ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၁)- Our Passwords (1)

အင္တာနက္နည္းပညာေတြ က်ယ္ျပန္႕လာတာနဲ႕ အမွ် ကၽြန္ေတာ္တို႕ရဲ႕ တကိုယ္ေရလံုျခံဳမႈ၊ လြတ္လပ္မႈနဲ႕ သီးျခားထင္ရွားမႈ ေတြဟာ ပိုျပီး အေရးၾကီးလာပါတယ္ ... သတင္းနည္းပညာေခတ္ၾကီးထဲမွာ အင္တာနက္ သံုးေနသူတိုင္းဟာ မိမိတို႕ရဲ႕ အမွတ္အသား (Identity) နဲ႕ လြတ္လပ္မႈ (Privacy) ေတြကို မသမာသူေတြရဲ႕ အလြဲသံုးစား အလုပ္ခံရတဲ့ အႏၱရာယ္ ကေန ဘယ္လိုကာကြယ္ၾကမလဲ ဆိုတာကို ေကာင္းေကာင္းနားလည္ထားဖို႕ အေရးၾကီးပါတယ္။ ဒီလို အကာအကြယ္ေပးဖို႕ဆိုတာ

• ကိုယ္အသံုးျပဳေနတဲ့ စကား၀ွက္(Password) ေတြကို ေကာင္းစြာ အသံုးျပဳႏိုင္မႈနဲ႕

• 
  
• စကား၀ွက္ေတြရဲ႕ အကာအကြယ္ေပးႏိုင္မႈ ေတြကို ေကာင္းစြာ နားလည္မႈ ေတြအေပၚမွာ မူတည္ေနပါတယ္ ...

ကၽြန္ေတာ္တို႕ သံုးေနတဲ့ စကား၀ွက္ေတြကို မွတ္ရတာ၊ ခန္႔မွန္းရတာ လြယ္ေနလား ခက္သလားဆိုတာ ေအာက္မွာ စစ္ေဆး ၾကည့္လို႕ရပါတယ္ ...

• အသံုးမ်ားေသာ၊ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
• အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
• User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာ စကား၀ွက္
• တိုေတာင္းေသာ (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းေသာ) စကား၀ွက္
• အထက္ပါအတိုင္း တစ္ခုမွ မဟုတ္ေသာ စကား၀ွက္

• 
  

တကယ္လို႕မ်ား အေပၚဘက္ေလးခုထဲက တစ္ခုခုနဲ႕ ကိုက္ညီေနျပီဆိုရင္ေတာ့ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြကို အျခားသူေတြက အလြယ္တကူ ခန္႕မွန္းႏိုင္မွာ ျဖစ္ျပီး အင္တာနက္ထဲမွာ “ကၽြန္ေတာ္မသိတဲ့ ကၽြန္ေတာ္ ” ေတြ အမ်ားၾကီး ေပၚလာႏိုင္ပါတယ္ ...

အားနည္းေသာ စကား၀ွက္မ်ား
အားနည္းတဲ့၊ လံုျခံဳမႈမရွိတဲ့ စကား၀ွက္မ်ားမွာ အခုလို လကၡဏာေတြ ရွိေနပါတယ္ ...

1. အသံုးမ်ားေသာ အဘိဓါန္စကားလံုးမ်ား အေပၚ အေျခခံထားျခင္း ...
• ေျပာင္းျပန္ျပဳထားျခင္း (ဥပမာ - “terces”)
• အၾကီးအေသးေရာထားျခင္း (ဥပမာ - SeCreT)
• စာလံုးႏွင့္သေကၤတ လဲလွယ္အစားထိုးျခင္း (ဥပမာ - “$ecret”)
• သရမ်ားဖယ္ထားျခင္း (ဥပမာ - “scrt”)
2. အမ်ားသံုး အမည္မ်ား အေပၚ အေျခခံထားျခင္း
3. User/Account အမည္မ်ား အေပၚ အေျခခံထားေသာျခင္း
4. တိုေတာင္းျခင္း (သေကၤတ ၆ ခုထက္ ေလ်ာ့နည္းျခင္း)
5. ကီးဘုတ္မွ စာလံုးတြဲမ်ားအေပၚ အေျခခံထားျခင္း (ဥပမာ - “qwerty”, “zxcvb”)
6. စာလံုးတစ္ခုတည္းကိုသာ သံုးထားျခင္း (ဥပမာ - “kkkkkkkkk” “aabbccdd”)
7. လိုင္စင္နံပါတ္၊ မွတ္ပံုတင္အမွတ္ စသည္တို႕မွ ဂဏန္းမ်ားကို အဆင္ေျပသလိုထည့္သံုးျခင္း
8. မိမိအတြက္ မွတ္သားရန္ခက္ခဲေနေသာ စကား၀ွက္မ်ား ျဖစ္ျခင္း

1. 
   

