ទោះបីជាមានការជឿនលឿនថ្មីៗក្នុងបច្ចេកវិទ្យាផ្ទៀងផ្ទាត់សិទ្ធិ (authentication) ក៏ដោយ លេខសំងាត់នៅតែជាវិធីដែលអ្នកប្រើប្រាស់ចូលទៅកាន់សេវាកម្មភាគច្រើន។ នោះហើយជាមូលហេតុដែលវាគួរឱ្យសោកស្តាយ ដែលមនុស្សជាច្រើនប្រើពាក្យសម្ងាត់មិនបានសមស្រប។ យោងតាមការវិភាគថ្មីៗនេះបានឱ្យដឹងថា មាន ៨៦% នៃអ្នកប្រើប្រាស់ប្រើលេខសម្ងាត់ គឺប្រើពាក្យសម្ងាត់ដែលត្រូវបានគេបំបែករួចទៅហើយ។ យើងនឹងនិយាយអំពីអ្វីដែលត្រូវការដើម្បីបង្កើតពាក្យសម្ងាត់រឹងមាំ និងអនុវត្តសុវត្ថិភាពពាក្យសម្ងាត់ល្អ។
ការណែនាំដំបូង
ចង់បាននូវពាក្យសម្ងាត់ដែលខ្លាំង និងល្អបំផុត ខាងក្រោមនេះគឺជាការណែនាំ៖
- តើពាក្យសម្ងាត់ត្រូវមានប្រវែងប្រមាណ? មានប្រវែង ១០តួ យ៉ាងតិចបំផុត។ ប្រវែងរបស់ពាក្យសម្ងាត់ គឺមានសារៈសំខាន់ណាដែលកំណត់ភាពខ្លាំងរបស់វា
- តើអ្នកគួរតែផ្លាស់ប្តូរពាក្យសម្ងាត់របស់អ្នកដែរឬទេ? អ្នកគួរតែផ្លាស់ប្តូរ បើសិនជាអ្នកគិតថា វាមិនមានសុវត្ថិភាព។ មិនត្រូវបង្ខំឱ្យអ្នកប្រើប្រាស់ ធ្វើការប្រើប្រាស់ពាក្យសម្ងាត់ដដែលនោះទេ។ ធ្វើបែបនេះវាមិនមានសុវត្ថិភាពឡើយ
- តើខ្ញុំអាចប្រើប្រាស់ពាក្យសម្ងាត់តែមួយដដែលៗនៅក្នុងវេបសាយផ្សេងៗគ្នាបានទេ? មិនត្រូវធ្វើដូច្នេះទេ។ រាល់សេវាអនឡាញទាំងអស់ត្រូវតែមានពាក្យសម្ងាត់ផ្សេងៗគ្នា ហេតុដូច្នេះហើយអ្នក មិនចាំបាច់ធ្វើការផ្លាស់ប្តូរវាទាំងអស់ឡើយ នៅពេលដែលមានការលួចនៅក្នុងសេវាអនឡាញណាមួយ
- តើខ្ញុំត្រូវចងចាំពាក្យសម្ងាត់នោះយ៉ាងដូចម្តេច? មិនត្រូវព្យាយាមចងចាំពាក្យសម្ងាត់របស់អ្នកនោះទេ សូមប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (password manager)។ បើសិនជាអ្នកមិនចង់ប្រើទេ សូមសរសេរវាទុកដោយឡែកនៅក្នុងសៀវភៅ ឬកន្លែងដែលអ្នកគិតថាមានសុវត្ថិភាព
- ចុះចំណែកឯ two-factor authentication (2FA)? ចូរបើកដំណើរការមុខងារនេះ បើសិនជាមាន។ សូមប្រើប្រាស់វិធីសាស្ត្រ two-factor ដែលខ្លាំង។ ការប្រើប្រាស់ SMS text message គឺខ្សោយណាស់ បើសិនជាអាចសូមប្រើប្រាស់ software 2FA ឬក៏ដែលខ្លាំងជាងគេនោះគឺប្រភេទ 2FA hardware
- ចុះសំណួរសម្រាប់ធ្វើការស្រោចស្រង់ពាក្យសម្ងាត់? មិនត្រូវផ្តល់ចំណែកត្រឹមត្រូវ ហើយជាក់លាក់ (ស្មោះត្រង់) ពេកទេសម្រាប់ secret questions ឬ recovery questions។ សម្រាប់សុវត្ថិភាពខ្ពស់បំផុតនោះ សូមប្រើប្រាស់ចំលើយដែលសំងាត់សម្រាប់សំណួរនិមួយៗ ហើយរក្សាវាទុកឱ្យបានត្រឹមត្រូវ។
តើអ្វីទៅដែលធ្វើឱ្យពាក្យសម្ងាត់ខ្លាំង?
