Sunday, April 15, 2012

လွ်ိဳ႕၀ွက္သေကၤတ(၂)



ကၽြန္ေတာ္တို႔ရဲ႕ စကား၀ွက္ေတြဟာ နည္းအမ်ဳိးမ်ဳိးနဲ႔ ခိုးယူခံရႏိုင္ပါတယ္ ...
အဲဒီနည္းေတြ အနက္က အမ်ားဆံုး သံုးေလ့ရွိတဲ့ နည္းႏွစ္ခုကေတာ႔ “အဘိဓါန္” နည္းစနစ္နဲ႔ “လူမႈ အင္ဂ်င္နီယာ” နည္းစနစ္ေတြပဲ ျဖစ္ပါတယ္..

အဘိဓါန္ နည္းစနစ္ (Dictionary attack)
“ဟက္ကာ” အမ်ားစုက အားနည္းတဲ့ စကား၀ွက္မ်ားကို ေဖာ္ထုတ္ႏိုင္ရန္အတြက္ မ်ားျပားက်ယ္ျပန္႔စြာရရွိႏိုင္ေသာ စကား၀ွက္ ခ်ဳိးဖ်က္ႏိုင္သည့္ အဘိဓါန္မ်ားကို အသံုးျပဳၾကပါတယ္။ အဲဒီလို အဘိဓါန္ေတြကို အသံုးျပဳတိုက္ခိုက္တဲ့ နည္းစနစ္ျဖစ္တာမို႕
“ အဘိဓါန္ ” Dictionary Attack လို႔ ေခၚၾကတာ ျဖစ္ပါတယ္။ အဲဒီအတြက္ေၾကာင့့္ မိမိတို႔မွာ အႏၱရာယ္ ၾကံဳေတြ႔လာႏိုင္သည့္ အေျခအေနမ်ား၊ နည္းလမ္းမ်ားကို ေလ်ာ့ခ်ႏိုင္ရန္အတြက္ “အားေကာင္း ခိုင္မာေသာ စကား၀ွက္” မ်ားကို ဖန္တီး၊ အသံုးျပဳၾကရမွာ ျဖစ္ပါတယ္ ...


မွတ္ခ်က္ -
စကား၀ွက္မ်ားကို အသံုးျပဳထားျခင္းသည္ ကြန္ပ်ဳတာ လံုျခံဳေရးစနစ္ နယ္ပယ္တြင္ အဓိကက်ေသာ ေပ်ာ့ကြက္ တစ္ခုျဖစ္သည္။ အေၾကာင္းမွာ အဘိဓါန္နည္းစနစ္ကို အသံုးျပဳကာ အလိုအေလ်ာက္စနစ္ျဖင့္ အလုပ္လုပ္ေနေသာ ပရိုဂရမ္မ်ားျဖင့္ စကား၀ွက္မ်ားကို ခန္႔မွန္းရသည္မွာ လြယ္ကူေၾကာင္း မၾကာခဏ ေလ့လာေတြ႕ရွိရျခင္းေၾကာင့္ ျဖစ္သည္။

လူမႈ အင္ဂ်င္နီယာ နည္းစနစ္ (Social engineering attack)
“ လူမႈ အင္ဂ်င္နီယာ ” ေလာကမွာ မေကာင္းသတင္းျဖင့္ အေက်ာ္ၾကားဆံုး ပုဂၢိဳလ္ “ကီဗင္မင္နစ္ခ္” (Kevin Mitnick) ေျပာခဲ့တဲ့ စကားတစ္ခြန္းကေတာ့ “ လူသားေတြဟာ အားအေပ်ာ့ဆံုးေသာ ေနရာမွာ ရွိေနတယ္။ သင့္ထံတြင္ အေကာင္းဆံုးေသာ နည္းပညာမ်ား ရွိေကာင္း ရွိေနႏိုင္တယ္ ... ဒါေပမယ့္ တစ္စံုတစ္ေယာက္ဟာ ၀န္ထမ္းတစ္ေယာက္ေယာက္ကို သံသယမရွိ ယံုၾကည္လာေအာင္ လွည့္စားႏိုင္လိုက္တာနဲ႕ သူလိုခ်င္တဲ့ အခ်က္အလက္ စတဲ့ လိုအပ္သည့္ အရာမ်ား အားလံုးကို ရရွိသြား ႏိုင္ပါတယ္ ..”

