បញ្ហាពាក្យសម្ងាត់ (ទន់ខ្សោយ ព័ត៌មានសម្ងាត់ត្រូវបានប្រើឡើងវិញ ដែលងាយនឹងហេគឃ័រអាចព្យាយាមវាយប្រហារនិងគ្រប់គ្រង ប៉ុន្តែពិបាកចាំ និងគ្រប់គ្រង) បង្កភាពស្មុគស្មាញដល់អ្នកប្រើប្រាស់ និងអង្គភាព។ ប៉ុន្តែទោះជា បច្ចេកវិទ្យាឈានមុខយ៉ាងណាក្តី លេខសម្ងាត់នៅតែអាចការពារដល់ទៅ ៨៨% នៃសេវាអនឡាញរបស់ពិភពលោក។
តើថ្នាក់ដឹកនាំ IT អាចយកឈ្នះបញ្ហានេះដោយរបៀបណា? នៅទីនេះ យើងរកឃើញមូលហេតុដែលលេខសម្ងាត់ងាយនឹងហេគ និងពិភាក្សាអំពីអ្វីដែលអ្នកអាចពង្រឹងសុវត្ថិភាពរបស់ស្ថាប័នអ្នកបាន។តើហេតុអ្វីបានជាលេខសម្ងាត់ងាយនឹងហេគ ហើយតើហេគឃ័រអាចហេគដោយរបៀបណា? នៅពេលហេគឃ័រព្យាយាមហេគយកលេខសម្ងាត់របស់អ្នក វាជាដំណើរការដ៏ងាយ ហើយតើហេតុអ្វី? បានជាវាកើតឡើងមកពីការព្យាករណ៍។
សូមគិតរឿងនេះ៖ អ្នកប្រើភាគច្រើនជ្រើសរើសពាក្យចេញពី ៩៤តួអក្សរ នៅលើ Standard US Keyboard ដែលរួមមានអក្សរតូច និងអក្សរធំ សញ្ញា និងលេខ។ ខណៈពេលជាក់ស្តែង វាគួរតែនាំឱ្យមានការរួមបញ្ចូល Quandrillion Potential នៃពាក្យសម្ងាត់ ៨តួអក្សរ ការពិតគឺថាពាក្យសម្ងាត់ដែលបង្កើតដោយអ្នកប្រើគឺកម្រស្មុគស្មាញណាស់ ហើយជាពិសេសការពិតរបស់មនុស្សគឺមកពីទម្លាប់។ អ្នកប្រើប្រាស់ ៥៥% គឺពឹងផ្អែកលើការចងចាំ ដើម្បីរក្សាលេខសម្ងាត់ ដែលជាមូលហេតុអ្នកប្រើចង់ប្រើលេខសម្ងាត់ឡើងវិញ។ នេះជាបញ្ហាដែលបើកដៃឱ្យជនខិលខូចអាចលួចចូលបាន។ ការយល់ដឹងពីទំនោររបស់មនុស្សក្នុងការប្រើប្រាស់ពាក្យសម្ងាត់ឡើងវិញ ជនខិលខូចជាច្រើនផ្តោតលើថាមពលរបស់ពួកគេដើម្បីទទួលបានព័ត៌មានសម្ងាត់អ្នកប្រើប្រាស់។ ជនខិលខូចដឹងថាប្រសិនបើពួកគេអាចលួចចូលទៅក្នុង Site មួយ និងទទួលបានឈ្មោះអ្នកប្រើប្រាស់ និងលេខសម្ងាត់ នោះគឺជាឱកាសដែលពួកគេអាចប្រើឈ្មោះ និងលេខសម្ងាត់នៅទីតាំង Sites ផ្សេងទៀត រួមមានគេហទំព័រសហគ្រាសក៏ដូចជាធនាគារអនឡាញអ្នកលក់បន្តតាមអនឡាញ និងទីតាំងប្រព័ន្ធផ្សព្វផ្សាយសង្គមផងដែរ។
បង្កើតគោលការណ៍សុវត្ថិភាពពាក្យសម្ងាត់ដោយផ្តោតលើហានិភ័យ៖ មានកម្មវិធីតួចៗ (Tools) ជាច្រើនដែលអាចជួយអ្នកឱ្យកំណត់គោលការណ៍សុវត្ថិភាពលេខសម្ងាត់របស់អ្នក។
សៀវភៅបញ្ជីឯកទេស (Specialized Spreadsheets)៖ ស្ថាប័នខ្លះប្រើសៀវភៅបញ្ជីឯកទេស (specialized spreadsheets) សម្រាប់វិភាគប្រសិទ្ធភាពនៃគោលការណ៍លេខសម្ងាត់របស់ពួកគេ។ សៀវភៅបញ្ជីប្រភេទនេះអនុញ្ញាតឱ្យអ្នកបញ្ចូលប៉ារ៉ាម៉ែត្រជាក់លាក់ដូចជាប្រវែងលេខសម្ងាត់អប្បបរមា តម្រូវការភាពស្មុគស្មាញ និងរយៈពេលផុតសុពលភាព។ បន្ទាប់មក រូបមន្ត Spreadsheet គណនាចំនួនការស្មាន ឬទស្សទាយដែលអ្នកវាយប្រហារអាចធ្វើ មុនពេលត្រូវបានបង្ខំឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់ដោយកំណត់បរិមាណនៃគោលការណ៍ពាក្យសម្ងាត់ប្រកបដោយប្រសិទ្ធភាព។