စကား၀ွက္မ်ား မလံုျခံဳရျခင္း အေၾကာင္းမ်ား
အခုလို အခ်က္ေတြေၾကာင့္ ကၽြန္ေတာ္တို႕ရဲ႕ စကား၀ွက္ေတြဟာ မလံုမျခံဳျဖစ္တတ္ပါတယ္ ...

1. စကား၀ွက္တစ္ခုကို ထပ္တလဲလဲ သံုးျခင္း
2. မွတ္သားထားျခင္း (တစ္ေနရာတြင္ ေရးမွတ္ထားျခင္း)
3. ေရးမွတ္ထားေသာ စကား၀ွက္ကို အျခားေနရာမ်ားတြင္ သံုးျခင္း

1. 
   
2. (အထက္ပါ အေလ့အက်င့္ႏွစ္ခုကို ေပါင္းစပ္ ျပဳလုပ္ျခင္း)
3. စကား၀ွက္မ်ားကို ေနရာ ႏွစ္ခု (သို႕မဟုတ္) ထို႕ထက္ပိုျပီး သံုးျခင္း
4. စိတ္မခ်ရေသာ စနစ္မ်ားတြင္ စကား၀ွက္မ်ားကို ထပ္ခါထပ္ခါ အသံုးျပဳျခင္း (ဥပမာ - အြန္လိုင္း တြင္ကစားရေသာ ကစားနည္းမ်ား တြင္စကား၀ွက္တစ္ခုတည္းကို ထပ္ခါထပ္ခါ သံုးျခင္း)

မွတ္ခ်က္ -

• စကား၀ွက္ လံုျခံဳမႈအတြက္ ေသာ့ခ်က္ အက်ဆံုးအရာမွာ စကား၀ွက္အတြင္းေပါင္းစပ္ ပါ၀င္ေနေသာ အရာမ်ားအေပၚ “ထြင္းေဖာက္ႏိုင္မႈ” (Crackability) အေပၚတြင္ တည္ေနသည္ ...
• စကား၀ွက္မ်ားႏွင့္ သက္ဆိုင္သည့္ လုပ္နည္းစနစ္မ်ား အစီအစဥ္မ်ား အေပၚ ေကာင္းစြာမသိျခင္း၊ အထဲတြင္ ပါ၀င္ေနေသာ အရာမ်ားႏွင့္ စကား၀ွက္မ်ားကို “ထြင္းေဖာက္ျခင္း” (Cracking) ... တို႔သည္ လူတို႔၏ “ လံုျခံဳမႈ မရွိေသာ ” အျပဳအမူမ်ား၊ အေလ့အက်င့္မ်ား အေပၚ မ်ားစြာအေျခခံေနသည္ ...

• 
  

အင္အားေကာင္းေသာ စကား၀ွက္မ်ား၏ လကၡဏာမ်ား
အင္အားေကာင္းတဲ့ ခန္႔မွန္းရခက္တဲ့ စကား၀ွက္မ်ား၏ လကၡဏာမ်ားကေတာ့ အခုလို ျဖစ္ပါတယ္ ....

1. ေအာက္ပါတို႕အနက္ တစ္ခုစီ အနည္းဆံုး ပါ၀င္လ်က္ ရွိျခင္း
• ကိန္းဂဏန္းမ်ား (0..9)
• စာလံုးမ်ား (a..z..A...Z)
• ပုဒ္ျဖတ္ ပုဒ္ရပ္ သေကၤတမ်ား (?,!,],:," စသည္)
• Control Character (^s, Ctrl-s စသည္)

• 
  
1. ကဗ်ာစာပိုဒ္မ်ားမွ စာေၾကာင္းမ်ားတြင္ပါ၀င္ေနေသာ စာလံုးမ်ားအေပၚ အေျခခံျခင္း

1. - ဥပမာ - Man may come and man may go, But I go on forever,

1. - => MMCAMMGBIGOF => M2C@M2GBIG0F

1. - တခါတရံတြင္ Virtual Password မ်ားကို ရည္ညႊန္း အသံုးျပဳျခင္း
2. မိမိအတြက္ အလြယ္တကူ မွတ္မိႏိုင္ေသာ္လည္း အျခားသူမ်ား အေနျဖင့္ ခန္႔မွန္းႏိုင္ရန္ အလြန္ခက္ခဲျခင္း (အလြယ္တကူ မျဖစ္ႏိုင္ျခင္း)

ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ား
လံုျခံဳ အားေကာင္းေသာ စကား၀ွက္မ်ား ျဖစ္ေစရန္ ေဆာင္ရြက္ရမည့္ အေလ့အက်င့္မ်ားေကာင္းေတြကေတာ႔

1. စကား၀ွက္မ်ားကို ထပ္ခါတလဲလဲ မသံုးျခင္း
2. စကား၀ွက္တစ္ခုကို မည္သည့္ေနရာတြင္မဆို ဘယ္ေတာ့မွ ခ်ေရးမထားျခင္း

1. 
   