အဲဒါေၾကာင့္ ရင္ဆိုင္လာရမည့္ ေဘးရန္မ်ားကို ေလ်ာ့ခ်ႏိုင္ရန္အတြက္

  • အျမဲတမ္း သတိ၀ိရိယရွိျခင္း ၊ အရာရာကို အမွတ္တမဲ့ မေနပဲ စူးစမ္းေလ့လာ စပ္စုျခင္း ...
  • မိမိ ရိုက္ႏွိပ္လိုက္သည့္ စကား၀ွက္ ခလုတ္မ်ားကို အျခားသူမ်ားမွ ေစာင့္ၾကည့္ေနျခင္း ရွိမရွိ ဂရုစိုက္ျခင္း ...
  • မိမိထံမွ အေရးၾကီးေသာ မည္သည့္ သတင္းအခ်က္အလက္မ်ားကိုမဆို ေပးလိုက္ရေတာ့မည္ဆိုပါက လက္ခံသူမွာ အမွန္တကယ္ေပးရမည့္သူျဖစ္ေၾကာင္း မွန္ကန္မႈရွိမရွိ စစ္ေဆးျခင္း၊ ယံုၾကည္ႏိုင္ရသူျဖစ္ပါမွ ေပးျခင္း ... စတဲ့ အခ်က္ေလးေတြကို အျမဲဂရုျပဳ ေနဖို႕လိုအပ္ပါတယ္။
ကၽြန္ေတာ္တို႔၏ အမွတ္အသားႏွင့္ လြတ္လပ္မႈ
စကား၀ွက္ေတြဟာ ကၽြန္ေတာ္တို႔ရဲ႕ ကိုယ္ပိုင္ အမွတ္အသားျဖစ္ပါတယ္။ လူခ်င္း ေတြ႕စရာမလိုဘဲ အလုပ္လုပ္ေနၾကတဲ့ အင္တာနက္ထဲမွာ ကၽြန္ေတာ္တို႔ကို အျခားသူမ်ားႏွင့္ မတူညီေအာင္၊ သီးျခားလြတ္လပ္မႈ ရွိေနေစေအာင္ ဖန္တီး ေပးထားႏိုင္စြမ္း ရွိေနတဲ့ တစ္ခုတည္းေသာ အရာဟာ စကား၀ွက္ေတြပဲ ျဖစ္ပါတယ္။ အဲဒါေၾကာင့္ စကား၀ွက္ကို
“ တစ္စံုတစ္ရာ၏ ကိုယ္ပိုင္အမွတ္အသား ျဖစ္ေၾကာင္း အတည္ျပဳေပးႏိုင္ေသာ၊ ၄င္းတစ္စံုတစ္ရာႏွင့္သက္ဆိုင္ေနသည့္ သတင္းအခ်က္အလက္ အစုအေ၀းတစ္ရပ္”
လို႔ ေျပာႏိုင္ပါတယ္။
စကား၀ွက္ေတြကို ဘာေၾကာင့္သံုးရသလဲ ေျပာရမယ္ဆိုရင္
“ တစ္စံုတစ္ရာသည္ ထိုတစ္စံုတစ္ရာ အစစ္အမွန္ျဖစ္ေၾကာင္း
အတည္ျ႔ပဳ (authentication) ရန္အတြက္ အသံုးျပဳေလ့ ရွိသည္..”
လို႔ ေျပာရမွာ ျဖစ္ပါတယ္..
လူခ်င္းေတြ႕စရာမလိုဘဲ အလုပ္လုပ္ႏိုင္ေစဖို႔ အတြက္ တစ္ဦးခ်င္းစီမွာ
“ မည္သူႏွင့္မွ မတူညီေသာ သီးျခားအမည္ တစ္ခုစီ ” နဲ႕ သက္ဆိုင္ရာ “ စကား၀ွက္ တစ္ခုစီ ”
သတ္မွတ္ထားရွိျပီး သက္ဆိုင္ရာေနရာကို ၀င္ေရာက္ရတဲ့ အခါတိုင္း၊ မွန္ေအာင္ထည့္သြင္းျပီး ၀င္ေရာက္ ေနၾကရတာဟာ အင္တာနက္ သံုးေနသူေတြအတြက္ အထူးေျပာေနစရာ မလိုေအာင္ကို လုပ္ေနၾက အလုပ္တစ္ခုလို ျဖစ္လို႔ေနပါျပီ .. အဲဒီေနရာမွာ အခ်င္းခ်င္း ဆက္သြယ္ႏိုင္ဖို႔ အတြက္ အခ်ဳိ႕ေသာ စနစ္မ်ားမွာ “ ကိုယ္ပိုင္အမည္ (Registration name, User name) ” နဲ႔ အမ်ားကို ေဖာ္ျပေပးတဲ့ “ အမ်ားသိတဲ့ အမည္ (Screen name)” ဆိုျပီး သီးျခားစီ ထားရွိၾကတာ ၾကံဳဖူးၾကမွာပါ ... ဒါမ်ဳိးေတြဟာ လံုျခံဳမႈစနစ္ကို ပိုေကာင္းေစတဲ့ သေဘာပဲ ျဖစ္ပါတယ္...

