Search This Blog

Monday, July 27, 2009

Password လုံခြုံရေး (၁)

Password နဲ့ ပတ်သက်တဲ့ သတိပေးချက် တွေကို မကြာခဏ ကြားဖူးကြမှာပါ။ အင်္ဂလိပ်စာလုံး အကြီးနဲ့ အသေးတွဲသုံးဖို့၊ နံပါတ်နဲ့ အက္ခရာ တွဲသုံးဖို့၊ #%&! အစရှိတဲ့ Special Character တွေ ထည့်သုံးဖို့၊ အဘိဓာန် ထဲက စကားလုံးတွေ မသုံးဖို့၊ စာလုံး အရေအတွက် များများ သုံးဖို့၊ QWERTY လိုမျိုး အစဉ်လိုက် စာလုံးတွေ မသုံးဖို့ ဆိုတဲ့ သတိပေးချက်မျိုး တွေကို ကြားရတတ် ပါတယ်။ဒါပေမယ့် ကွန်ပြူတာ အသုံးပြုသူ အများစုကတော့ ဘာအကြောင်းကြောင့် ဒီလို သတိပေးတယ် ဆိုတာကို သဘောမပေါက် ကြပါဘူး။ အလွယ်တကူ မှတ်လို့ မရအောင် အဲဒီလို လုပ်ခိုင်းတယ် လို့ပဲ ထင်တတ်ပါတယ်။

တကယ့် အကြောင်းရင်းမှန်ကတော့ အလွယ်တကူ မှတ်လို့ မရရုံတင် မကပါဘူး။ Password သူခိုးတွေ သုံးတတ်တဲ့ အဘိဓာန် တိုက်ခိုက်မှု (Dictionary Attack) ၊ ဘရုဖို့စ် တိုက်ခိုက်မှု (Brute Force Attack) စတဲ့ နည်းတွေကနေ ရှောင်နိုင်အောင်လည်း ပါဝင်ပါတယ်။ Password သူခိုး များဟာ ရေးထားပြီးသား ပရိုဂရမ်တွေ Script တွေကို သုံးပြီး Password ဖြည့်ရမည့် နေရာမှာ ဖြစ်နိုင်ခြေ ရှိတဲ့ Password တွေကို အလိုအလျောက် ဖြည့်ကြည့်ကြပါတယ်။ အဲဒီလို ပရိုဂရမ်တွေ ကလည်း ကိုယ်တိုင် ရေးစရာ မလိုပဲ အင်တာနက်မှာတင် အလွယ်တကူ ရှာလို့ ရနိုင် ပါတယ်။

အဘိဓာန် တိုက်ခိုက်မှု (Dictionary Attack) ဆိုတာကတော့ အဲဒီလို ရေးထားပြီးသား ပရိုဂရမ်ကို သုံးပြီး အဘိဓာန် ထဲမှာ ရှိတဲ့ အင်္ဂလိပ်စာလုံးတွေကို ပုံစံမျိုးစုံနဲ့ ပေါင်းစပ်ပြီး ဖြည့်ကြည့်တာကို ခေါ်ပါတယ်။ ဥပမာ အားဖြင့် night နဲ့ parking ပေါင်းပြီး nightparking ဆိုတဲ့ စာလုံးမျိုး၊ Bird နဲ့ Park ပေါင်းပြီး birdpark ဆိုတာမျိုးကို Password နေရာမှာ ဖြည့်ကြည့်ကြတာ မျိုးပါ။ အဲဒီတော့ ကိုယ့်ရဲ့ Password က အဘိဓာန် ထဲမှာ ရှိတဲ့ စာလုံးတွေကို သုံးထားတယ် ဆိုရင် အဘိဓာန် တိုက်ခိုက်မှု ကြောင့် Password သူခိုးတွေရဲ့ လက်ကို ရောက်သွားနိုင်ပါတယ်။ အဘိဓာန် တိုက်ခိုက်မှုကို သုံးတဲ့ Password သူခိုးအနေနဲ့ အင်္ဂလိပ် အဘိဓာန်သာ မကပဲ သူကြိုက်တဲ့ အဘိဓာန်ကို ပရိုဂရမ်ထဲမှာ အလွယ်တကူ ထည့်ပြီး သုံးလို့ရပါတယ်။ အဲဒါကြောင့် အင်္ဂလိပ် အဘိဓာန် မသုံးပဲ မလေးစကားလုံးလို အင်္ဂလိပ်စာနဲ့ ရေးထားတဲ့ စာလုံးမျိုးတွေကို သုံးရင်လည်း စိတ်မချရပါဘူး။ အဘိဓာန်ထဲက စကားလုံးတွေကို Password အနေနဲ့ မသုံးတာဟာ အကောင်းဆုံးပါပဲ။ Password သူခိုးတွေဟာ အဘိဓာန် တိုက်ခိုက်မှု ထဲမှာ qwerty, asdfg စတဲ့ ကီးဘုတ်ပေါ်မှာ ရှိတဲ့ ဂဏန်း အစဉ်လိုက် စာလုံးတွဲတွေကိုလည်း သုံးတတ်တဲ့ အတွက် ကီးဘုတ်ပေါ်မှာ ရှိတဲ့ အစဉ်လိုက် အက္ခရာတွေကို Password အနေနဲ့ ထားခြင်းမှလည်း ရှောင်သင့်ပါတယ်။