2. ပံုဖ်က္ (Encrypted) ထားေသာ စကား၀ွက္ မ်ားကို ထားရွိရာေနရာ ရွိပါကလည္း ခ်ေရးမထားျခင္း

1. 
   
2. ေနရာ၊ စနစ္၊ အေၾကာင္းအရာ တစ္ခုတိုင္းစီအတြက္ မတူညီေသာ စကား၀ွက္တစ္ခုစီကို သံုးျခင္း
3. အခ်ဳိ႕ေသာ Trojan hosrse မ်ားသည္ မိမိတို႕၏ စကား၀ွက္မ်ားကို ခိုးႏိုင္ရန္အတြက္ မိမိသံုးေနၾက ၀က္ဘ္ဆိုက္ တစ္ခု၏ မူလစာမ်က္ႏွာ အတုတစ္ခု ဖန္တီးကာ User Name ႏွင့္ Password တို႕ကို ထည့္သြင္းခိုင္းေလ့ ရွိတတ္ ၾကသည္။ ထို႕ေၾကာင့္ -
• မိမိ၀င္ေရာက္ရမည့္ ေနရာသည္ မွန္ကန္မႈရွိမရွိ အျမဲ သတိထား စစ္ေဆးျခင္း..

• 
  
• စိတ္ခ်ယံုၾကည္စြာ ၀င္ေရာက္ႏိုင္မည့္ အသိေပးခ်က္မ်ားေဖာ္ျပေပးျခင္းရွိမရွိ စစ္ေဆးျခင္း..

• 
  
• လိုအပ္ပါက reset လုပ္ျပီး ျပန္ဖြင့္ျခင္း
1. မိမိ၏ Keyboard ကို တိိတ္တဆိတ္ ေစာင့္ၾကည့္ျပီး ရိုက္ႏွိပ္လိုက္သမွ်ကို မွတ္သားေနေသာ ပစၥည္းမ်ား၊ (စကား၀ွက္ ခိုးယူေသာ) ေဆာ့ဖ္၀ဲမ်ား (Keyloggers) ရွိမရွိ စစ္ေဆးျခင္း
2. စကား၀ွက္မ်ားကို မၾကာခဏ အေျပာင္းအလဲ ျပဳလုပ္ျခင္း
3. မိမိ၏ စကား၀ွက္မ်ားကို ရိုက္သြင္းေနစဥ္တြင္ ေစာင့္ၾကည့္၊ ေခ်ာင္းၾကည့္၊ မသိမသာ ၾကည့္ေနသူမ်ား ရွိမရွိ တတ္ႏိုင္သမွ် ဂရုျပဳ စစ္ေဆးျခင္း
4. ေဆာ့ဖ္၀ဲမ်ားတြင္ ပါ၀င္ေလ့ရွိတတ္ေသာ “စကား၀ွက္မွတ္သားေပးပါ” (Remember Password) ဟူေသာ အဂၤါရပ္ကို ဘယ္ေတာ့မွ မသံုးျခင္း .. (ဥပမာ - Internet Explorer ) ၊(တနည္းအားျဖင့္ မိမိ၏ စကား၀ွက္ကို ေဆာ့ဖ္၀ဲျဖင့္ မွတ္ထားမႈ မျပဳျခင္း)
5. လုပ္ငန္းခြင္တြင္ ျဖစ္ပါက အုပ္ခ်ဳပ္ေရးတြင္ တာ၀န္ရွိသူမ်ားက စကား၀ွက္မ်ား လံုျခံဳမႈ ရွိမရွိ စစ္ေဆးျခင္း

1. 
   

ဆက္ႏြယ္ေနေသာ အျခား အေၾကာင္းအရာမ်ား -
- ကၽြန္ေတာ္တို႕ ရဲ႕ စကား၀ွက္ (၂) - Our Passwords (2)
- XSS, အင္တာနက္ လံုျခံဳေရး Internet Security - (စာညႊန္းမ်ား)

REF-
-http://web.mit.edu/net-security/www/pw.html
-http://www.umich.edu/~policies/pw-security.html
-http://www-cgi.cs.cmu.edu/~help/security/pass_sec.html
-http://en.wikipedia.org/wiki/Trojan_horse_(computing)
-http://en.wikipedia.org/wiki/reset