5/14/2013

Password လား? ပ်င္းေတာင္ပ်င္းေသးတယ္

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfUxBJxYmniVHUsU00Uyy0hV2GWJndh8Z3Jm1MQL1P0RmgNtBmKjmwlpqJVs_jeFTZ6-KLeUlCmO65oPvwyLPe0UXonhbK-MBVc_9AvrmFaQy9_AyKUxYkVA8zK8Z8Fj0eKgMc_3MRSYM/s1600/password-hack_yNISa_25016.jpg

သင့္ရဲ႕ Password ကို ဘယ္ေလာက္ပဲ ရႈပ္ေထြးေအာင္၊ ခက္ခဲေအာင္ဖန္တီးထားပါေစ၊ ဘယ္ေလာက္ပဲ ဂရုစိုက္ေနပါေစ Hacker ေတြအတြက္ေတာ့ သင့္ password ကို ရယူဖို႔ဆိုတာ အေတာ္ေလးကို လြယ္ကူလြန္းတဲ့ အလုပ္တစ္ခုပါပဲ။

livingsocial.com ၀ဘ္ဆိုက္ႀကီး Hack လုပ္ခံရတဲ့ေနာက္ပိုင္းမွာ အီးေမးလ္နဲ႔ ပက္စ္၀ါ့ဒ္ သန္းငါးဆယ္ခန္႔ဟာ Hacker ေတြရဲ႕ လက္ထဲကို ေရာက္သြားပါၿပီ။ USA Today ရဲ႕ အင္တာဗ်ဴးမွာ စီအီးအို တင္အိုေရွာနက္ဆီက "မၾကာေသးခင္ကပဲ ေဖာက္သည္ေတြရဲ႕ အခ်က္အလက္ေတြကို ခိုးယူဖို႔အတြက္ ကၽြန္ေတာ္တို႔ ကြန္ပ်ဴတာစနစ္ကို ဦးတည္တြဆိုက္ဘာတိုက္ခိုက္မႈ ႀကံဳေတြ႕ခဲ့ရပါတယ္။ ဒီကိစၥနဲ႔ပတ္သတ္ၿပီး ဥပေဒေၾကာင္းအရ ေျဖရွင္းအေရးယူႏိုင္ဖို႔ ေဆာင္ရြက္ေနပါတယ္။ LivingSocial ရဲ႕ password ေတြဟာ decode လုပ္ဖို႔ အလြန္ခက္ခဲတယ္လို႔ ေျပာႏိုင္ေပမယ့္ လူႀကီးမင္းရဲ႕အေကာင့္ လံုၿခံဳေရးအတြက္ Password အသစ္တစ္ခုေျပာင္းဖို႔ အႀကံေပးလိုပါတယ္" ဟု ေျပာၾကားခဲ့သည္။

တကယ္တမ္းေတာ့ Password မ်ား အသံုးမ၀င္ေတာ့ရသည့္ အေၾကာင္းရင္းမ်ားစြာ ရွိေနၿပီဟု ေျပာႏိုင္ပါသည္။ ထိုအထဲမွ အေရးႀကီးဆံုးအခ်က္မွာ ဟက္ကာမ်ားသည္ သင္၏ password ကို ဘယ္ပံုဘယ္နည္းျဖင့္ ရယူႏိုင္သလဲဆိုတာ သိဖုိ႔ပင္ ျဖစ္သည္။ လူအေတာ္မ်ားမ်ား ထိုအခ်က္ကို မသိၾကေသးေပ။

