Password လုံခြုံရေး (၁)

Password နဲ့ ပတ်သက်တဲ့ သတိပေးချက် တွေကို မကြာခဏ ကြားဖူးကြမှာပါ။ အင်္ဂလိပ်စာလုံး အကြီးနဲ့ အသေးတွဲသုံးဖို့၊ နံပါတ်နဲ့ အက္ခရာ တွဲသုံးဖို့၊ #%&! အစရှိတဲ့ Special Character တွေ ထည့်သုံးဖို့၊ အဘိဓာန် ထဲက စကားလုံးတွေ မသုံးဖို့၊ စာလုံး အရေအတွက် များများ သုံးဖို့၊ QWERTY လိုမျိုး အစဉ်လိုက် စာလုံးတွေ မသုံးဖို့ ဆိုတဲ့ သတိပေးချက်မျိုး တွေကို ကြားရတတ် ပါတယ်။ဒါပေမယ့် ကွန်ပြူတာ အသုံးပြုသူ အများစုကတော့ ဘာအကြောင်းကြောင့် ဒီလို သတိပေးတယ် ဆိုတာကို သဘောမပေါက် ကြပါဘူး။ အလွယ်တကူ မှတ်လို့ မရအောင် အဲဒီလို လုပ်ခိုင်းတယ် လို့ပဲ ထင်တတ်ပါတယ်။

တကယ့် အကြောင်းရင်းမှန်ကတော့ အလွယ်တကူ မှတ်လို့ မရရုံတင် မကပါဘူး။ Password သူခိုးတွေ သုံးတတ်တဲ့ အဘိဓာန် တိုက်ခိုက်မှု (Dictionary Attack) ၊ ဘရုဖို့စ် တိုက်ခိုက်မှု (Brute Force Attack) စတဲ့ နည်းတွေကနေ ရှောင်နိုင်အောင်လည်း ပါဝင်ပါတယ်။ Password သူခိုး များဟာ ရေးထားပြီးသား ပရိုဂရမ်တွေ Script တွေကို သုံးပြီး Password ဖြည့်ရမည့် နေရာမှာ ဖြစ်နိုင်ခြေ ရှိတဲ့ Password တွေကို အလိုအလျောက် ဖြည့်ကြည့်ကြပါတယ်။ အဲဒီလို ပရိုဂရမ်တွေ ကလည်း ကိုယ်တိုင် ရေးစရာ မလိုပဲ အင်တာနက်မှာတင် အလွယ်တကူ ရှာလို့ ရနိုင် ပါတယ်။

