December 25, 2024

Language:

ទស្សនាទានចំនួន ៦ ពាក់ព័ន្ធនឹងពាក្យសម្ងាត់ ស្រង់ចេញពីកំណែថ្មីនៃក្របខ័ណ្ឌសន្តិសុខសាយប័រ

១. ព័ត៌មានទូទៅ

វិទ្យាស្ថានស្តង់ដារ និងបច្ចេកវិទ្យាជាតិ (National Institute of Standards and Technology, NIST) នៃសហរដ្ឋអាមេរិក បានធ្វើបច្ចុប្បន្នភាពលើគោលការណ៍ណែនាំពាក្យសម្ងាត់របស់ខ្លួននៅក្នុងសេចក្តីព្រាងចុងក្រោយបំផុតនៃឯកសារគោលនយោបាយ SP 800-63B ដើម្បីផ្តល់ការការពារបន្ថែមទៀតប្រឆាំងនឹងការវាយប្រហារសាយប័រ​ដែលផ្តោតលើពាក្យសម្ងាត់។ ក្រោមនេះជាទស្សនាទានចំនួន ៦ ដើម្បីបង្កើតគោលការណ៍ពាក្យសម្ងាត់ដែលស្របនឹងក្របខ័ណ្ឌថ្មី ហើយមានប្រសិទ្ធភាព។

២.ចំនួនតួនៃពាក្យសម្ងាត់សំខាន់ជាងភាពស្មុគស្មាញ

មនុស្សយើងជារឿយៗធ្វើតាមលំនាំដែលអាចទស្សន៍ទាយបាននៅពេលបង្កើតពាក្យសម្ងាត់ស្មុគស្មាញ (ឧ. “W3lc0meTo2025!!”)។ ដូច្នេះ ពាក្យសម្ងាត់ដែលមើលទៅហាក់ស្មុគស្មាញភាគច្រើនងាយស្រួលសម្រាប់ហេកគ័របំបែកដោយប្រើកម្រងពាក្យសម្ងាត់ទូទៅ។ ដូចនេះ ផ្ទុយពីការស្នើសុំឱ្យអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ដែលមានលក្ខណៈចៃដន្យ និងពិបាកចងចាំ គួរឱ្យគេបង្កើតពាក្យ ឬឃ្លាសម្ងាត់វែង និងងាយស្រួលចងចាំ ប៉ុន្តែពិបាកទាយ។ ឃ្លាសម្ងាត់ដ៏ល្អបំផុតរួមបញ្ចូលគ្នានូវពាក្យដែលមិនទាក់ទងគ្នាទៅជាឃ្លាសម្ងាត់តែមួយដែលវែងជាង ដូចជា “mountain-pillar-tech22” ជាជាងពាក្យសម្ងាត់ចៃដន្យដូចជា “HPn&897*k”។

៣.អនុញ្ញាតឱ្យប្រើពាក្យសម្ងាត់វែង

ដើម្បីបង្កើនការការពារសុវត្ថិភាពល្អតាមការប្រើប្រាស់ពាក្យសម្ងាត់ គោលការណ៍ពាក្យសម្ងាត់គួរអាចឱ្យអ្នកប្រើប្រាស់ឃ្លាសម្ងាត់វែងៗបាន។ NIST បានណែនាំឱ្យអនុញ្ញាតរហូតដល់ ៦៤តួអក្សរ។ ដូច្នេះ គោលការណ៍គួរផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវភាពបត់បែនក្នុងការប្រើប្រាស់ឃ្លាសម្ងាត់ដែលបំពេញតម្រូវការសុវត្ថិភាពរបស់ពួកគេ មិនថា ១៥តួ ឬ ៥០តួឡើយ។

៤.ប្រើប្រាស់យន្តការផ្ទៀងផ្ទាត់ពហុកត្តា (Multifactor Authentication, MFA)

ការស្រាវជ្រាវរបស់ Microsoft បង្ហាញថា ៩៩% នៃគណនីត្រូវបានហេកមិនមានប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពហុកត្តាទេ។ ដូចនេះ ការផ្ទៀងផ្ទាត់ពហុកត្តាមិនមែនជាស្រទាប់ការពារបន្ទាប់បន្សំទៀតឡើយ តែជាស្រទាប់ការពារចាំបាច់ សម្រាប់ពេលដែលពាក្យសម្ងាត់ត្រូវបានបែកធ្លាយ។