ឧបករណ៍ពិនិត្យកម្លាំងលេខសម្ងាត់អនឡាញ (Online Password Strength Checkers)៖ ជម្រើសផ្សេងទៀតសម្រាប់ការធ្វើតេស្តពីកម្លាំងរបស់គោលការណ៍លេខសម្ងាត់របស់អ្នកគឺដើម្បីទាញយកផលប្រយោជន៍ពីអ្នកសាកល្បងកម្លាំងពាក្យសម្ងាត់តាមអនឡាញក្នុងចំណោមអ្នកសាកល្បងជាច្រើន (testers)។ ដូចជា Specialized Spreadsheets មុខងារទាំងនេះសម្រាប់ពិនិត្យលេខសម្ងាត់ដើម្បីកំណត់ថាតើងាយស្រួល ឬពិបាកសម្រាប់ហេគឃ័រធ្វើការ Crack។ អ្នកគួរចងចាំ ទោះជាយ៉ាងណា សូមកុំបញ្ចូលពាក្យសម្ងាត់ពិតនៅក្នុងមុខងារ (Tools) ឬកម្មវិធីទាំងនេះ។ ផ្ទុយទៅវិញ សូមប្រើពាក្យសម្ងាត់ស្រដៀងគ្នា ប៉ុន្តែមិនមែនលេខសម្ងាត់ដូចគ្នាសម្រាប់គោលបំណងសាកល្បង។
អ្នកត្រួតពិនិត្យពាក្យសម្ងាត់ (Password Auditors)៖ អ្នកត្រួតពិនិត្យពាក្យសម្ងាត់ដូចជា Specops Password Auditor អាចជួយអ្នកកំណត់ និងដោះស្រាយភាពងាយរងគ្រោះដែលទាក់ទងនឹងលេខសម្ងាត់ដែលមានសក្តានុពល។Read-only tools គឺជា Specops Password Auditor មិនគិតថ្លៃស្គេន Active Directory របស់អ្នកបានរហ័ស ឆែករកភាពទន់ខ្សោយ ឬលេខសម្ងាត់ដែលត្រូវបានវាយប្រហារនិងគ្រប់គ្រងដោយហេគឃ័រ។ វាក៏អាចកំណត់អត្តសញ្ញាណគណនីអ្នកគ្រប់គ្រង (Administrator) ដែលមានសិទ្ធិតែជាប់គាំង ឬអសកម្ម និងជួយជំរុញសុវត្ថិភាពរបស់អ្នកបន្ថែមទៀត។
ពាក្យសម្ងាត់នៅតែជាបញ្ហា៖ បើទោះជាបច្ចុប្បន្នមានការនិយាយអំពី “Passwordless Society” ក៏ដោយ ក៏មិនទាន់អាចប្រើបានភ្លាមនៅពេលនេះដែរ (វាជាវិធីសាស្រ្តផ្ទៀងផ្ទាត់ប្រហែល ៨៨% នៃគេហទំព័រ និងសេវាកម្មរបស់ពិភពលោក)។ ដើម្បីជំរុញសុវត្ថិភាពរបស់ស្ថាប័ន សូមពិចារណាអនុវត្តដំណោះស្រាយគ្រប់គ្រងសុវត្ថិភាពពាក្យសម្ងាត់ដូចជា Specops Password Policy ដើម្បីជួយអ្នកក្នុងការពង្រឹងពាក្យសម្ងាត់ និងអនុវត្តគោលការណ៍ពាក្យសម្ងាត់តឹងរឹង។ ជាមួយនឹងគោលការណ៍លេខសម្ងាត់ Specops អ្នកអាចបង្កើតច្បាប់លេខសម្ងាត់ផ្ទាល់ខ្លួន ធានាថាអនុលោមតាមបទបញ្ញត្តិឧស្សាហកម្ម អនុវត្តឃ្លាសម្ងាត់ (Passphrases) និងបង្កើតវចនានុក្រមផ្ទាល់ខ្លួន។ លើសពីនេះ អ្នកអាចកំណត់ពេលវេលានៃការប្រើប្រាស់ពាក្យសម្ងាត់ដែលបំពានដោយការបន្តស្គេន Active Directory របស់អ្នកប្រឆាំងនឹងមូលដ្ឋានទិន្នន័យ (database) មានចំនួនជាង ៤ពាន់លានពាក្យសម្ងាត់ដែលត្រូវបានគ្រប់គ្រងដោយហេគឃ័រយកមកប្រើប្រាស់ដើម្បីស្គេន។