အဘိဓာန် တိုက်ခိုက်မှု (Dictionary Attack) ဆိုတာကတော့ အဲဒီလို ရေးထားပြီးသား ပရိုဂရမ်ကို သုံးပြီး အဘိဓာန် ထဲမှာ ရှိတဲ့ အင်္ဂလိပ်စာလုံးတွေကို ပုံစံမျိုးစုံနဲ့ ပေါင်းစပ်ပြီး ဖြည့်ကြည့်တာကို ခေါ်ပါတယ်။ ဥပမာ အားဖြင့် night နဲ့ parking ပေါင်းပြီး nightparking ဆိုတဲ့ စာလုံးမျိုး၊ Bird နဲ့ Park ပေါင်းပြီး birdpark ဆိုတာမျိုးကို Password နေရာမှာ ဖြည့်ကြည့်ကြတာ မျိုးပါ။ အဲဒီတော့ ကိုယ့်ရဲ့ Password က အဘိဓာန် ထဲမှာ ရှိတဲ့ စာလုံးတွေကို သုံးထားတယ် ဆိုရင် အဘိဓာန် တိုက်ခိုက်မှု ကြောင့် Password သူခိုးတွေရဲ့ လက်ကို ရောက်သွားနိုင်ပါတယ်။ အဘိဓာန် တိုက်ခိုက်မှုကို သုံးတဲ့ Password သူခိုးအနေနဲ့ အင်္ဂလိပ် အဘိဓာန်သာ မကပဲ သူကြိုက်တဲ့ အဘိဓာန်ကို ပရိုဂရမ်ထဲမှာ အလွယ်တကူ ထည့်ပြီး သုံးလို့ရပါတယ်။ အဲဒါကြောင့် အင်္ဂလိပ် အဘိဓာန် မသုံးပဲ မလေးစကားလုံးလို အင်္ဂလိပ်စာနဲ့ ရေးထားတဲ့ စာလုံးမျိုးတွေကို သုံးရင်လည်း စိတ်မချရပါဘူး။ အဘိဓာန်ထဲက စကားလုံးတွေကို Password အနေနဲ့ မသုံးတာဟာ အကောင်းဆုံးပါပဲ။ Password သူခိုးတွေဟာ အဘိဓာန် တိုက်ခိုက်မှု ထဲမှာ qwerty, asdfg စတဲ့ ကီးဘုတ်ပေါ်မှာ ရှိတဲ့ ဂဏန်း အစဉ်လိုက် စာလုံးတွဲတွေကိုလည်း သုံးတတ်တဲ့ အတွက် ကီးဘုတ်ပေါ်မှာ ရှိတဲ့ အစဉ်လိုက် အက္ခရာတွေကို Password အနေနဲ့ ထားခြင်းမှလည်း ရှောင်သင့်ပါတယ်။

ဘရုဖို့စ် ဆိုတာကတော့ ဖြစ်နိုင်ခြေ ရှိတဲ့ စာလုံးတွေကို ပုံစံမျိုးစုံနဲ့ ဖြည့်ကြည့်တဲ့ တိုက်ခိုက်မှုပါ။ ဥပမာ အားဖြင့် ဘရုဖို့စ် နဲ့ တိုက်ခိုက်မယ့် Password သူခိုးက Password ၆လုံးစာ နေရာကို ကို 0 ကနေ 9 အထိ ဖြည့်ကြည့်မယ် ဆိုကြပါစို့။ ပရိုဂရမ်က Password ဖြည့်ရမယ့် နေရာမှာ 0 ကနေ 999999 အတွင်း ရှိ သမျှ ဂဏန်းတွေကို အလို အလျောက် ဖြည့်ကြည့်ပါတယ်။ ဖြစ်နိုင်ခြေ ရှိတဲ့ password အားလုံးပေါင်းက (10⁶ + 10⁵ + 10⁴ + 10³+ 10² + 10)= ၁၁ သန်းကျော် ရှိပါတယ်။ (10 က ဖြစ်နိုင်ခြေ ရှိတဲ့ 0 ကနေ 9 အထိ ဂဏန်း ၁၀ လုံးကို ရည်ညွှန်းပြီး ရှေ့ဆုံးက ပါဝါ 6 ကတော့ ဂဏန်း ၆ လုံးစာနေရာကို ရည်ညွှန်းပါတယ်။) ဒါပေမယ့် ၁၁ သန်းကျော် ဆိုတဲ့ ဂဏန်းကို ကွန်ပြူတာနဲ့ ဖြည့်ကြည့်ဖို့ မိနစ်ပိုင်း ပဲ ကြာပါတယ်။ အကယ်၍ ဂဏန်းချည်း သက်သက်မဟုတ်ပဲ အင်္ဂလိပ်အက္ခရာ စာလုံး အသေး ကိုပါ တွဲဖြည့်မယ် ဆိုရင်တော့ a ကနေ z အထိ အက္ခရာ ၂၆ လုံး ပိုလာပါပြီ။ အက္ခရာ ၃၆ လုံးအတွက် ဖြစ်နိုင်ခြေ ရှိတဲ့ ဂဏန်း အားလုံးပေါင်းက (36⁶ + 36⁵ + 36⁴ + 36³+ 36² + 36) = 2.2 ဘီလီယံ ကျော် ရှိပါတယ်။ အဲဒီအတွက် ပရိုဂရမ်ကို Run ရတဲ့ အချိန်က ဂဏန်း ချည်း သက်သက် ဖြည့်တာထက် စာရင် အဆ ၂၀၀ ကျော် ပိုကြာပါတယ်။ အင်္ဂလိပ်စာလုံး အကြီးအသေး၊ ဂဏန်းနဲ့ ကီးဘုတ် ပေါ်က ရိုက်ထည့်လို့ရတဲ့ Special Character ၃၂ လုံးကို တွဲဖြည့်မယ် ဆိုရင်တော့ စုစုပေါင်း အက္ခရာ ၉၄လုံး ဖြစ်တဲ့အတွက် ဖြစ်နိုင်ခြေ ရှိတဲ့ Password က ၆၉၇ ဘီလီယံ ကျော် ရှိပါတယ်။ ဂဏန်း ချည်းသက်သက် ဖြည့်တာထက် စာရင် အဆ ၆သောင်း နီးပါး ပိုကြာပါတယ်။ အဲဒီတော့ ကိုယ့်ရဲ့ Password ထဲမှာ အက္ခရာ အကြီးအသေး ဂဏန်း နဲ့ Special Character တွေ တွဲဖြည့်မယ် ဆိုရင် ဘရုဖို့စ် တိုက်ခိုက်မှုက နေ ရှောင်နိုင်ဖို့ အခွင့်အလမ်း များပါတယ်။ Password အလုံးရေ ၁၂ လုံးထက် ပိုမယ် ဆိုရင် အကောင်းဆုံးပါပဲ။