កត្តាមួយដែលសំខាន់បំផុតនៅក្នុងសុវត្ថិភាពនៃពាក្យសម្ងាត់គឺ តើពាក្យសម្ងាត់នោះត្រូវរក្សាទុកយ៉ាងដូចម្តេច? ពាក្យសម្ងាត់គួរតែត្រូវបានរក្សាទុកនៅក្នុងទម្រង់កូដនីយកម្ម (encrypted) ដោយប្រើប្រាស់នូវ cryptographic algorithms ដែលខ្លាំង។ បើសិនជាពាក្យសម្ងាត់មិនត្រូវបានធ្វើកូដនីយកម្មនោះទេ នោះអ្វីដែលអាចការពារពាក្យសម្ងាត់នោះបាន គឺធ្វើយ៉ាងណាកុំឱ្យមានការវាយលុកចូលលួចបាន។
កត្តាដែលអ្នកអាចគ្រប់គ្រងបាននោះគឺប្រវែងនៃពាក្យសម្ងាត់
ពាក្យសម្ងាត់ដែលពិបាក គឺដោយសារតែប្រវែងរបស់វា។ ជាឧទាហរណ៍ ពាក្យសម្ងាត់ដែលមានប្រវែង ៩តួ ត្រូវចំណាយពេលប្រមាណជា ២ម៉ោងដើម្បីធ្វើការវាយលុកទស្សទាយ (brute force) ដោយប្រើប្រាស់កុំព្យូទ័រមានល្បឿនជាមធ្យមភាគ។ បើសិនជាយើងធ្វើការបន្ថែមតែ ១តួ ទៅលើពាក្យសម្ងាត់នេះ វាអាចនឹងចំណាយពេល ៧ថ្ងៃ បើសិនជាយើងដាក់ដល់ ១២តួ នោះវាអាចចំណាយពេល ២ទសវត្ស។
ចុះថាតើ វាមានប្រវែងប៉ុន្មានបានគ្រប់គ្រាន់? វាអាស្រ័យទៅតាមកម្រិតនៃអ្នកវាយប្រហារ ប៉ុន្តែបើសិនជា មានការធ្វើកូដនីយកម្មត្រឹមត្រូវ ពាក្យសម្ងាត់ ១០តួ គឺគ្រប់គ្រាន់ទៅហើយ។
ចំនុចមួយទៀតដែលសំខាន់ដែលនោះ គឺពាក្យសម្ងាត់មានតែមួយប៉ុណ្ណោះ (uniqueness)
ដូចដែលអ្នកបានដឹងរួចមកហើយថា ពាក្យសម្ងាត់ដែលបានបែកធ្លាយ នឹងត្រូវប្រើប្រាស់ដើម្បីធ្វើការព្យាយាមវាយលុកចូលទៅកាន់គណនីរបស់អ្នក។ មានន័យថា បើសិនជាអ្នកប្រើប្រាស់ពាក្យសម្ងាត់ដដែលៗនោះ គឺមិនល្អហើយ។ បើសិនជាពាក្យសម្ងាត់មានតែមួយ នោះមានតែពាក្យសម្ងាត់តែមួយប៉ុណ្ណោះដែលអាចផ្លាស់ប្តូរ បើសិនជាមានសេវាអនឡាញណាមួយត្រូវបានវាយលុកដោយជោគជ័យ។
អ្នកក៏មិនត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ដែលគេនិយមផងដែរ ដូចជាពាក្យសម្ងាត់ ឬឃ្លាណាដែលគេដាក់បង្ហាញជាសាធារណៈជាដើម។ ទោះបីជាវាងាយស្រួលចាំ ហើយនឹងប្រវែងវែងក៏ដោយ ក៏នៅមានឱកាសដែលមាននណាម្នាក់បានប្រើប្រាស់វារួចទៅហើយ។
តើអ្នកត្រូវធ្វើដូចម្តេច?
