់ ហើយត្រូវបានរក្សាទុកដោយមានការធ្វើកូដនីយកម្មត្រឹមត្រូវ។ ធ្វើបែបនេះ វាមានភាពងាយស្រួល ក្នុងការមាននូវពាក្យសម្ងាត់ដែលមានសុវត្ថិភាព (secure), មានតែមួយ ​(unique) និងមានភាពប្រាកដថា បើសិនជាមានសេវាអនឡាញណាមួយត្រូវបានហេគ អ្នកត្រូវការផ្លាស់ប្តូរពាក្យសម្ងាត់តែមួយប៉ុណ្ណោះ។ មានកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់មួយចំនួន ក៏ធ្វើការជូនដំណឹងដល់អ្នកផងដែរ នៅពេលដែលសេវាអនឡាញណាមួយត្រូវបានគេហេគផងដែរ។

រូបភាព៖ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ ​LastPass

ដរាបណាដែលអ្នកធ្វើតាមការណែនាំក្នុងការបង្កើតនូវ master password ដែលខ្លាំង នោះហានិភ័យ នៃការលួចពាក្យសម្ងាត់គឺមានតិចណាស់។ អ្នកនឹងមានសុវត្ថិភាពជាងអ្នកដែលមិនបានប្រើប្រាស់កម្មវិធី គ្រប់គ្រងពាក្យសម្ងាត់។

២. បើកមុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់ (Two-factor authentication (2FA))

មុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់គឺជាការបន្ថែមដ៏ល្អប្រសើរបំផុតបន្ថែមពីលើពាក្យសម្ងាត់។ វាបានបន្ថែមស្រទាប់មួយទៀតនៅក្នុងដំណាក់កាលនៃការលួចគណនីអនឡាញរបស់អ្នក។ ក្នុងខណៈពេលដែលមាននូវវិធីសាស្ត្រក្នុងការរំលង 2FA ក៏ប៉ុន្តែបច្ចេកទេសនេះមិនអាចត្រូវបានធ្វើដោយស្វ័យប្រវត្តិឡើយ ហើយទាមទារឱ្យមានការរៀបចំគោលដៅច្បាស់លាស់ណាស់ ដោយប្រើប្រាស់បច្ចេកទេស phishing និង social engineering។

រូបភាព៖ ដំណើរការនៃការផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់ (2FA)

ជាករណីពិេសស អ្នកគួរតែព្យាយាមមិនប្រើប្រាស់ 2FA ប្រភេទជា text message ដូចជា SMS (ដែលយើងពិនិត្យឃើញថានៅតែមានការប្រើប្រាស់ទូលំទូលាយនៅឡើយ) ដោយសារតែលទ្ធភាពនៃការលួច យក ​text message នោះគឺកាន់តែការកើនឡើង ដូចជាតាមរយៈវិធីសាស្ត្រ SIMJacking ជាដើម។

ដំណោះស្រាយទៅលើបញ្ហានេះ គឺការប្រើប្រាស់ ​2FA ប្រភេទជា App វិញ ដូចជា Google Authenticator ឬ Authy ដែលអាចទប់ស្កាត់ការវាយប្រហារលួចបាន។ អ្នកគួរតែប្រើប្រាស់វា បើសិនជាសេវាអនឡាញរបស់អ្នកគាំទ្រកម្មវិធីនេះ។

រូបភាព៖ កម្មវិធីទូរស័ព្ទ (Apps) នៃ ​Google Authenticator

មុខងារ 2FA ដែលខ្លាំងបំផុតនោះគឺជាប្រភេទ hardware ដូចជាឧបករណ៍ Yubikey ជាដើម ដែលទាមទារឱ្យមានការប្រើប្រាស់ឧបករណ៍នោះផ្ទាល់តែម្តងដើម្បីធ្វើការផ្ទៀងផ្ទាត់សិទ្ធិអ្នកប្រើប្រាស់។

រូបភាព៖ ​YubiKey របស់ក្រុមហ៊ុន ​Yubico

៣. ចាត់ទុកសំណួរសម្ងាត់ (secret questions)​​ ដូចជាពាក្យសម្ងាត់ទី២ របស់អ្នក

យើងតែងតែមើលរំលងទៅលើចំនុចខ្សោយមួយនៅក្នុងការបង្កើតពាក្យសម្ងាត់ នោះគឺសំណួរសម្ងាត់ ដែលនឹងប្រើប្រាស់សម្រាប់ធ្វើការស្រោចស្រង់ពាក្យសម្ងាត់ (ក្នុងករណីដែលអ្នកភ្លេច)។ ចំលើយទៅនឹងសំណួរទាំងនេះ គឺគួរតែខ្លី ហើយមិនមានភាពស្មុគស្មាញ។ ឈ្មោះរបស់សាលារៀនដំបូង ឬសត្វចិញ្ចឹមដំបូងរបស់អ្នកគឺមិនមាននរណាដឹងឡើយក្នុងយុគ្គសម័យមុន តែមិនមែនក្នុងយុគ្គសម័យ ​Google និងការចែករំលែកព័ត៌មានដ៏ច្រើនលើសលប់នៅក្នុង social media នោះទេ។ ហេតុដូច្នេះហើយ ការយកវាមកធ្វើជាចំលើយនៃសំណួរសម្ងាត់ គឺមិនមានភាពសំងាត់ទៀតឡើយ។

រូបភាព៖ ទម្រង់នៃសំណួរសំងាត់ដើម្បីស្រោចស្រង់ពាក្យសម្ងាត់ដែលអ្នកភ្លេច

ជាជាងការដាក់ចំលើយដែលស្មោះត្រង់ អ្នកគួរតែចាត់ទុកសំណួរទាំងនេះគឺជាពាក្យសម្ងាត់ទី២ របស់អ្នក ដែលត្រូវបង្កើតឡើងឱ្យខ្លាំង (strong), មានតែមួយ (unique) ហើយរក្សាវាទុកនៅក្នុង password manager ។

សរុបសេចក្តី

ការពារពាក្យសម្ងាត់របស់អ្នក គឺវាមានភាពងាយស្រួលបំផុត។ បើសិនជាអ្នកប្រើប្រាស់កម្មវីធីគ្រប់គ្រងពាក្យសម្ងាត់ (password manager), ប្រើប្រាស់ពាក្យសម្ងាត់មានតែមួយ ​(unique password), មានប្រវែង ១០តួយ៉ាងតិចសម្រាប់គណនីអនឡាញនិមួយៗ, បើកមុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់ (2FA) និងចាត់ទុក secret questions ឬ security questions ដូចជាពាក្យសម្ងាត់ទី២ នោះអ្នកនឹងទទួលបានសុវត្ថិភាពល្អប្រសើរបំផុត៕

ឯកសារយោង៖

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button