December 18, 2024

Language:

របៀបការពារប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់ (Brute Force Attacks)

. អ្វីទៅជាការវាយប្រហាររាវពាក្យសម្ងាត់?

ក្នុងវិធីសាស្ត្រវាយប្រហាររាវពាក្យសម្ងាត់ ហេកគ័រប្រើប្រាស់ថាមពលគណនាយ៉ាងឆាប់រហ័សរបស់កុំព្យូទ័រដើម្បីសាកល្បងរាវជាប្រព័ន្ធនូវបង្គុំពាក្យសម្ងាត់ជាច្រើនរហូតដល់រាវបានបង្គុំពាក្យសម្ងាត់ត្រឹមត្រូវ។ ថ្វីត្បិតមានកម្រិតស្មុគ្រស្មាញទាប វិធីសាស្ត្រវាយប្រហាររាវពាក្យសម្ងាត់អាចមានលក្ខណៈជាប់លាប់និងយូរអង្វែង ដោយអ្នកវាយប្រហារព្យាយាមរាវបង្គុំពាក្យសម្ងាត់រាប់មិនអស់ដើម្បីព្យាយាមជ្រៀតចូលប្រព័ន្ធ។ ប្រភេទមួយចំនួននៃការវាយប្រហាររាវពាក្យសម្ងាត់រួមមាន :

  • ការរាវពាក្យសម្ងាត់គ្រប់បង្គុំតួអក្សរ (exhaustive search) : ជាប្រភេទវិធីសាស្រ្តដែលសាកល្បងរាវដោយប្រើរាល់បង្គុំនិងបន្សំនៃតួអក្សររហូតដល់វារកឃើញពាក្យសម្ងាត់ត្រឹមត្រូវ។
  • ការរាវពាក្យសម្ងាត់ដោយបញ្ជី (dictionary attack) : ជាប្រភេទវិធីសាស្ត្រដែលរាវពាក្យសម្ងាត់ចេញពីកម្រងពាក្យសម្ងាត់ទូទៅដែលត្រូវបានប្រើដោយពេញនិយមដោយមនុស្សច្រើនគ្នា ឬបញ្ជីពាក្យសម្ងាត់ធ្លាប់បែកធ្លាយលើអ៊ីនធឺណិតពីមុនមក។
  • ការរាវឈ្មោះគណនី (password spray) : ជាប្រភេទវិធីសាស្ត្រដែលប្រើពាក្យសម្ងាត់ធម្មតាតែមួយ (ឧទាហរណ៍ “Password12345”) ដើម្បីយកទៅរាវនឹងឈ្មោះគណនីច្រើនវិញម្ដង។
  • វិធីសាស្ត្រលាយឡំ : ជាប្រភេទវិធីសាស្ត្រដែលរួមបញ្ចូលគ្នានូវវិធីសាស្ត្រដែលបានរៀបរាប់មកដើម្បីបន្ថែមកម្រិតស្មុគ្រស្មាញដល់ការវាយប្រហារ។

. កត្តានៃការវាយប្រហាររាវពាក្យសម្ងាត់

ប្រសិទ្ធភាពនៃការវាយប្រហាររាវពាក្យសម្ងាត់អាស្រ័យលើកត្តាមួយចំនួនដូចជា :

  • ថាមពលគណនា : កុំព្យូទ័រទំនើបអាចសាកល្បងរាវបានរាប់លានបង្គុំពាក្យសម្ងាត់ក្នុងមួយវិនាទី។
  • ការប្រើប្រាស់ពាក្យសម្ងាត់ឡើងវិញ : អ្នកប្រើប្រាស់ជាច្រើនប្រើពាក្យសម្ងាត់ចាស់ៗឡើងវិញសម្រាប់គណនីរបស់គេជាច្រើន។
  • ភាពងាយទស្សន៍ទាយបាននៃពាក្យសម្ងាត់ : ក្បួនរាវពាក្យសម្ងាត់ទូទៅអាចរាប់បញ្ចូលការជំនួសអក្សរដោយទូទៅ (ឧទាហរណ៍ដូចជាការជំនួសអក្សរ “E” ដោយលេខ “3”)។ អ្នកប្រើប្រាស់ភាគច្រើនមានពាក្យសម្ងាត់ចាប់ផ្តើមដោយអក្សរធំ ហើយបញ្ចប់ដោយលេខ “1” ឬសញ្ញា “!” ដើម្បីបំពេញតម្រូវការភាពខ្លាំងនៃពាក្យសម្ងាត់។ ការវាយប្រហាររាវពាក្យសម្ងាត់អាចសាកល្បងរាវប្រភេទបង្គុំពាក្យសម្ងាត់ទាំងនេះជាមុនសិន។