៥.ជៀសវាងការផ្លាស់ប្តូរពាក្យសម្ងាត់ញឹកញាប់

អ្នកប្រើប្រាស់មិនរីករាយនឹងការបង្ខំឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់ជាញឹកញាប់ទេ។ NIST និយាយថា ការផ្លាស់ប្តូរពាក្យសម្ងាត់ញឹកញាប់នាំឱ្យមានសុវត្ថិភាពចុះខ្សោយ ដោយសារអ្នកប្រើត្រឹមកែប្រែពាក្យសម្ងាត់តិចតួចបំផុតដើម្បីបំពេញតម្រូវការពាក្យសម្ងាត់ថ្មីប៉ុណ្ណោះ។ ប៉ុន្តែការបោះបង់ចោលទាំងស្រុងនូវគោលការណ៍តម្រូវឱ្យផ្លាស់ប្ដូរពាក្យសម្ងាត់ក៏មិនមែនជាការល្អដែរ។ ដូច្នេះ គួរបន្លាយចន្លោះពេលវេលាផ្លាស់ប្តូរពាក្យសម្ងាត់ ហើយអនុវត្តយន្តការការពារសំខាន់ៗ។ នៅពេលដែលអ្នកប្រើប្រាស់បង្កើតពាក្យសម្ងាត់ដ៏រឹងមាំ និងស្ថាប័នអនុវត្តយន្តការការពារបានល្អ ចន្លោះពេលរវាងការផ្លាស់ប្ដូរពាក្យសម្ងាត់យូរជាងមុនជាការប្រសើរ។

៦.ទប់ស្កាត់ការប្រើប្រាស់ពាក្យសម្ងាត់ដែលបានធ្លាប់បានបែកធ្លាយរួច

ស្ថាប័ននានាគួរពិនិត្យពាក្យសម្ងាត់ថ្មីដោយផ្ទៀងផ្ទាត់ជាមួយនឹងកម្រងពាក្យសម្ងាត់ដែលត្រូវបានបែកធ្លាយរួចពីមុន ព្រោះអ្នកវាយប្រហារនឹងប្រើកម្រងពាក្យសម្ងាត់បែកធ្លាយទាំងនេះដើម្បីធ្វើការវាយប្រហារដោយទាយពាក្យសម្ងាត់។

៧.ឈប់ប្រើប្រាស់ជំនួយរំឭកពាក្យសម្ងាត់ និងវិធីសាស្ត្រស្រង់ពាក្យសម្ងាត់ភ្លេច ដោយផ្អែកលើព័ត៌មានទូទៅ

ស្ថាប័ននានាគួរបោះបង់ចោលនូវវិធីសាស្ត្ររំឭកពាក្យសម្ងាត់ឡើងវិញតាមបែបបុរាណ (ឧ. តើសត្វចិញ្ចឹមដំបូងរបស់អ្នកឈ្មោះអ្វី? តើអ្នករៀននៅវិទ្យាល័យណា?) ដោយសារតែព័ត៌មានផ្ទាល់ខ្លួនរបស់អ្នកប្រើប្រាស់អាចមាននៅពាសពេញប្រព័ន្ធផ្សព្វផ្សាយសង្គម។ អ្វីដែលធ្លាប់ជាព័ត៌មានឯកជនពីមុនមក ឥឡូវនេះជាព័ត៌មានសាធារណៈធម្មតា ងាយស្រង់យកបានដោយអ្នកវាយប្រហារដើម្បីប្រើប្រាស់។ NIST ណែនាំឱ្យប្រើជម្រើសផ្សេងទៀតដូចជា តំណភ្ជាប់ប្ដូរពាក្យសម្ងាត់ថ្មីតាមអ៊ីមែលដែលមានសុវត្ថិភាព និងប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពហុកត្តា។ វិធីសាស្រ្តថ្មីៗទាំងនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បញ្ជាក់អត្តសញ្ញាណរបស់ពួកគេតាមរយៈការចូលប្រើប្រាស់ជាក់ស្តែងទៅកាន់ឧបករណ៍ ឬគណនីរបស់គេជាជាងពឹងផ្អែកលើព័ត៌មានផ្ទាល់ខ្លួនដែលសាធារណជនងាយស្រួលស្វែងរក។

៨. ឯកសារពាក់ព័ន្ធ

  • –    https://www.bleepingcomputer.com/news/security/six-password-takeaways-from-the-updated-nist-cybersecurity-framework/
  • –    https://learn.microsoft.com/en-us/partner-center/security/security-at-your-organization
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.