ဒီလို ၀င္ေရာက္ၾကတဲ့ အခါမွာ ထည့္သြင္းလိုက္တဲ့ အမည္နဲ႔ စကား၀ွက္ အေပၚမူတည္ျပီး “ ဒါ ဘယ္သူ ဘယ္၀ါ ျဖစ္တယ္ ” ဆိုတာကို သက္ဆိုင္ရာ စနစ္က သတ္မွတ္ ဆံုးျဖတ္သြားတာ ျဖစ္ပါတယ္ ... သက္ဆိုင္တဲ့သူ အစစ္အမွန္ ျဖစ္မျဖစ္ ဆိုတာကို စကား၀ွက္ေလး တစ္ခုတည္းနဲ႔ ဆံုးျဖတ္သြားတာမို႔ စကား၀ွက္ေတြဟာ အေတာ္ေလး အေရးၾကီးတာ သိသာပါတယ္ .... အမည္ေတြကေတာ့ အျခားသူေတြလည္း ကိုယ့္ရဲ႕ အမည္ကို သိေနၾကတာမို႔ စကား၀ွက္ေလး တစ္ခုတည္းပဲ ထိန္းေနတာ ျဖစ္ပါတယ္ ... မွန္ေအာင္ထည့္သြင္းလိုက္ႏိုင္တာနဲ႔ သက္ဆိုင္ရာ စနစ္ထဲကို ၀င္ေရာက္သြားႏိုင္တာကို " Log In " လို႔ေျပာၾကတာပါပဲ ...

မွတ္ခ်က္ -
စကား၀ွက္ေတြမွာ လံုျခံဳေရးနဲ႔ သက္ဆိုင္တဲ့ အားနည္းခ်က္ေတြ အမ်ားၾကီးရွိေနတာ သိထားၾကေပမယ့္လည္း လူတစ္ေလာက္ကို မျမင္ေတြ႕ရဘဲ အဲဒီသူ အမွန္ျဖစ္ေၾကာင္း စစ္ေဆးဖို႔အတြက္ နည္းလမ္းတစ္ခု အျဖစ္ အခုထိ အသံုးျပဳေနရဆဲပဲ ျဖစ္ပါတယ္ ...