ဘရုဖို့စ် ဆိုတာကတော့ ဖြစ်နိုင်ခြေ ရှိတဲ့ စာလုံးတွေကို ပုံစံမျိုးစုံနဲ့ ဖြည့်ကြည့်တဲ့ တိုက်ခိုက်မှုပါ။ ဥပမာ အားဖြင့် ဘရုဖို့စ် နဲ့ တိုက်ခိုက်မယ့် Password သူခိုးက Password ၆လုံးစာ နေရာကို ကို 0 ကနေ 9 အထိ ဖြည့်ကြည့်မယ် ဆိုကြပါစို့။ ပရိုဂရမ်က Password ဖြည့်ရမယ့် နေရာမှာ 0 ကနေ 999999 အတွင်း ရှိ သမျှ ဂဏန်းတွေကို အလို အလျောက် ဖြည့်ကြည့်ပါတယ်။ ဖြစ်နိုင်ခြေ ရှိတဲ့ password အားလုံးပေါင်းက (106 + 105 + 104 + 103+ 102 + 10)= ၁၁ သန်းကျော် ရှိပါတယ်။ (10 က ဖြစ်နိုင်ခြေ ရှိတဲ့ 0 ကနေ 9 အထိ ဂဏန်း ၁၀ လုံးကို ရည်ညွှန်းပြီး ရှေ့ဆုံးက ပါဝါ 6 ကတော့ ဂဏန်း ၆ လုံးစာနေရာကို ရည်ညွှန်းပါတယ်။) ဒါပေမယ့် ၁၁ သန်းကျော် ဆိုတဲ့ ဂဏန်းကို ကွန်ပြူတာနဲ့ ဖြည့်ကြည့်ဖို့ မိနစ်ပိုင်း ပဲ ကြာပါတယ်။ အကယ်၍ ဂဏန်းချည်း သက်သက်မဟုတ်ပဲ အင်္ဂလိပ်အက္ခရာ စာလုံး အသေး ကိုပါ တွဲဖြည့်မယ် ဆိုရင်တော့ a ကနေ z အထိ အက္ခရာ ၂၆ လုံး ပိုလာပါပြီ။ အက္ခရာ ၃၆ လုံးအတွက် ဖြစ်နိုင်ခြေ ရှိတဲ့ ဂဏန်း အားလုံးပေါင်းက (366 + 365 + 364 + 363+ 362 + 36) = 2.2 ဘီလီယံ ကျော် ရှိပါတယ်။ အဲဒီအတွက် ပရိုဂရမ်ကို Run ရတဲ့ အချိန်က ဂဏန်း ချည်း သက်သက် ဖြည့်တာထက် စာရင် အဆ ၂၀၀ ကျော် ပိုကြာပါတယ်။ အင်္ဂလိပ်စာလုံး အကြီးအသေး၊ ဂဏန်းနဲ့ ကီးဘုတ် ပေါ်က ရိုက်ထည့်လို့ရတဲ့ Special Character ၃၂ လုံးကို တွဲဖြည့်မယ် ဆိုရင်တော့ စုစုပေါင်း အက္ခရာ ၉၄လုံး ဖြစ်တဲ့အတွက် ဖြစ်နိုင်ခြေ ရှိတဲ့ Password က ၆၉၇ ဘီလီယံ ကျော် ရှိပါတယ်။ ဂဏန်း ချည်းသက်သက် ဖြည့်တာထက် စာရင် အဆ ၆သောင်း နီးပါး ပိုကြာပါတယ်။ အဲဒီတော့ ကိုယ့်ရဲ့ Password ထဲမှာ အက္ခရာ အကြီးအသေး ဂဏန်း နဲ့ Special Character တွေ တွဲဖြည့်မယ် ဆိုရင် ဘရုဖို့စ် တိုက်ခိုက်မှုက နေ ရှောင်နိုင်ဖို့ အခွင့်အလမ်း များပါတယ်။ Password အလုံးရေ ၁၂ လုံးထက် ပိုမယ် ဆိုရင် အကောင်းဆုံးပါပဲ။

