Wednesday, June 25, 2014

✏ပက္​စ္​ဝါ့ခ္​အ​ေၾကာင္​း(၁)✏

image


-အင္တာနက္နည္းပညာေတြ က်ယ္ျပန္႕လာတာနဲ႕ အမွ် ကၽြန္ေတာ္တို႕ရဲ႕ တကိုယ္ေရလံုျခံဳမႈ၊ လြတ္လပ္မႈနဲ႕ သီးျခားထင္ရွားမႈ ေတြဟာ ပိုျပီး အေရးၾကီးလာပါတယ္ ... သတင္းနည္းပညာေခတ္ၾကီးထဲမွာ အင္တာနက္ သံုးေနသူတိုင္းဟာ မိမိတို႕ရဲ႕ အမွတ္အသား (Identity) နဲ႕ လြတ္လပ္မႈ (Privacy) ေတြကို မသမာသူေတြရဲ႕ အလြဲသံုးစား အလုပ္ခံရတဲ့ အႏၱရာယ္ ကေန ဘယ္လိုကာကြယ္ၾကမလဲ ဆိုတာကို ေကာင္းေကာင္းနားလည္ထားဖို႕ အေရးၾကီးပါတယ္။ ဒီလို အကာအကြယ္ေပးဖို႕ဆိုတာ
ကိုယ္အသံုးျပဳေနတဲ့ စကား၀ွက္(Password) ေတြကို ေကာင္းစြာ အသံုးျပဳႏိုင္မႈနဲ႕
စကား၀ွက္ေတြရဲ႕ အကာအကြယ္ေပးႏိုင္မႈ ေတြကို ေကာင္းစြာ နားလည္မႈ ေတြအေပၚမွာ မူတည္ေနပါတယ္ ...
ကၽြန္ေတာ္တို႕ သံုးေနတဲ့ စကား၀ွက္ေတြကို မွတ္ရတာ၊ ခန္႔မွန္းရတာ လြယ္ေနလား ခက္သလားဆိုတာ ေအာက္မွာ စစ္ေဆး ၾကည့္လို႕ရပါတယ္ ...
အသံုးမ်ားေသာ၊ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
တိုေတာင္းေသာ (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းေသာ) စကား၀ွက္
အထက္ပါအတိုင္း တစ္ခုမွ မဟုတ္ေသာ စကား၀ွက္
တကယ္လို႕မ်ား အေပၚဘက္ေလးခုထဲက တစ္ခုခုနဲ႕ ကိုက္ညီေနျပီဆိုရင္ေတာ့ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြကို အျခားသူေတြက အလြယ္တကူ ခန္႕မွန္းႏိုင္မွာ ျဖစ္ျပီး အင္တာနက္ထဲမွာ “ကၽြန္ေတာ္မသိတဲ့ ကၽြန္ေတာ္ ” ေတြ အမ်ားၾကီး ေပၚလာႏိုင္ပါတယ္ ...