တိုက္ခိုက္ခံရလွ်င္
အကယ္၍ ကၽြန္ေတာ္တို႔ မဟုတ္တဲ့ အျခားသူတစ္ဦးက ကၽြန္ေတာ္တို႔ရဲ႕ စကား၀ွက္ကို သိသြားျပီး စနစ္တစ္ခုထဲကို ကၽြန္ေတာ္တို႔ ဟန္ေဆာင္ျပီး ၀င္ေရာက္သြားခဲ့မယ္ဆိုရင္ အဲဒီသူ အေနနဲ႔ အဲဒီစနစ္ထဲ (ဥပမာ - web site, ဘဏ္စာရင္း စသည္) မွာ ရွိေနတဲ့
  • ကၽြန္ေတာ္တို႔ရဲ႕ ကိုယ္ေရးအခ်က္အလက္ေတြကို သိခြင့္ရသြားပါျပီ ...
  • ဒါဟာ ကၽြန္ေတာ္တို႔ရဲ႕ တစ္ကိုယ္ေရ လြတ္လပ္မႈ (Privacy) ပ်က္စီးသြားတာပဲ ျဖစ္ပါတယ္ ...
  • ဆက္လက္ျပီး မဟုတ္တာေတြ၊ ရာဇ၀တ္မႈေတြကို ဆက္လုပ္သြားမယ္ဆိုရင္
  • ကၽြန္ေတာ္တို႔ရဲ႕ ကိုယ္ပိုင္ အမွတ္အသား (Identity) ဟာလည္း ပ်က္စီးသြားရျပီ ျဖစ္ပါတယ္ ...
မွတ္ခ်က္ -
အင္တာနက္ထဲမွာ အလုပ္လုပ္ေနတဲ့ ၀က္ဘ္ဆိုဒ္တစ္ခုမွာ အသံုးျပဳေနတဲ့ စကား၀ွက္စနစ္တစ္ခု လံုျခံဳဖို႔ဆိုတာဟာ အဲဒီစနစ္ကို အသံုးျပဳေနၾကတဲ့ သူေတြရဲ႕ “ လံုျခံဳေရးဆိုင္ရာအသိမ်ားနဲ႕ သတိထား လုပ္ေဆာင္မႈမ်ား ” အေပၚမွာ အေတာ္ေလး ခိုင္ခိုင္မာမာ ရပ္တည္ေနပါတယ္ ...

စကား၀ွက္မ်ားႏွင့္ ပတ္သက္၍ မွတ္သားထားသင့္သည့္ အခ်က္မ်ား
  1. အခုလို သတင္းနည္းပညာ ေခတ္ထဲမွာ ကၽြန္ေတာ္တို႔ရဲ႕ ကိုယ္ပိုင္အမွတ္အသား (Identity) နဲ႔ တကိုယ္ေရ လြတ္လပ္မႈ (Privacy) ေတြကို အကာအကြယ္ ေပးႏိုင္ဖို႔ ဆိုတာဟာ စကား၀ွက္ေတြရဲ႕ အေၾကာင္းကို ေကာင္းစြာ သိရွိနားလည္ အသံုးခ်ႏိုင္မႈအေပၚ မ်ားစြာ မူတည္ပါတယ္ ...
  2. အင္အားေကာင္းတဲ့၊ ခိုင္မာတဲ့၊ အလြယ္တကူ သူတပါး မခန္႔မွန္းႏိုင္တဲ့ စကား၀ွက္ေတြကုိ မသံုးတဲ့သူ၊ သံုးတဲ့ အေလ့အက်င့္ မရွိတဲ့သူေတြဟာ ကိုယ့္ကိုယ္ကို ျပန္ျပီး တိုက္ခိုက္ေနသလို ျဖစ္ေနမွာပါပဲ ...
  3. တကယ္လို႔ ကိုယ့္မွာ မွတ္သားရမယ့္ စကား၀ွက္ေတြ သိပ္မ်ားေနတယ္ဆိုရင္ေတာ့ စကား၀ွက္သိမ္းေပးတဲ့ ေဆာ့ဖ္၀ဲေတြကို သံုးႏိုင္ပါတယ္ ...
  4. တိုက္ရိုက္ျဖစ္ေစ၊ သြယ္၀ိုက္ျပီးျဖစ္ေစ ေတြ႕ၾကံဳလာႏိုင္တဲ့ ေဘးရန္ေတြကို ၾကိဳတင္ကာကြယ္ခ်င္တယ္ ဆိုရင္ေတာ့ အင္အားေကာင္းတဲ့ စကား၀ွက္ေတြကို ဖန္တီး အသံုးျပဳတဲ့ အေလ့အက်င့္ေကာင္းေလးေတြကို လိုက္နာ အသံုးျပဳရမွာ ျဖစ္ပါတယ္ ...
ဆက္ႏြယ္ေနေသာ အျခား အေၾကာင္းအရာမ်ား -
- ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၁) - Our Passwords (1)
- လူမႈအင္ဂ်င္နီယာ Social Engineering
- XSS, အင္တာနက္ လံုျခံဳေရး Internet Security - (စာညႊန္းမ်ား)

REF-
-http://web.mit.edu/net-security/www/pw.html
-http://www.umich.edu/~policies/pw-security.html
-http://www-cgi.cs.cmu.edu/~help/security/pass_sec.html
-http://en.wikipedia.org/wiki/Trojan_horse_(computing)
-http://en.wikipedia.org/wiki/reset

No comments:

Post a Comment