Password ကို မကြာခဏ ပြောင်းပါ ဆိုတာလည်း ဒါကြောင့်ပါပဲ။ ကိုယ့်ရဲ့ Password ကို တစ်စုံ တစ်ယောက်က စိတ်ရှည်လက်ရှည်နဲ့ နေ့တိုင်း တိုက်ခိုက်နေမယ် ဆိုရင် တစ်နေ့မဟုတ် တစ်နေ့တော့ ကိုယ့်ရဲ့ Password ကို ဖော်နိုင်မှာပါပဲ။ ဒါကြောင့် Password ကို မကြာခဏ ပြောင်းပေးတာဟာ ပိုပြီး လုံခြုံမှု ရှိစေပါတယ်။

ဒါပေမယ့် User တွေ အတွက် အဓိက ပြသနာက အဲဒီလို အားကောင်းတဲ့ Password ကို ဘယ်လို မှတ်မိအောင် လုပ်မလဲ ဆိုတဲ့ ပြသနာပါ။ အရိုးအရှင်းဆုံး Password ဖန်တီးနည်းကို အခုလို မှတ်သား ဖူးပါတယ်။ ဂဏန်းတွေ ပါတဲ့ အင်္ဂလိပ် စာကြောင်းတစ်ခုကို မှတ်မိအောင် လုပ်လိုက်ပါ။ ဥပမာ She have 3 cats 2 dogs and he is 5 feet 8 inches tall ဆိုတာမျိုးပါ။ ပြီးရင် ရှေ့ဆုံးစာလုံးတွေကို ယူပါ။ sh3c2dahi5f8it ဆိုပြီး ရပါတယ်။ နာမ်စားတွေကို အင်္ဂလိပ် အက္ခရာ အကြီး ပြောင်းလိုက်ပါ။ ပြီးရင် ကျန်တဲ့စာလုံးတွေမှာ (a = @ , h = # , p = % , s = $ ) စတာမျိုးတွေ အစားထိုးလိုက်ပါ။ အဲဒါဆိုရင် ခုန စာကြောင်းကနေ Sh3c2d@H!5f8!t ဆိုပြီး အလွယ်တကူ ခိုးလို့မရနိုင်တဲ့ Password တစ်ခု ထွက်လာပါလိမ့်မယ်။ မမှတ်မိရင် အင်္ဂလိပ်စာကြောင်းကို ပြန်စဉ်းစားပြီး အစပြန်ဖော်လို့ ရပါတယ်။ ရိုက်ပါများရင် မှတ်မိသွားပါလိမ့်မယ်။