လြန္ခဲ့တဲ့ငါးႏွစ္တုန္းထက္စာရင္ Password တစ္ခုကို သိရွိေဖာ္ထုတ္ႏိုင္ဖို႔အတြက္ နည္းလမ္းေကာင္းမ်ားစြာ ေပၚထြန္းေနၿပီ ျဖစ္ပါတယ္။ အေၾကာင္းရင္း သံုးခ်က္ ရွိပါတယ္။
(၁) သာမန္လူတစ္ေယာက္ဟာ အားနည္းခ်က္ေတြပါတဲ့ password တစ္ခုတည္းကိုပဲ Website မ်ိဳးစံုမွာ သံုးစြဲေလ့ရွိပါတယ္။ ဒါေၾကာင့္မို႔ Site တစ္ခုမွာ ေပါက္ၾကားသြားတာနဲ႔တစ္ၿပိဳက္နက္ ဒလေဟာ ပါသြားတတ္ၾကပါတယ္။
လြန္ခဲ့တဲ့ႏွစ္အနည္းငယ္ကစၿပီး တကယ့္လက္ေတြ႕မွာ အသံုးျပဳေနတဲ့ Password အေရအတြက္ေပါင္း သန္းတစ္ရာေက်ာ္ေလာက္ဟာ ဟက္ကာေတြရဲ႕ လက္ထဲမွာ ရွိေနပါၿပီ။ အဲဒီအခ်က္အလက္ေတြကို ပံုေဖာ္လိုက္တဲ့အခါမွာ လူေတြဟာ Password ကို ဘယ္လိုပံုစံေတြ ေပးတတ္သလဲဆိုတာကို ဟက္ကာေတြ သိေနခဲ့ၿပီး ျဖစ္ပါတယ္။ ေနာက္ၿပီး အဲဒီအခ်က္အလက္ေတြကို အေျခခံၿပီး Password ကို အလြယ္တကူေဖာ္ထုတ္ႏိုင္မယ့္ ပရိုဂရမ္ေတြကို ဟက္ကာေတြက ေရးသားဖန္တီးႏိုင္ခဲ့ပါၿပီ။

(၂) ဟက္ကာေတြ အသံုးျပဳေနတဲ့ ကြန္ပ်ဴတာဟာဒ္၀ဲလ္ပစၥည္းေတြဟာ သင္ထင္တားေတြထက္ ပိုျမန္ေနပါၿပီ။ လူအေတာ္မ်ားမ်ားရဲ႕ password အရွည္ဟာ ၈ လံုး၀န္းက်င္ေလာက္ပဲရွိၿပီး ဟက္ကာေတြဟာ ၁၆လံုးေလာက္ ရွည္တဲ့ password ကိုေတာင္ အလြယ္ေလး ခ်ိဳးဖ်က္ႏိုင္ေနပါၿပီ။

(၃) တတိယအခ်က္အေနနဲ႔ Website ေတာ္ေတာ္မ်ားမ်ားရဲ႕ password ေတြကို သိမ္းတဲ့စနစ္မွာ SHA1, DES, NTLM/MD5, MD5 အစရွိတဲ့ Cryptographic algorithms ေတြကို အသံုးျပဳေလ့ရွိပါတယ္။ ဒါေပမယ့္ အဲဒီ algorithm ေတြဟာ password ေတြကို ေကာင္းေကာင္း မကာကြယ္ေပးႏိုင္ပါဘူး။ အဲဒီ algorithm သံုးၿပီး ပံုဖ်က္ထားတဲ့ password ကို လြယ္ကူစြာနဲ႔ decrypt လုပ္ႏိုင္ေနပါၿပီ။
အခုအခ်ိန္မွာ Website ေတြအေနနဲ႔ SHA512crypt သို႔မဟုတ္ BCrypt လိုမ်ိဳး လံုၿခံဳစိတ္ခ်ရတဲ့၊ Password သိမ္းဆည္းမႈကို ေကာင္းေကာင္းအကာအကြယ္ေပးႏိုင္တဲ့ algorithm ေတြကို စတင္ေျပာင္းလဲသံုးစြဲဖို႔ လိုအပ္ေနပါၿပီ။ အဲဒီ algorithm ေတြဟာ ရာႏႈန္းျပည့္ကာကြယ္ႏိုင္မႈ မေပးႏိုင္ေပးမယ့္ ဟက္ကာေတြ သင့္ password အမွန္ကို သိဖို႔ decrypt လုပ္တဲ့အခ်ိန္မွာ အခ်ိန္မ်ားစြာ ၾကာျမင့္ပါလိမ့္မယ္။

နိဂံုးအေနနဲ႔ သင့္ Password ကို ခပ္ရွည္ရွည္ေပးပါ။ ခဏခဏေျပာင္းပါ။ Password တစ္ခုတည္းကိုပဲ ေနရာတိုင္းမွာ မသံုးပါနဲ႔။ ဒီလိုမ်ိဳးပဲ လုပ္ရပါလိမ့္မယ္။

စာၾကြင္း၊ 1Password လိုမ်ိဳး သင္ေခါင္းမစားေအာင္ Password ကို အလိုအေလ်ာက္ ဖန္တီးေပးးတဲ့ Website ေတြလိုမ်ိဳးေတြလည္း သြားမသံုးပါနဲ႔ဦး။ အဲဒီ algorithm မ်ိဳးေလာက္ကိုေတာ့ Hacker ေတြက သိေနၿပီးေလာက္ပါၿပီ။

Ref:
http://technorati.com/technology/it/article/password-no-barrier-for-a-hacker/