အားနည္းေသာ စကား၀ွက္မ်ား
အားနည္းတဲ့၊ လံုျခံဳမႈမရွိတဲ့ စကား၀ွက္မ်ားမွာ အခုလို လကၡဏာေတြ ရွိေနပါတယ္ ...
အသံုးမ်ားေသာ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားျခင္း ...
ေျပာင္းျပန္ျပဳထားျခင္း (ဥပမာ - “terces”)
အၾကီးအေသးေရာထားျခင္း (ဥပမာ - SeCreT)
စာလံုးႏွင့္သေကၤတ လဲလွယ္အစားထိုးျခင္း (ဥပမာ - “$ecret”)
သရမ်ားဖယ္ထားျခင္း (ဥပမာ - “scrt”)
အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားျခင္း
User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာျခင္း
တိုေတာင္းျခင္း (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းျခင္း)
ကီးဘုတ္မွ စာလံုးတြဲမ်ားအေပၚ အေျခခံထားျခင္း (ဥပမာ - “qwerty”, “zxcvb”)
စာလံုးတစ္ခုတည္းကိုသာ သံုးထားျခင္း (ဥပမာ - “kkkkkkkkk” “aabbccdd”)
လိုင္စင္နံပါတ္၊ မွတ္ပံုတင္အမွတ္ စသည္တို႕မွ ဂဏန္းမ်ားကို အဆင္ေျပသလိုထည့္သံုးျခင္း
မိမိအတြက္ မွတ္သားရန္ခက္ခဲေနေသာ စကား၀ွက္မ်ား ျဖစ္ျခင္း
စကား၀ွက္မ်ား မလံုျခံဳရျခင္း အေၾကာင္းမ်ား
အခုလို အခ်က္ေတြေၾကာင့္ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြဟာ မလံုမျခံဳျဖစ္တတ္ပါတယ္ ...
စကား၀ွက္တစ္ခုကို ထပ္တလဲလဲ သံုးျခင္း
မွတ္သားထားျခင္း (တစ္ေနရာတြင္ ေရးမွတ္ထားျခင္း)
ေရးမွတ္ထားေသာ စကား၀ွက္ကို အျခားေနရာမ်ားတြင္ သံုးျခင္း
(အထက္ပါ အေလ့အက်င့္ႏွစ္ခုကို ေပါင္းစပ္ ျပဳလုပ္ျခင္း)
စကား၀ွက္မ်ားကို ေနရာ ႏွစ္ခု (သို႕မဟုတ္) ထို႕ထက္ပိုျပီး သံုးျခင္း
စိတ္မခ်ရေသာ စနစ္မ်ားတြင္ စကား၀ွက္မ်ားကို ထပ္ခါထပ္ခါ အသံုးျပဳျခင္း (ဥပမာ - အြန္လိုင္း တြင္ကစားရေသာ ကစားနည္းမ်ား တြင္စကား၀ွက္တစ္ခုတည္းကို ထပ္ခါထပ္ခါ သံုးျခင္း)
မွတ္ခ်က္ -
စကား၀ွက္ လံုျခံဳမႈအတြက္ ေသာ့ခ်က္ အက်ဆံုးအရာမွာ စကား၀ွက္အတြင္းေပါင္းစပ္ ပါ၀င္ေနေသာ အရာမ်ားအေပၚ “ထြင္းေဖာက္ႏိုင္မႈ” (Crackability) အေပၚတြင္ တည္ေနသည္ ...
စကား၀ွက္မ်ားႏွင့္ သက္ဆိုင္သည့္ လုပ္နည္းစနစ္မ်ား အစီအစဥ္မ်ား အေပၚ ေကာင္းစြာမသိျခင္း၊ အထဲတြင္ ပါ၀င္ေနေသာ အရာမ်ားႏွင့္ စကား၀ွက္မ်ားကို “ထြင္းေဖာက္ျခင္း” (Cracking) ... တို႔သည္ လူတို႔၏ “ လံုျခံဳမႈ မရွိေသာ ” အျပဳအမူမ်ား၊ အေလ့အက်င့္မ်ား အေပၚ မ်ားစြာအေျခခံေနသည္ ...
အင္အားေကာင္းေသာ စကား၀ွက္မ်ား၏ လကၡဏာမ်ား
အင္အားေကာင္းတဲ့ ခန္႔မွန္းရခက္တဲ့ စကား၀ွက္မ်ား၏ လကၡဏာမ်ားကေတာ့ အခုလို ျဖစ္ပါတယ္ ....
ေအာက္ပါတို႕အနက္ တစ္ခုစီ အနည္းဆံုး ပါ၀င္လ်က္ ရွိျခင္း
ကိန္းဂဏန္းမ်ား (0..9)
စာလံုးမ်ား (a..z..A...Z)
ပုဒ္ျဖတ္ ပုဒ္ရပ္ သေကၤတမ်ား (?,!,],:," စသည္)
Control Character (^s, Ctrl-s စသည္)