. ពង្រឹងការការពារប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់

យុទ្ធសាស្ត្រការពារពហុស្រទាប់គឺជាការការពារល្អបំផុតសម្រាប់កាត់បន្ថយផលប៉ះពាល់នៃការវាយប្រហាររាវពាក្យសម្ងាត់។ សមាសធាតុសំខាន់ៗនៃយុទ្ធសាស្រ្តរបស់អ្នកគួរតែរួមបញ្ចូល៖

  • អនុវត្តគោលការណ៍ពាក្យសម្ងាត់ដ៏រឹងមាំ : គួរកំណត់ឱ្យពាក្យសម្ងាត់មានប្រវែងយ៉ាងតិច ១៥តួ និងមានអក្សរធំ អក្សរតូច លេខ និងសញ្ញាលាយឡំគ្នា។
  • ប្រើប្រាស់យន្តការផ្ទៀងផ្ទាត់ពហុកត្តា (multi-factor authentication, MFA) : MFA បន្ថែមស្រទាប់សុវត្ថិភាពដោយទាមទារការផ្ទៀងផ្ទាត់បន្ថែមលើសពីពាក្យសម្ងាត់។
  • ត្រួតពិនិត្យ និងហាមឃាត់ការព្យាយាមចូលគណនី :
  • ការហាមឃាត់ដោយស្វ័យប្រវត្តិ : បង្កកគណនីជាបណ្តោះអាសន្នបន្ទាប់ពីមានការព្យាយាមចូលបរាជ័យច្រើនដង។
  • ការពន្យារពេលកាន់តែយូរ : បង្កើនពេលវេលារង់ចាំក្រោយពីមានការព្យាយាមចូលបរាជ័យ ដើម្បីកាត់បន្ថយចំនួននៃការវាយប្រហារដោយស្វ័យប្រវត្តិ។
  • ធ្វើសវនកម្មជាប្រចាំ : វាយតម្លៃជាប្រចាំលើពាក្យសម្ងាត់នៅទូទាំងស្ថាប័នដើម្បីទទួលបានការយល់ដឹងដ៏មានតម្លៃចំពោះភាពងាយរងគ្រោះដែលអាចកើតមាននៃប្រព័ន្ធពាក្យសម្ងាត់។
  • កសាងសមត្ថភាពអ្នកប្រើប្រាស់ : បង្កើតកម្មវិធីបណ្តុះបណ្តាលដើម្បីបង្កើនចំណេះដឹងរបស់អ្នកប្រើប្រាស់អំពីសារៈសំខាន់នៃការប្រើប្រាស់ពាក្យសម្ងាត់ខ្លាំង និងហានិភ័យដែលទាក់ទងនឹងការប្រើប្រាស់ពាក្យសម្ងាត់ខ្សោយ។

តាមរយៈការអនុវត្តវិធីសាស្រ្តការពារពហុស្រទាប់ អ្នកអាចបង្កើនភាពធន់របស់អង្គភាពរបស់អ្នកប្រឆាំងនឹងការវាយប្រហាររាវពាក្យសម្ងាត់ដោយមានប្រសិទ្ធភាពខ្ពស់។

៤. ឯកសារពាក់ព័ន្ធ

  • – https://www.bleepingcomputer.com/news/security/how-to-defend-against-brute-force-and-password-spray-attacks/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.