Sunday, April 15, 2012

လွ်ိဳ႕၀ွက္သေကၤတ(၁)

  ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၁)- Our Passwords (1)


အင္တာနက္နည္းပညာေတြ က်ယ္ျပန္႕လာတာနဲ႕ အမွ် ကၽြန္ေတာ္တို႕ရဲ႕ တကိုယ္ေရလံုျခံဳမႈ၊ လြတ္လပ္မႈနဲ႕ သီးျခားထင္ရွားမႈ ေတြဟာ ပိုျပီး အေရးၾကီးလာပါတယ္ ... သတင္းနည္းပညာေခတ္ၾကီးထဲမွာ အင္တာနက္ သံုးေနသူတိုင္းဟာ မိမိတို႕ရဲ႕ အမွတ္အသား (Identity) နဲ႕ လြတ္လပ္မႈ (Privacy) ေတြကို မသမာသူေတြရဲ႕ အလြဲသံုးစား အလုပ္ခံရတဲ့ အႏၱရာယ္ ကေန ဘယ္လိုကာကြယ္ၾကမလဲ ဆိုတာကို ေကာင္းေကာင္းနားလည္ထားဖို႕ အေရးၾကီးပါတယ္။ ဒီလို အကာအကြယ္ေပးဖို႕ဆိုတာ
  • ကိုယ္အသံုးျပဳေနတဲ့ စကား၀ွက္(Password) ေတြကို ေကာင္းစြာ အသံုးျပဳႏိုင္မႈနဲ႕
  • စကား၀ွက္ေတြရဲ႕ အကာအကြယ္ေပးႏိုင္မႈ ေတြကို ေကာင္းစြာ နားလည္မႈ ေတြအေပၚမွာ မူတည္ေနပါတယ္ ...
ကၽြန္ေတာ္တို႕ သံုးေနတဲ့ စကား၀ွက္ေတြကို မွတ္ရတာ၊ ခန္႔မွန္းရတာ လြယ္ေနလား ခက္သလားဆိုတာ ေအာက္မွာ စစ္ေဆး ၾကည့္လို႕ရပါတယ္ ...

  • အသံုးမ်ားေသာ၊ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
  • အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
  • User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
  • တိုေတာင္းေသာ (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းေသာ) စကား၀ွက္
  • အထက္ပါအတိုင္း တစ္ခုမွ မဟုတ္ေသာ စကား၀ွက္
တကယ္လို႕မ်ား အေပၚဘက္ေလးခုထဲက တစ္ခုခုနဲ႕ ကိုက္ညီေနျပီဆိုရင္ေတာ့ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြကို အျခားသူေတြက အလြယ္တကူ ခန္႕မွန္းႏိုင္မွာ ျဖစ္ျပီး အင္တာနက္ထဲမွာ “ကၽြန္ေတာ္မသိတဲ့ ကၽြန္ေတာ္ ” ေတြ အမ်ားၾကီး ေပၚလာႏိုင္ပါတယ္ ...