ကဗ်ာစာပိုဒ္မ်ားမွ စာေၾကာင္းမ်ားတြင္ပါ၀င္ေနေသာ စာလံုးမ်ားအေပၚ အေျခခံျခင္း
- ဥပမာ - Man may come and man may go, But I go on forever,
- => MMCAMMGBIGOF => M2C@M2GBIG0F
- တခါတရံတြင္ Virtual Password မ်ားကို ရည္ညႊန္း အသံုးျပဳျခင္း
မိမိအတြက္ အလြယ္တကူ မွတ္မိႏိုင္ေသာ္လည္း အျခားသူမ်ား အေနျဖင့္ ခန္႔မွန္းႏိုင္ရန္ အလြန္ခက္ခဲျခင္း (အလြယ္တကူ မျဖစ္ႏိုင္ျခင္း)
ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ား
လံုျခံဳ အားေကာင္းေသာ စကား၀ွက္မ်ား ျဖစ္ေစရန္ ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ားေကာင္းေတြကေတာ႔
စကား၀ွက္မ်ားကို ထပ္ခါတလဲလဲ မသံုးျခင္း
စကား၀ွက္တစ္ခုကို မည္သည့္ေနရာတြင္မဆို ဘယ္ေတာ့မွ ခ်ေရးမထားျခင္း
ပံုဖ်က္ (Encrypted) ထားေသာ စကား၀ွက္ မ်ားကို ထားရွိရာေနရာ ရွိပါကလည္း ခ်ေရးမထားျခင္း
ေနရာ၊ စနစ္၊ အေၾကာင္းအရာ တစ္ခုတိုင္းစီအတြက္ မတူညီေသာ စကား၀ွက္တစ္ခုစီကို သံုးျခင္း
အခ်ဳိ႕ေသာ Trojan hosrse မ်ားသည္ မိမိတို႕၏ စကား၀ွက္မ်ားကို ခိုးႏိုင္ရန္အတြက္ မိမိသံုးေနၾက ၀က္ဘ္ဆိုက္ တစ္ခု၏ မူလစာမ်က္ႏွာ အတုတစ္ခု ဖန္တီးကာ User Name ႏွင့္ Password တို႕ကို ထည့္သြင္းခိုင္းေလ့ ရွိတတ္ ၾကသည္။ ထို႕ေၾကာင့္ -
မိမိ၀င္ေရာက္ရမည့္ ေနရာသည္ မွန္ကန္မႈရွိမရွိ အျမဲ သတိထား စစ္ေဆးျခင္း..
စိတ္ခ်ယံုၾကည္စြာ ၀င္ေရာက္ႏိုင္မည့္ အသိေပးခ်က္မ်ားေဖာ္ျပေပးျခင္းရွိမရွိ စစ္ေဆးျခင္း..
လိုအပ္ပါက reset လုပ္ျပီး ျပန္ဖြင့္ျခင္း
မိမိ၏ Keyboard ကို တိိတ္တဆိတ္ ေစာင့္ၾကည့္ျပီး ရိုက္ႏွိပ္လိုက္သမွ်ကို မွတ္သားေနေသာ ပစၥည္းမ်ား၊ (စကား၀ွက္ ခိုးယူေသာ) ေဆာ့ဖ္၀ဲမ်ား (Keyloggers) ရွိမရွိ စစ္ေဆးျခင္း
စကား၀ွက္မ်ားကို မၾကာခဏ အေျပာင္းအလဲ ျပဳလုပ္ျခင္း
မိမိ၏ စကား၀ွက္မ်ားကို ရိုက္သြင္းေနစဥ္တြင္ ေစာင့္ၾကည့္၊ ေခ်ာင္းၾကည့္၊ မသိမသာ ၾကည့္ေနသူမ်ား ရွိမရွိ တတ္ႏိုင္သမွ် ဂရုျပဳ စစ္ေဆးျခင္း
ေဆာ့ဖ္၀ဲမ်ားတြင္ ပါ၀င္ေလ့ရွိတတ္ေသာ “စကား၀ွက္မွတ္သားေပးပါ” (Remember Password) ဟူေသာ အဂၤါရပ္ကို ဘယ္ေတာ့မွ မသံုးျခင္း .. (ဥပမာ - Internet Explorer ) ၊(တနည္းအားျဖင့္ မိမိ၏ စကား၀ွက္ကို ေဆာ့ဖ္၀ဲျဖင့္ မွတ္ထားမႈ မျပဳျခင္း)
လုပ္ငန္းခြင္တြင္ ျဖစ္ပါက အုပ္ခ်ဳပ္ေရးတြင္ တာ၀န္ရွိသူမ်ားက စကား၀ွက္မ်ား လံုျခံဳမႈ ရွိမရွိ စစ္ေဆးျခင္းတုိ္႔ပါ။

REF;
-http://web.mit.edu/net-security/www/pw.html
-http://www.umich.edu/~policies/pw-security.html
-http://www-cgi.cs.cmu.edu/~help/security/pass_sec.html
-http://en.wikipedia.org/wiki/Trojan_horse_(computing)
-http://en.wikipedia.org/wiki/reset

No comments:

Post a Comment

zawthwin3@gmail.com