សង្ខេបមកវិញ ពាក្យសម្ងាត់ដែលល្អបំផុតនោះ គឺយ៉ាងហោចណាស់មានប្រវែង១០តួ រក្សាទុកដោយមានសុវត្ថិភាព និងមានតែមួយ (unique)។ វាងាយណាស់មែនទេ? មើលទៅដូចជាមិនមែនទេ។
ជាសំណាងល្អ មាននូវបច្ចេកទេសជាច្រើន និងបច្ចេកវិទ្យាដែលជួយអ្នកក្នុងការពង្រឹងសុវត្ថិភាពពាក្យសម្ងាត់របស់អ្នក។ បើសិនជាអ្នកប្រើប្រាស់វាបានល្អ មាននូវការអនុវត្តល្អៗ គឺវាមានភាពងាយស្រួលណាស់។
១. ប្រើប្រាស់នូវកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (Password Manager)
មានកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ជាច្រើនដែលកំពុងតែមាននៅលើទីផ្សារ ហើយមានមុខងារដូចៗគ្នាប៉ុណ្ណោះ។ Password Manager អនុញ្ញាតឱ្យអ្នកមាននូវពាក្យសម្ងាត់មេមួយដែលខ្លាំង (master password) ដើម្បីធ្វើការគ្រប់គ្រងទៅលើពាក្យសម្ងាត់ជាច្រើនទៀតរបស់សេវាអនឡាញដែលអ្នកប្រើប្រាស់ ហើយត្រូវបានរក្សាទុកដោយមានការធ្វើកូដនីយកម្មត្រឹមត្រូវ។ ធ្វើបែបនេះ វាមានភាពងាយស្រួល ក្នុងការមាននូវពាក្យសម្ងាត់ដែលមានសុវត្ថិភាព (secure), មានតែមួយ (unique) និងមានភាពប្រាកដថា បើសិនជាមានសេវាអនឡាញណាមួយត្រូវបានហេគ អ្នកត្រូវការផ្លាស់ប្តូរពាក្យសម្ងាត់តែមួយប៉ុណ្ណោះ។ មានកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់មួយចំនួន ក៏ធ្វើការជូនដំណឹងដល់អ្នកផងដែរ នៅពេលដែលសេវាអនឡាញណាមួយត្រូវបានគេហេគផងដែរ។
ដរាបណាដែលអ្នកធ្វើតាមការណែនាំក្នុងការបង្កើតនូវ master password ដែលខ្លាំង នោះហានិភ័យ នៃការលួចពាក្យសម្ងាត់គឺមានតិចណាស់។ អ្នកនឹងមានសុវត្ថិភាពជាងអ្នកដែលមិនបានប្រើប្រាស់កម្មវិធី គ្រប់គ្រងពាក្យសម្ងាត់។
២. បើកមុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់ (Two-factor authentication (2FA))
មុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់គឺជាការបន្ថែមដ៏ល្អប្រសើរបំផុតបន្ថែមពីលើពាក្យសម្ងាត់។ វាបានបន្ថែមស្រទាប់មួយទៀតនៅក្នុងដំណាក់កាលនៃការលួចគណនីអនឡាញរបស់អ្នក។ ក្នុងខណៈពេលដែលមាននូវវិធីសាស្ត្រក្នុងការរំលង 2FA ក៏ប៉ុន្តែបច្ចេកទេសនេះមិនអាចត្រូវបានធ្វើដោយស្វ័យប្រវត្តិឡើយ ហើយទាមទារឱ្យមានការរៀបចំគោលដៅច្បាស់លាស់ណាស់ ដោយប្រើប្រាស់បច្ចេកទេស phishing និង social engineering។