Password ကို မကြာခဏ ပြောင်းပါ ဆိုတာလည်း ဒါကြောင့်ပါပဲ။ ကိုယ့်ရဲ့ Password ကို တစ်စုံ တစ်ယောက်က စိတ်ရှည်လက်ရှည်နဲ့ နေ့တိုင်း တိုက်ခိုက်နေမယ် ဆိုရင် တစ်နေ့မဟုတ် တစ်နေ့တော့ ကိုယ့်ရဲ့ Password ကို ဖော်နိုင်မှာပါပဲ။ ဒါကြောင့် Password ကို မကြာခဏ ပြောင်းပေးတာဟာ ပိုပြီး လုံခြုံမှု ရှိစေပါတယ်။

ဒါပေမယ့် User တွေ အတွက် အဓိက ပြသနာက အဲဒီလို အားကောင်းတဲ့ Password ကို ဘယ်လို မှတ်မိအောင် လုပ်မလဲ ဆိုတဲ့ ပြသနာပါ။ အရိုးအရှင်းဆုံး Password ဖန်တီးနည်းကို အခုလို မှတ်သား ဖူးပါတယ်။ ဂဏန်းတွေ ပါတဲ့ အင်္ဂလိပ် စာကြောင်းတစ်ခုကို မှတ်မိအောင် လုပ်လိုက်ပါ။ ဥပမာ She have 3 cats 2 dogs and he is 5 feet 8 inches tall ဆိုတာမျိုးပါ။ ပြီးရင် ရှေ့ဆုံးစာလုံးတွေကို ယူပါ။ sh3c2dahi5f8it ဆိုပြီး ရပါတယ်။ နာမ်စားတွေကို အင်္ဂလိပ် အက္ခရာ အကြီး ပြောင်းလိုက်ပါ။ ပြီးရင် ကျန်တဲ့စာလုံးတွေမှာ (a = @ , h = # , p = % , s = $ ) စတာမျိုးတွေ အစားထိုးလိုက်ပါ။ အဲဒါဆိုရင် ခုန စာကြောင်းကနေ Sh3c2d@H!5f8!t ဆိုပြီး အလွယ်တကူ ခိုးလို့မရနိုင်တဲ့ Password တစ်ခု ထွက်လာပါလိမ့်မယ်။ မမှတ်မိရင် အင်္ဂလိပ်စာကြောင်းကို ပြန်စဉ်းစားပြီး အစပြန်ဖော်လို့ ရပါတယ်။ ရိုက်ပါများရင် မှတ်မိသွားပါလိမ့်မယ်။

