ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၂)- Our Passwords (2)
ကၽြန္ေတာ္တို႔ရဲ႕ စကား၀ွက္ေတြဟာ နည္းအမ်ဳိးမ်ဳိးနဲ႔ ခိုးယူခံရႏိုင္ပါတယ္ ...
အဲဒီနည္းေတြ အနက္က အမ်ားဆံုး သံုးေလ့ရွိတဲ့ နည္းႏွစ္ခုကေတာ႔ “အဘိဓါန္” နည္းစနစ္နဲ႔ “လူမႈ အင္ဂ်င္နီယာ” နည္းစနစ္ေတြပဲ ျဖစ္ပါတယ္..
အဘိဓါန္ နည္းစနစ္ (Dictionary attack)
“ဟက္ကာ” အမ်ားစုက အားနည္းတဲ့ စကား၀ွက္မ်ားကို ေဖာ္ထုတ္ႏိုင္ရန္အတြက္ မ်ားျပားက်ယ္ျပန္႔စြာရရွိႏိုင္ေသာ စကား၀ွက္ ခ်ဳိးဖ်က္ႏိုင္သည့္ အဘိဓါန္မ်ားကို အသံုးျပဳၾကပါတယ္။ အဲဒီလို အဘိဓါန္ေတြကို အသံုးျပဳတိုက္ခိုက္တဲ့ နည္းစနစ္ျဖစ္တာမို႕ “ အဘိဓါန္ ” Dictionary Attack လို႔ ေခၚၾကတာ ျဖစ္ပါတယ္။ အဲဒီအတြက္ေၾကာင့့္ မိမိတို႔မွာ အႏၱရာယ္ ၾကံဳေတြ႔လာႏိုင္သည့္ အေျခအေနမ်ား၊ နည္းလမ္းမ်ားကို ေလ်ာ့ခ်ႏိုင္ရန္အတြက္ “အားေကာင္း ခိုင္မာေသာ စကား၀ွက္” မ်ားကို ဖန္တီး၊ အသံုးျပဳၾကရမွာ ျဖစ္ပါတယ္ ...
မွတ္ခ်က္ -
စကား၀ွက္မ်ားကို အသံုးျပဳထားျခင္းသည္ ကြန္ပ်ဳတာ လံုျခံဳေရးစနစ္ နယ္ပယ္တြင္ အဓိကက်ေသာ ေပ်ာ့ကြက္ တစ္ခုျဖစ္သည္။ အေၾကာင္းမွာ အဘိဓါန္နည္းစနစ္ကို အသံုးျပဳကာ အလိုအေလ်ာက္စနစ္ျဖင့္ အလုပ္လုပ္ေနေသာ ပရိုဂရမ္မ်ားျဖင့္ စကား၀ွက္မ်ားကို ခန္႔မွန္းရသည္မွာ လြယ္ကူေၾကာင္း မၾကာခဏ ေလ့လာေတြ႕ရွိရျခင္းေၾကာင့္ ျဖစ္သည္။
လူမႈ အင္ဂ်င္နီယာ နည္းစနစ္ (Social engineering attack)
“ လူမႈ အင္ဂ်င္နီယာ ” ေလာကမွာ မေကာင္းသတင္းျဖင့္ အေက်ာ္ၾကားဆံုး ပုဂၢိဳလ္ “ကီဗင္မင္နစ္ခ္” (Kevin Mitnick) ေျပာခဲ့တဲ့ စကားတစ္ခြန္းကေတာ့ “ လူသားေတြဟာ အားအေပ်ာ့ဆံုးေသာ ေနရာမွာ ရွိေနတယ္။ သင့္ထံတြင္ အေကာင္းဆံုးေသာ နည္းပညာမ်ား ရွိေကာင္း ရွိေနႏိုင္တယ္ ... ဒါေပမယ့္ တစ္စံုတစ္ေယာက္ဟာ ၀န္ထမ္းတစ္ေယာက္ေယာက္ကို သံသယမရွိ ယံုၾကည္လာေအာင္ လွည့္စားႏိုင္လိုက္တာနဲ႕ သူလိုခ်င္တဲ့ အခ်က္အလက္ စတဲ့ လိုအပ္သည့္ အရာမ်ား အားလံုးကို ရရွိသြား ႏိုင္ပါတယ္ ..”
