របៀបការពារប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់ (Brute Force Attacks)

១. អ្វីទៅជាការវាយប្រហាររាវពាក្យសម្ងាត់?

ក្នុងវិធីសាស្ត្រវាយប្រហាររាវពាក្យសម្ងាត់ ហេកគ័រប្រើប្រាស់ថាមពលគណនាយ៉ាងឆាប់រហ័សរបស់កុំព្យូទ័រដើម្បីសាកល្បងរាវជាប្រព័ន្ធនូវបង្គុំពាក្យសម្ងាត់ជាច្រើនរហូតដល់រាវបានបង្គុំពាក្យសម្ងាត់ត្រឹមត្រូវ។ ថ្វីត្បិតមានកម្រិតស្មុគ្រស្មាញទាប វិធីសាស្ត្រវាយប្រហាររាវពាក្យសម្ងាត់អាចមានលក្ខណៈជាប់លាប់និងយូរអង្វែង ដោយអ្នកវាយប្រហារព្យាយាមរាវបង្គុំពាក្យសម្ងាត់រាប់មិនអស់ដើម្បីព្យាយាមជ្រៀតចូលប្រព័ន្ធ។ ប្រភេទមួយចំនួននៃការវាយប្រហាររាវពាក្យសម្ងាត់រួមមាន :

• ការរាវពាក្យសម្ងាត់គ្រប់បង្គុំតួអក្សរ (exhaustive search) : ជាប្រភេទវិធីសាស្រ្តដែលសាកល្បងរាវដោយប្រើរាល់បង្គុំនិងបន្សំនៃតួអក្សររហូតដល់វារកឃើញពាក្យសម្ងាត់ត្រឹមត្រូវ។
• ការរាវពាក្យសម្ងាត់ដោយបញ្ជី (dictionary attack) : ជាប្រភេទវិធីសាស្ត្រដែលរាវពាក្យសម្ងាត់ចេញពីកម្រងពាក្យសម្ងាត់ទូទៅដែលត្រូវបានប្រើដោយពេញនិយមដោយមនុស្សច្រើនគ្នា ឬបញ្ជីពាក្យសម្ងាត់ធ្លាប់បែកធ្លាយលើអ៊ីនធឺណិតពីមុនមក។
• ការរាវឈ្មោះគណនី (password spray) : ជាប្រភេទវិធីសាស្ត្រដែលប្រើពាក្យសម្ងាត់ធម្មតាតែមួយ (ឧទាហរណ៍ “Password12345”) ដើម្បីយកទៅរាវនឹងឈ្មោះគណនីច្រើនវិញម្ដង។
• វិធីសាស្ត្រលាយឡំ : ជាប្រភេទវិធីសាស្ត្រដែលរួមបញ្ចូលគ្នានូវវិធីសាស្ត្រដែលបានរៀបរាប់មកដើម្បីបន្ថែមកម្រិតស្មុគ្រស្មាញដល់ការវាយប្រហារ។

២. កត្តានៃការវាយប្រហាររាវពាក្យសម្ងាត់

ប្រសិទ្ធភាពនៃការវាយប្រហាររាវពាក្យសម្ងាត់អាស្រ័យលើកត្តាមួយចំនួនដូចជា :