အဲဒါဆိုရင် မေးစရာ နောက်တစ်ခု ရှိလာပါပြီ။ ကျွန်တော်တို့ရဲ့ အီးမေးလ်တွေ ကို ဘရုဖို့စ် တိုက်ခိုက်မှုနဲ့ Password ဖော်လို့ ရသလား ဆိုတာပါ။ ရာဟူး ဂျီမေးလ်စတဲ့ အီးမေးလ်တွေမှာ ဘရုဖို့စ် တိုက်ခိုက်မှုကို ကာကွယ်ဖို့အတွက် Catcha လို့ ခေါ်တဲ့ Word Verification ထည့်ထားပါတယ်။ Password ကို ၃ ခါ မှားနှိပ်မိရင် Word Verification ပေါ်လာပြီး Password နဲ့အတူ ကွန်ပြူတာ ဖန်သားပြင်မှာ ပေါ်လာတဲ့ စာလုံးတွေကို ရိုက်ထည့်ပေးရပါတယ်။ အဲဒီ လို ပေါ်လာတဲ့ စာလုံးတွေကို ကွန်ပြူတာ ပရိုဂရမ်နဲ့ အလွယ်တကူ ဖတ်လို့မရတဲ့ အတွက် ဘရုဖို့စ်နဲ့ တိုက်ခိုက်လို့ အလွယ်တကူ မရနိုင်ပါဘူး။ ဒါပေမယ့် ကွန်ပြူတာမှာ Optical Character Recognition လို့ ခေါ်တဲ့ ဖန်သားပြင်ပေါ်က စာလုံးတွေကို ဖတ်လို့ရတဲ့ နည်းပညာလည်း ရှိပါသေးတယ်။ အဲဒါကြောင့် စာလုံးတွေကို အတည့်အတိုင်း မရေးပဲ ရွဲ့စောင်း ရေးထားပြီး Word Verification ကို OCR နည်းပညာကို သုံးပြီး အလွယ်တကူ ဖတ်လို့ မရအောင် လုပ်ထားပါတယ်။ ကျွန်တော်တို့ သုံးနေကျ တစ်ချို့ဝက်ဘ်ဆိုဒ် (လုံခြုံရေး အရ အမည် မဖော်လိုပါ။) တွေမှာ Catcha မပါပါဘူး။ အဲဒီအတွက် ဘရုဖို့စ်နဲ့ တိုက်ခိုက်တဲ့ အခါမှာ ကိုယ့်ရဲ့ Password က အားနည်းနေရင် တခြားသူလက်ကို အလွယ်တကူ ရောက်သွားနိုင် ပါတယ်။ အဲဒါကြောင့် ကိုယ်သုံးနေတဲ့ ဝက်ဘ်ဆိုဒ်မှာ Catcha မပါမှန်း သိရင် Password ကို တတ်နိုင်သမျှ အားကောင်းအောင် လုပ်ထားပါလို့ အကြံပေးချင် ပါတယ်။

ဒါကတော့ Password ရွေးချယ်ရာမှာ သိထားသင့်တဲ့ အချက်တွေပါ။ နောက်ကြုံရင်တော့ Phishing Attack နဲ့ KeyLogger တွေ၊ ScreenLogger တွေ စတဲ့ Password သူခိုးများ သုံးတတ်တဲ့ နည်းတွေကို ရေးပါဦးမယ်။

(Certified Ethical Hacker Version 6 သင်ရိုးညွှန်းတမ်းကို ကိုးကားထားပါတယ်။)