របៀប MFA និង Password Managers ប៉ះពាល់ដល់ហានិភ័យអ្នក៖ ការអនុវត្តការផ្ទៀងផ្ទាត់ច្រើនជាន់បន្ថែមស្រទាប់ (Layer) សុវត្ថិភាពទៅក្នុងគោលការណ៍ពាក្យសម្ងាត់របស់អ្នក ដោយជួយទប់ស្កាត់ការវិវឌ្ឍនៃក្រុមហេគឃ័រ ដែលបានទទួលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណអ្នកប្រើប្រាស់ចុងក្រោយ (end-user)។ ក្រុមហ៊ុន Microsoft បានកំណត់ថា ៩៩% នៃ គណនីសហគ្រាសដែលត្រូវបានសម្របសម្រួលយកទៅគ្រប់គ្រងដោយហេគឃ័របានគឺខ្វះ MFA។ Password Manager អាចជួយកាត់បន្ថយការគំរាមកំហែង (Exposure)។ ដោយសារតែពួកគេអាចបង្កើត និងរក្សាទុកការបញ្ចូលគ្នាស្ទើរតែគ្មានទីបញ្ចប់នៃអត្តសញ្ញាណអ្នកប្រើប្រាស់ អ្នកកំពុងបង្កើនសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ (និងស្ថាប័នរបស់អ្នក) យ៉ាងមានប្រសិទ្ធភាព។
ការផ្តល់អំណាចដល់អ្នកប្រើប្រាស់ចុងក្រោយរបស់អ្នកឱ្យក្លាយជាអ្នកការពារជួរមុខដ៏ល្អបំផុតរបស់អ្នក៖ ខណៈពេលដែលគោលការណ៍ពាក្យសម្ងាត់រឹងមាំ និងដំណោះស្រាយបច្ចេកទេសមានសារៈសំខាន់ចំពោះយុទ្ធសាស្រ្តសុវត្ថិភាពរបស់អ្នក គួរតែចាត់ទុកអ្នកប្រើប្រាស់របស់អ្នកជាខ្សែការពារដ៏ល្អបំផុត និងជួរមុខរបស់អ្នក។ តាមរយៈការអប់រំ និងផ្តល់សិទ្ធិអំណាចដល់បុគ្គលិករបស់អ្នក ពួកគេអាចជួយការពារយ៉ាងសកម្មនូវសុវត្ថិភាពសាយប័ររបស់ស្ថាប័នអ្នក។
ការអនុវត្តយុទ្ធសាស្រ្តដូចជា៖
– រៀបចំការបណ្តុះបណ្តាលការយល់ដឹងអំពីសុវត្ថិភាពជាប្រចាំ៖ គ្របដណ្តប់អ្វីៗដូចជាការអនុវត្តល្អបំផុតនៃពាក្យសម្ងាត់ ការស្វែងរក និងជៀសវាងការលួចបន្លំ និងការវាយប្រហារ social engineering ។
– ការលើកទឹកចិត្តដល់ការប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់៖ អប់រំអ្នកប្រើប្រាស់អំពីរបៀបដែលអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ដំណើរការ និងអត្ថប្រយោជន៍របស់ពួកគេ។
– លើកកម្ពស់វប្បធម៌ដែលគិតពីសុវត្ថិភាព៖ ទទួលស្គាល់ និងផ្តល់រង្វាន់ដល់បុគ្គលិកដែលកំណត់អត្តសញ្ញាណ និងរាយការណ៍ពីការគំរាមកំហែងផ្នែកសុវត្ថិភាពដែលអាចកើតមាន។
– អនុវត្តការក្លែងបន្លំ៖ សាកល្បងការយល់ដឹងរបស់និយោជិកជាទៀងទាត់ដោយការផ្ញើអ៊ីម៉ែលបន្លំ ផ្តល់មតិកែលម្អភ្លាមៗ និងការបណ្តុះបណ្តាលសម្រាប់បុគ្គលិកទាំងឡាយណាដែលរងគ្រោះ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែវិច្ឆិកា ឆ្នាំ២០២៤