• ថាមពលគណនា : កុំព្យូទ័រទំនើបអាចសាកល្បងរាវបានរាប់លានបង្គុំពាក្យសម្ងាត់ក្នុងមួយវិនាទី។
• ការប្រើប្រាស់ពាក្យសម្ងាត់ឡើងវិញ : អ្នកប្រើប្រាស់ជាច្រើនប្រើពាក្យសម្ងាត់ចាស់ៗឡើងវិញសម្រាប់គណនីរបស់គេជាច្រើន។
• ភាពងាយទស្សន៍ទាយបាននៃពាក្យសម្ងាត់ : ក្បួនរាវពាក្យសម្ងាត់ទូទៅអាចរាប់បញ្ចូលការជំនួសអក្សរដោយទូទៅ (ឧទាហរណ៍ដូចជាការជំនួសអក្សរ “E” ដោយលេខ “3”)។ អ្នកប្រើប្រាស់ភាគច្រើនមានពាក្យសម្ងាត់ចាប់ផ្តើមដោយអក្សរធំ ហើយបញ្ចប់ដោយលេខ “1” ឬសញ្ញា “!” ដើម្បីបំពេញតម្រូវការភាពខ្លាំងនៃពាក្យសម្ងាត់។ ការវាយប្រហាររាវពាក្យសម្ងាត់អាចសាកល្បងរាវប្រភេទបង្គុំពាក្យសម្ងាត់ទាំងនេះជាមុនសិន។

៣. ពង្រឹងការការពារប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់

យុទ្ធសាស្ត្រការពារពហុស្រទាប់គឺជាការការពារល្អបំផុតសម្រាប់កាត់បន្ថយផលប៉ះពាល់នៃការវាយប្រហាររាវពាក្យសម្ងាត់។ សមាសធាតុសំខាន់ៗនៃយុទ្ធសាស្រ្តរបស់អ្នកគួរតែរួមបញ្ចូល៖

• អនុវត្តគោលការណ៍ពាក្យសម្ងាត់ដ៏រឹងមាំ : គួរកំណត់ឱ្យពាក្យសម្ងាត់មានប្រវែងយ៉ាងតិច ១៥តួ និងមានអក្សរធំ អក្សរតូច លេខ និងសញ្ញាលាយឡំគ្នា។
• ប្រើប្រាស់យន្តការផ្ទៀងផ្ទាត់ពហុកត្តា (multi-factor authentication, MFA) : MFA បន្ថែមស្រទាប់សុវត្ថិភាពដោយទាមទារការផ្ទៀងផ្ទាត់បន្ថែមលើសពីពាក្យសម្ងាត់។
• ត្រួតពិនិត្យ និងហាមឃាត់ការព្យាយាមចូលគណនី :
• ការហាមឃាត់ដោយស្វ័យប្រវត្តិ : បង្កកគណនីជាបណ្តោះអាសន្នបន្ទាប់ពីមានការព្យាយាមចូលបរាជ័យច្រើនដង។
• ការពន្យារពេលកាន់តែយូរ : បង្កើនពេលវេលារង់ចាំក្រោយពីមានការព្យាយាមចូលបរាជ័យ ដើម្បីកាត់បន្ថយចំនួននៃការវាយប្រហារដោយស្វ័យប្រវត្តិ។
• ធ្វើសវនកម្មជាប្រចាំ : វាយតម្លៃជាប្រចាំលើពាក្យសម្ងាត់នៅទូទាំងស្ថាប័នដើម្បីទទួលបានការយល់ដឹងដ៏មានតម្លៃចំពោះភាពងាយរងគ្រោះដែលអាចកើតមាននៃប្រព័ន្ធពាក្យសម្ងាត់។
• កសាងសមត្ថភាពអ្នកប្រើប្រាស់ : បង្កើតកម្មវិធីបណ្តុះបណ្តាលដើម្បីបង្កើនចំណេះដឹងរបស់អ្នកប្រើប្រាស់អំពីសារៈសំខាន់នៃការប្រើប្រាស់ពាក្យសម្ងាត់ខ្លាំង និងហានិភ័យដែលទាក់ទងនឹងការប្រើប្រាស់ពាក្យសម្ងាត់ខ្សោយ។

តាមរយៈការអនុវត្តវិធីសាស្រ្តការពារពហុស្រទាប់ អ្នកអាចបង្កើនភាពធន់របស់អង្គភាពរបស់អ្នកប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់ដោយមានប្រសិទ្ធភាពខ្ពស់។

៤. ឯកសារពាក់ព័ន្ធ

• – https://www.bleepingcomputer.com/news/security/how-to-defend-against-brute-force-and-password-spray-attacks/