အဲဒါဆိုရင် မေးစရာ နောက်တစ်ခု ရှိလာပါပြီ။ ကျွန်တော်တို့ရဲ့ အီးမေးလ်တွေ ကို ဘရုဖို့စ် တိုက်ခိုက်မှုနဲ့ Password ဖော်လို့ ရသလား ဆိုတာပါ။ ရာဟူး ဂျီမေးလ်စတဲ့ အီးမေးလ်တွေမှာ ဘရုဖို့စ် တိုက်ခိုက်မှုကို ကာကွယ်ဖို့အတွက် Catcha လို့ ခေါ်တဲ့ Word Verification ထည့်ထားပါတယ်။ Password ကို ၃ ခါ မှားနှိပ်မိရင် Word Verification ပေါ်လာပြီး Password နဲ့အတူ ကွန်ပြူတာ ဖန်သားပြင်မှာ ပေါ်လာတဲ့ စာလုံးတွေကို ရိုက်ထည့်ပေးရပါတယ်။ အဲဒီ လို ပေါ်လာတဲ့ စာလုံးတွေကို ကွန်ပြူတာ ပရိုဂရမ်နဲ့ အလွယ်တကူ ဖတ်လို့မရတဲ့ အတွက် ဘရုဖို့စ်နဲ့ တိုက်ခိုက်လို့ အလွယ်တကူ မရနိုင်ပါဘူး။ ဒါပေမယ့် ကွန်ပြူတာမှာ Optical Character Recognition လို့ ခေါ်တဲ့ ဖန်သားပြင်ပေါ်က စာလုံးတွေကို ဖတ်လို့ရတဲ့ နည်းပညာလည်း ရှိပါသေးတယ်။ အဲဒါကြောင့် စာလုံးတွေကို အတည့်အတိုင်း မရေးပဲ ရွဲ့စောင်း ရေးထားပြီး Word Verification ကို OCR နည်းပညာကို သုံးပြီး အလွယ်တကူ ဖတ်လို့ မရအောင် လုပ်ထားပါတယ်။ ကျွန်တော်တို့ သုံးနေကျ တစ်ချို့ဝက်ဘ်ဆိုဒ် (လုံခြုံရေး အရ အမည် မဖော်လိုပါ။) တွေမှာ Catcha မပါပါဘူး။ အဲဒီအတွက် ဘရုဖို့စ်နဲ့ တိုက်ခိုက်တဲ့ အခါမှာ ကိုယ့်ရဲ့ Password က အားနည်းနေရင် တခြားသူလက်ကို အလွယ်တကူ ရောက်သွားနိုင် ပါတယ်။ အဲဒါကြောင့် ကိုယ်သုံးနေတဲ့ ဝက်ဘ်ဆိုဒ်မှာ Catcha မပါမှန်း သိရင် Password ကို တတ်နိုင်သမျှ အားကောင်းအောင် လုပ်ထားပါလို့ အကြံပေးချင် ပါတယ်။

ဒါကတော့ Password ရွေးချယ်ရာမှာ သိထားသင့်တဲ့ အချက်တွေပါ။ နောက်ကြုံရင်တော့ Phishing Attack နဲ့ KeyLogger တွေ၊ ScreenLogger တွေ စတဲ့ Password သူခိုးများ သုံးတတ်တဲ့ နည်းတွေကို ရေးပါဦးမယ်။

(Certified Ethical Hacker Version 6 သင်ရိုးညွှန်းတမ်းကို ကိုးကားထားပါတယ်။)

18 comments:

khin oo may said...

ဒိီက ခပ်ထုံထုံရယ်။

khin oo may said...

မလုပ်ပါနဲ့။ ကိုယ့်ဘာသာတောင် ကိုယ်မမှတ်မိနိုင်ဘူး။

khin oo may said...

Sh3c2d@H!5f8!t

မီယာ said...

ဟုတ်ပါ့ လုံခြုံလှပြီဆိုပြီး ကိုယ့်ဘာသာတောင် မမှတ်မိလို့

ကိုလူထွေး said...

သူခွင့်စယူခဲ့သည့် အင်္ဂါနေ့က အလုပ်ရှင်က သူ့အိမ်ကို ဖုန်းလှမ်းဆက်သည်။ သူ့ ကွန်ပြူတာမှ အရေးကြီးသည့် ဖိုင်တခု ဖွင့်ရန်လိုသဖြင့် ကိုခင်မောင်ထွေး၏ စကားဝှက် (password) ကို လှမ်းတောင်းခြင်းဖြစ်သည်။

အဲဒီမှာတင် သူဘာလုပ်လို့ ဘာကိုင်ရမှန်းမသိ။ ထူပူသွားခဲ့သည်။ ခေါင်းနပန်း ကြီးသွားသည်။ ပတ်ဝန်းကျင် တခုလုံးလဲ ချာချာလည်လို့သွားသည်။ မြင်မြင်ရာ မှန်သမျှကလဲ မှေးမှိန် ဝေဝါးလို့လာသည်။

နောက်ဆုံးတော့ ထပ်ကာထပ်ကာ တောင်းဆိုနေသော သူ့သူဌေးကို မလွန်ဆိုင်နိုင်တော့ဘဲ သူ၏ ကိုယ်ပိုင် password ကို ဖွင့်ပြောလိုက်ရသည်။ သူ့ စကားဝှက်က...