ជាករណីពិេសស អ្នកគួរតែព្យាយាមមិនប្រើប្រាស់ 2FA ប្រភេទជា text message ដូចជា SMS (ដែលយើងពិនិត្យឃើញថានៅតែមានការប្រើប្រាស់ទូលំទូលាយនៅឡើយ) ដោយសារតែលទ្ធភាពនៃការលួច យក text message នោះគឺកាន់តែការកើនឡើង ដូចជាតាមរយៈវិធីសាស្ត្រ SIMJacking ជាដើម។
ដំណោះស្រាយទៅលើបញ្ហានេះ គឺការប្រើប្រាស់ 2FA ប្រភេទជា App វិញ ដូចជា Google Authenticator ឬ Authy ដែលអាចទប់ស្កាត់ការវាយប្រហារលួចបាន។ អ្នកគួរតែប្រើប្រាស់វា បើសិនជាសេវាអនឡាញរបស់អ្នកគាំទ្រកម្មវិធីនេះ។
មុខងារ 2FA ដែលខ្លាំងបំផុតនោះគឺជាប្រភេទ hardware ដូចជាឧបករណ៍ Yubikey ជាដើម ដែលទាមទារឱ្យមានការប្រើប្រាស់ឧបករណ៍នោះផ្ទាល់តែម្តងដើម្បីធ្វើការផ្ទៀងផ្ទាត់សិទ្ធិអ្នកប្រើប្រាស់។
៣. ចាត់ទុកសំណួរសម្ងាត់ (secret questions) ដូចជាពាក្យសម្ងាត់ទី២ របស់អ្នក
យើងតែងតែមើលរំលងទៅលើចំនុចខ្សោយមួយនៅក្នុងការបង្កើតពាក្យសម្ងាត់ នោះគឺសំណួរសម្ងាត់ ដែលនឹងប្រើប្រាស់សម្រាប់ធ្វើការស្រោចស្រង់ពាក្យសម្ងាត់ (ក្នុងករណីដែលអ្នកភ្លេច)។ ចំលើយទៅនឹងសំណួរទាំងនេះ គឺគួរតែខ្លី ហើយមិនមានភាពស្មុគស្មាញ។ ឈ្មោះរបស់សាលារៀនដំបូង ឬសត្វចិញ្ចឹមដំបូងរបស់អ្នកគឺមិនមាននរណាដឹងឡើយក្នុងយុគ្គសម័យមុន តែមិនមែនក្នុងយុគ្គសម័យ Google និងការចែករំលែកព័ត៌មានដ៏ច្រើនលើសលប់នៅក្នុង social media នោះទេ។ ហេតុដូច្នេះហើយ ការយកវាមកធ្វើជាចំលើយនៃសំណួរសម្ងាត់ គឺមិនមានភាពសំងាត់ទៀតឡើយ។
ជាជាងការដាក់ចំលើយដែលស្មោះត្រង់ អ្នកគួរតែចាត់ទុកសំណួរទាំងនេះគឺជាពាក្យសម្ងាត់ទី២ របស់អ្នក ដែលត្រូវបង្កើតឡើងឱ្យខ្លាំង (strong), មានតែមួយ (unique) ហើយរក្សាវាទុកនៅក្នុង password manager ។
សរុបសេចក្តី
ការពារពាក្យសម្ងាត់របស់អ្នក គឺវាមានភាពងាយស្រួលបំផុត។ បើសិនជាអ្នកប្រើប្រាស់កម្មវីធីគ្រប់គ្រងពាក្យសម្ងាត់ (password manager), ប្រើប្រាស់ពាក្យសម្ងាត់មានតែមួយ (unique password), មានប្រវែង ១០តួយ៉ាងតិចសម្រាប់គណនីអនឡាញនិមួយៗ, បើកមុខងារផ្ទៀងផ្ទាត់សិទ្ធិពីរស្រទាប់ (2FA) និងចាត់ទុក secret questions ឬ security questions ដូចជាពាក្យសម្ងាត់ទី២ នោះអ្នកនឹងទទួលបានសុវត្ថិភាពល្អប្រសើរបំផុត៕
ឯកសារយោង៖