အားနည္းေသာ စကား၀ွက္မ်ား
အားနည္းတဲ့၊ လံုျခံဳမႈမရွိတဲ့ စကား၀ွက္မ်ားမွာ အခုလို လကၡဏာေတြ ရွိေနပါတယ္ ...
  1. အသံုးမ်ားေသာ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားျခင္း ...
    • ေျပာင္းျပန္ျပဳထားျခင္း (ဥပမာ - “terces”)
    • အၾကီးအေသးေရာထားျခင္း (ဥပမာ - SeCreT)
    • စာလံုးႏွင့္သေကၤတ လဲလွယ္အစားထိုးျခင္း (ဥပမာ - “$ecret”)
    • သရမ်ားဖယ္ထားျခင္း (ဥပမာ - “scrt”)
  2. အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားျခင္း
  3. User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာျခင္း
  4. တိုေတာင္းျခင္း (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းျခင္း)
  5. ကီးဘုတ္မွ စာလံုးတြဲမ်ားအေပၚ အေျခခံထားျခင္း (ဥပမာ - “qwerty”, “zxcvb”)
  6. စာလံုးတစ္ခုတည္းကိုသာ သံုးထားျခင္း (ဥပမာ - “kkkkkkkkk” “aabbccdd”)
  7. လိုင္စင္နံပါတ္၊ မွတ္ပံုတင္အမွတ္ စသည္တို႕မွ ဂဏန္းမ်ားကို အဆင္ေျပသလိုထည့္သံုးျခင္း
  8. မိမိအတြက္ မွတ္သားရန္ခက္ခဲေနေသာ စကား၀ွက္မ်ား ျဖစ္ျခင္း
စကား၀ွက္မ်ား မလံုျခံဳရျခင္း အေၾကာင္းမ်ား
အခုလို အခ်က္ေတြေၾကာင့္ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြဟာ မလံုမျခံဳျဖစ္တတ္ပါတယ္ ...
  1. စကား၀ွက္တစ္ခုကို ထပ္တလဲလဲ သံုးျခင္း
  2. မွတ္သားထားျခင္း (တစ္ေနရာတြင္ ေရးမွတ္ထားျခင္း)
  3. ေရးမွတ္ထားေသာ စကား၀ွက္ကို အျခားေနရာမ်ားတြင္ သံုးျခင္း
  4. (အထက္ပါ အေလ့အက်င့္ႏွစ္ခုကို ေပါင္းစပ္ ျပဳလုပ္ျခင္း)
  5. စကား၀ွက္မ်ားကို ေနရာ ႏွစ္ခု (သို႕မဟုတ္) ထို႕ထက္ပိုျပီး သံုးျခင္း
  6. စိတ္မခ်ရေသာ စနစ္မ်ားတြင္ စကား၀ွက္မ်ားကို ထပ္ခါထပ္ခါ အသံုးျပဳျခင္း (ဥပမာ - အြန္လိုင္း တြင္ကစားရေသာ ကစားနည္းမ်ား တြင္စကား၀ွက္တစ္ခုတည္းကို ထပ္ခါထပ္ခါ သံုးျခင္း)
မွတ္ခ်က္ -
  • စကား၀ွက္ လံုျခံဳမႈအတြက္ ေသာ့ခ်က္ အက်ဆံုးအရာမွာ စကား၀ွက္အတြင္းေပါင္းစပ္ ပါ၀င္ေနေသာ အရာမ်ားအေပၚ “ထြင္းေဖာက္ႏိုင္မႈ” (Crackability) အေပၚတြင္ တည္ေနသည္ ...
  • စကား၀ွက္မ်ားႏွင့္ သက္ဆိုင္သည့္ လုပ္နည္းစနစ္မ်ား အစီအစဥ္မ်ား အေပၚ ေကာင္းစြာမသိျခင္း၊ အထဲတြင္ ပါ၀င္ေနေသာ အရာမ်ားႏွင့္ စကား၀ွက္မ်ားကို “ထြင္းေဖာက္ျခင္း” (Cracking) ... တို႔သည္ လူတို႔၏ “ လံုျခံဳမႈ မရွိေသာ ” အျပဳအမူမ်ား၊ အေလ့အက်င့္မ်ား အေပၚ မ်ားစြာအေျခခံေနသည္ ...
အင္အားေကာင္းေသာ စကား၀ွက္မ်ား၏ လကၡဏာမ်ား
အင္အားေကာင္းတဲ့ ခန္႔မွန္းရခက္တဲ့ စကား၀ွက္မ်ား၏ လကၡဏာမ်ားကေတာ့ အခုလို ျဖစ္ပါတယ္ ....
  1. ေအာက္ပါတို႕အနက္ တစ္ခုစီ အနည္းဆံုး ပါ၀င္လ်က္ ရွိျခင္း
    • ကိန္းဂဏန္းမ်ား (0..9)
    • စာလံုးမ်ား (a..z..A...Z)
    • ပုဒ္ျဖတ္ ပုဒ္ရပ္ သေကၤတမ်ား (?,!,],:," စသည္)
    • Control Character (^s, Ctrl-s စသည္)
  2. ကဗ်ာစာပိုဒ္မ်ားမွ စာေၾကာင္းမ်ားတြင္ပါ၀င္ေနေသာ စာလံုးမ်ားအေပၚ အေျခခံျခင္း