"F-CKING_JOB" တဲ့လေ။

Moe Cho Thinn said...

ခက်ခက်ခဲခဲတော့ မမှတ်ပါရစေနဲ့၊ မမပြောသလို ကိုယ့်ဖာသာကိုယ်တောင် မမှတ်မိလို့ပါ။
တခါက ကိုအောင်သာငယ်လဲ ရေးဖူးတယ်။ ခက်ခက်ခဲခဲ အရှည်ကြီးလုပ် ဆိုလား။ ဒါနဲ့ password အရှည်ကြီး ပြောင်းပစ်လိုက်တယ်။
ပြီးတော့မှ မေ့မေ့နေလို့ ကွန်ပျူတာမှာ ကိုယ့် password ကို စာရေးပြီး ကပ်ထားလိုက်ရတယ်လေ။ အေးရော..။

ရွက်လွင့်ခြင်း said...

ဒီလိုမျှဝေတဲ့ အတွက် ကျေးဇူးပါဗျာ
ဒါပေမယ့် ကြိုးစားပြီး မှတ်ရဦးမယ်

မေဇင် said...

password ကိုအရမ်းမေ့တတ်တယ်...။ ဖွင့်ထားတဲ့ အကောင့် များများ တောင် မရှိဘူးဒါတောင်...။ အဲ့ဒါကြောင့် ခပ်လွယ်လွယ်ပေးတာများတယ်..။ း)

vista said...

Sh3c2d@H!5f8!t တဲ. Schindler's List

မှတ်လို. ကီကီ ...

kaungkinpyar said...

ဗဟုသုတတွေ ရသွားပါတယ်၊ password ကပြောင်းလဲ မမှတ်မိနိုင်ဘူး၊ တခါတခါ ပြောင်းဖို့ တော်တော် စဉ်းစားရတယ်

Photo_Vigor said...

Why don't you post an article how to hack a password...I knew I love it. :D:D

khin oo may said...

မိုးချိူသင်း ပက်စဝက်ကို ခိုးဖတ်သွားသည်။

khin oo may said...

တို့ ပက်စဝက်တွေလား ဥပမာပေးခဲ့ပါရစေ.
တကယ်ဟုတ်ပါတယ်။
password လို့ောတင်းတဲ့တစ်ခုကို password လို့ဘဲပြန်ပေးပါတယ။်

နောက်တစ်ခုက ဂဏန်းရှစ်လု့ံးတောင်းတော့ ၁၂၃၄၅၆၇၈ လို့ပေးလိုက်ပါတယ။်

လိုက်တော့မဖွင့်နဲ့ ဘယ်မှာလဲ ဆိုတာမှ မသိဘဲ။ဟုတ်တယ်ဟုတ်။

ပက်စဝက်တောွများလွန်းလို့ ဖိုင်တစ်ခု နဲ့သိမ်းထားတယ။် အဲဒီမေးလ် ပက်စဝက်ကို မေ့သွားရင်တော့အခက်ဘဲ့။

sin dan lar said...

မမကေအိုအမ်ကို ဟက်မယ်။

vista said...

မမ KOM password များလွယ်လွယ်လေး ဟောဒီမှာ ကြည်. KmSL1234 ဒဲ.

Rita said...

သူများ အကောင်းပြောထားတာကိုလဲ လာနောက်ကြတာပဲ။
:D

ထားခဲ့ဖူးတဲ့ ရီးစားတွေနာမည်ကို ရှေ့ဆုံးစာလုံးတွေ စီလိုက်လဲ ဖြစ်တာပဲ။ ဘယ်သူထင်မလဲနော်။

ကြည်ဖြူပိုင် said...

ဗဟုသုတတိုးကြောင်းပါ။

သီဟသစ် said...

ကျွန်တော်တို့ရုံးမှာတော့ ဂန္တဝင် password တစ်ခုရှိတယ်။ အဲဒါသိရင် server တော်တော်များများ ဝင်လို့ရတယ်
:)

ခင်မင်စွာဖြင့်
သီဟသစ်