အဲဒါေၾကာင့္ ရင္ဆိုင္လာရမည့္ ေဘးရန္မ်ားကို ေလ်ာ့ခ်ႏိုင္ရန္အတြက္
ကၽြန္ေတာ္တို႔၏ အမွတ္အသားႏွင့္ လြတ္လပ္မႈ
စကား၀ွက္ေတြဟာ ကၽြန္ေတာ္တို႔ရဲ႕ ကိုယ္ပိုင္ အမွတ္အသားျဖစ္ပါတယ္။ လူခ်င္း ေတြ႕စရာမလိုဘဲ အလုပ္လုပ္ေနၾကတဲ့ အင္တာနက္ထဲမွာ ကၽြန္ေတာ္တို႔ကို အျခားသူမ်ားႏွင့္ မတူညီေအာင္၊ သီးျခားလြတ္လပ္မႈ ရွိေနေစေအာင္ ဖန္တီး ေပးထားႏိုင္စြမ္း ရွိေနတဲ့ တစ္ခုတည္းေသာ အရာဟာ စကား၀ွက္ေတြပဲ ျဖစ္ပါတယ္။ အဲဒါေၾကာင့္ စကား၀ွက္ကို“ တစ္စံုတစ္ရာ၏ ကိုယ္ပိုင္အမွတ္အသား ျဖစ္ေၾကာင္း အတည္ျပဳေပးႏိုင္ေသာ၊ ၄င္းတစ္စံုတစ္ရာႏွင့္သက္ဆိုင္ေနသည့္ သတင္းအခ်က္အလက္ အစုအေ၀းတစ္ရပ္”
လို႔ ေျပာႏိုင္ပါတယ္။
စကား၀ွက္ေတြကို ဘာေၾကာင့္သံုးရသလဲ ေျပာရမယ္ဆိုရင္“ တစ္စံုတစ္ရာသည္ ထိုတစ္စံုတစ္ရာ အစစ္အမွန္ျဖစ္ေၾကာင္း
လို႔ ေျပာရမွာ ျဖစ္ပါတယ္..
အတည္ျ႔ပဳ (authentication) ရန္အတြက္ အသံုးျပဳေလ့ ရွိသည္..”
လူခ်င္းေတြ႕စရာမလိုဘဲ အလုပ္လုပ္ႏိုင္ေစဖို႔ အတြက္ တစ္ဦးခ်င္းစီမွာ“ မည္သူႏွင့္မွ မတူညီေသာ သီးျခားအမည္ တစ္ခုစီ ” နဲ႕ သက္ဆိုင္ရာ “ စကား၀ွက္ တစ္ခုစီ ”
သတ္မွတ္ထားရွိျပီး သက္ဆိုင္ရာေနရာကို ၀င္ေရာက္ရတဲ့ အခါတိုင္း၊ မွန္ေအာင္ထည့္သြင္းျပီး ၀င္ေရာက္ ေနၾကရတာဟာ အင္တာနက္ သံုးေနသူေတြအတြက္ အထူးေျပာေနစရာ မလိုေအာင္ကို လုပ္ေနၾက အလုပ္တစ္ခုလို ျဖစ္လို႔ေနပါျပီ .. အဲဒီေနရာမွာ အခ်င္းခ်င္း ဆက္သြယ္ႏိုင္ဖို႔ အတြက္ အခ်ဳိ႕ေသာ စနစ္မ်ားမွာ “ ကိုယ္ပိုင္အမည္ (Registration name, User name) ” နဲ႔ အမ်ားကို ေဖာ္ျပေပးတဲ့ “ အမ်ားသိတဲ့ အမည္ (Screen name)” ဆိုျပီး သီးျခားစီ ထားရွိၾကတာ ၾကံဳဖူးၾကမွာပါ ... ဒါမ်ဳိးေတြဟာ လံုျခံဳမႈစနစ္ကို ပိုေကာင္းေစတဲ့ သေဘာပဲ ျဖစ္ပါတယ္...