    - ဥပမာ - Man may come and man may go, But I go on forever,
    - => MMCAMMGBIGOF => M2C@M2GBIG0F
    - တခါတရံတြင္
    Virtual Password မ်ားကို ရည္ညႊန္း အသံုးျပဳျခင္း
  3. မိမိအတြက္ အလြယ္တကူ မွတ္မိႏိုင္ေသာ္လည္း အျခားသူမ်ား အေနျဖင့္ ခန္႔မွန္းႏိုင္ရန္ အလြန္ခက္ခဲျခင္း (အလြယ္တကူ မျဖစ္ႏိုင္ျခင္း)
ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ား
လံုျခံဳ အားေကာင္းေသာ စကား၀ွက္မ်ား ျဖစ္ေစရန္ ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ားေကာင္းေတြကေတာ႔
  1. စကား၀ွက္မ်ားကို ထပ္ခါတလဲလဲ မသံုးျခင္း
  2. စကား၀ွက္တစ္ခုကို မည္သည့္ေနရာတြင္မဆို ဘယ္ေတာ့မွ ခ်ေရးမထားျခင္း
  3. ပံုဖ်က္ (Encrypted) ထားေသာ စကား၀ွက္ မ်ားကို ထားရွိရာေနရာ ရွိပါကလည္း ခ်ေရးမထားျခင္း
  4. ေနရာ၊ စနစ္၊ အေၾကာင္းအရာ တစ္ခုတိုင္းစီအတြက္ မတူညီေသာ စကား၀ွက္တစ္ခုစီကို သံုးျခင္း
  5. အခ်ဳိ႕ေသာ Trojan hosrse မ်ားသည္ မိမိတို႕၏ စကား၀ွက္မ်ားကို ခိုးႏိုင္ရန္အတြက္ မိမိသံုးေနၾက ၀က္ဘ္ဆိုက္ တစ္ခု၏ မူလစာမ်က္ႏွာ အတုတစ္ခု ဖန္တီးကာ User Name ႏွင့္ Password တို႕ကို ထည့္သြင္းခိုင္းေလ့ ရွိတတ္ ၾကသည္။ ထို႕ေၾကာင့္ -
    • မိမိ၀င္ေရာက္ရမည့္ ေနရာသည္ မွန္ကန္မႈရွိမရွိ အျမဲ သတိထား စစ္ေဆးျခင္း..
    • စိတ္ခ်ယံုၾကည္စြာ ၀င္ေရာက္ႏိုင္မည့္ အသိေပးခ်က္မ်ားေဖာ္ျပေပးျခင္းရွိမရွိ စစ္ေဆးျခင္း..
    • လိုအပ္ပါက reset လုပ္ျပီး ျပန္ဖြင့္ျခင္း
  6. မိမိ၏ Keyboard ကို တိိတ္တဆိတ္ ေစာင့္ၾကည့္ျပီး ရိုက္ႏွိပ္လိုက္သမွ်ကို မွတ္သားေနေသာ ပစၥည္းမ်ား၊ (စကား၀ွက္ ခိုးယူေသာ) ေဆာ့ဖ္၀ဲမ်ား (Keyloggers) ရွိမရွိ စစ္ေဆးျခင္း
  7. စကား၀ွက္မ်ားကို မၾကာခဏ အေျပာင္းအလဲ ျပဳလုပ္ျခင္း
  8. မိမိ၏ စကား၀ွက္မ်ားကို ရိုက္သြင္းေနစဥ္တြင္ ေစာင့္ၾကည့္၊ ေခ်ာင္းၾကည့္၊ မသိမသာ ၾကည့္ေနသူမ်ား ရွိမရွိ တတ္ႏိုင္သမွ် ဂရုျပဳ စစ္ေဆးျခင္း
  9. ေဆာ့ဖ္၀ဲမ်ားတြင္ ပါ၀င္ေလ့ရွိတတ္ေသာ “စကား၀ွက္မွတ္သားေပးပါ” (Remember Password) ဟူေသာ အဂၤါရပ္ကို ဘယ္ေတာ့မွ မသံုးျခင္း .. (ဥပမာ - Internet Explorer ) ၊(တနည္းအားျဖင့္ မိမိ၏ စကား၀ွက္ကို ေဆာ့ဖ္၀ဲျဖင့္ မွတ္ထားမႈ မျပဳျခင္း)
  10. လုပ္ငန္းခြင္တြင္ ျဖစ္ပါက အုပ္ခ်ဳပ္ေရးတြင္ တာ၀န္ရွိသူမ်ားက စကား၀ွက္မ်ား လံုျခံဳမႈ ရွိမရွိ စစ္ေဆးျခင္း
ဆက္ႏြယ္ေနေသာ အျခား အေၾကာင္းအရာမ်ား -
- ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၂) - Our Passwords (2)
- XSS, အင္တာနက္ လံုျခံဳေရး Internet Security - (စာညႊန္းမ်ား)

REF-
-http://web.mit.edu/net-security/www/pw.html
-http://www.umich.edu/~policies/pw-security.html
-http://www-cgi.cs.cmu.edu/~help/security/pass_sec.html
-http://en.wikipedia.org/wiki/Trojan_horse_(computing)
-http://en.wikipedia.org/wiki/reset

No comments:

Post a Comment