ဒီလို ၀င္ေရာက္ၾကတဲ့ အခါမွာ ထည့္သြင္းလိုက္တဲ့ အမည္နဲ႔ စကား၀ွက္ အေပၚမူတည္ျပီး “ ဒါ ဘယ္သူ ဘယ္၀ါ ျဖစ္တယ္ ” ဆိုတာကို သက္ဆိုင္ရာ စနစ္က သတ္မွတ္ ဆံုးျဖတ္သြားတာ ျဖစ္ပါတယ္ ... သက္ဆိုင္တဲ့သူ အစစ္အမွန္ ျဖစ္မျဖစ္ ဆိုတာကို စကား၀ွက္ေလး တစ္ခုတည္းနဲ႔ ဆံုးျဖတ္သြားတာမို႔ စကား၀ွက္ေတြဟာ အေတာ္ေလး အေရးၾကီးတာ သိသာပါတယ္ .... အမည္ေတြကေတာ့ အျခားသူေတြလည္း ကိုယ့္ရဲ႕ အမည္ကို သိေနၾကတာမို႔ စကား၀ွက္ေလး တစ္ခုတည္းပဲ ထိန္းေနတာ ျဖစ္ပါတယ္ ... မွန္ေအာင္ထည့္သြင္းလိုက္ႏိုင္တာနဲ႔ သက္ဆိုင္ရာ စနစ္ထဲကို ၀င္ေရာက္သြားႏိုင္တာကို " Log In " လို႔ေျပာၾကတာပါပဲ ...
မွတ္ခ်က္ -
စကား၀ွက္ေတြမွာ လံုျခံဳေရးနဲ႔ သက္ဆိုင္တဲ့ အားနည္းခ်က္ေတြ အမ်ားၾကီးရွိေနတာ သိထားၾကေပမယ့္လည္း လူတစ္ေလာက္ကို မျမင္ေတြ႕ရဘဲ အဲဒီသူ အမွန္ျဖစ္ေၾကာင္း စစ္ေဆးဖို႔အတြက္ နည္းလမ္းတစ္ခု အျဖစ္ အခုထိ အသံုးျပဳေနရဆဲပဲ ျဖစ္ပါတယ္ ...
တိုက္ခိုက္ခံရလွ်င္
အကယ္၍ ကၽြန္ေတာ္တို႔ မဟုတ္တဲ့ အျခားသူတစ္ဦးက ကၽြန္ေတာ္တို႔ရဲ႕ စကား၀ွက္ကို သိသြားျပီး စနစ္တစ္ခုထဲကို ကၽြန္ေတာ္တို႔ ဟန္ေဆာင္ျပီး ၀င္ေရာက္သြားခဲ့မယ္ဆိုရင္ အဲဒီသူ အေနနဲ႔ အဲဒီစနစ္ထဲ (ဥပမာ - web site, ဘဏ္စာရင္း စသည္) မွာ ရွိေနတဲ့
မွတ္ခ်က္ -
အင္တာနက္ထဲမွာ အလုပ္လုပ္ေနတဲ့ ၀က္ဘ္ဆိုဒ္တစ္ခုမွာ အသံုးျပဳေနတဲ့ စကား၀ွက္စနစ္တစ္ခု လံုျခံဳဖို႔ဆိုတာဟာ အဲဒီစနစ္ကို အသံုးျပဳေနၾကတဲ့ သူေတြရဲ႕ “ လံုျခံဳေရးဆိုင္ရာအသိမ်ားနဲ႕ သတိထား လုပ္ေဆာင္မႈမ်ား ” အေပၚမွာ အေတာ္ေလး ခိုင္ခိုင္မာမာ ရပ္တည္ေနပါတယ္ ...
စကား၀ွက္မ်ားႏွင့္ ပတ္သက္၍ မွတ္သားထားသင့္သည့္ အခ်က္မ်ား
ဆက္ႏြယ္ေနေသာ အျခား အေၾကာင္းအရာမ်ား -
- ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၁) - Our Passwords (1)
- လူမႈအင္ဂ်င္နီယာ Social Engineering
- XSS, အင္တာနက္ လံုျခံဳေရး Internet Security - (စာညႊန္းမ်ား)
REF-
-http://web.mit.edu/net-security/www/pw.html
-http://www.umich.edu/~policies/pw-security.html
-http://www-cgi.cs.cmu.edu/~help/security/pass_sec.html
-http://en.wikipedia.org/wiki/Trojan_horse_(computing)
-http://en.wikipedia.org/wiki/reset
