မာ့ခ္ဇူကာဘတ္၏ ဆုိရွယ္မီဒီယာအေကာင့္ ဖြင့္ခ်ခံရျခင္း ႏွင့္ စကား၀ွက္မ်ားအား ထားရွိသင့္ေသာ နည္းလမ္းမ်ား

သန္းေပါင္းမ်ားစြာေသာလူမ်ား၏ အခ်က္အလက္မ်ား လုံၿခဳံေရးအတြက္ နည္းအမ်ိဳးမ်ိဳးရွာၿပီး ေရွ႕တန္းကေန ကာကြယ္ေပးေနေသာ စစ္ေသနာပတိ တစ္ေယာက္ကေတာ့ အင္တာနက္အသုံးျပဳခ်ိန္မွာ လိုက္နာရမည့္ အေျခခံအခ်က္ေတြကို လိုက္နာဖို႔ ပ်က္ကြက္တာေၾကာင့္ က်ဆုံးခန္းကို ေရာက္သြားပါၿပီ။ အဲဒီ့လူက တျခားေတာ့မဟုတ္ပါဘူး။ Facebook ရဲ႕ အမႈေဆာင္အရာရွိခ်ဳပ္ မာ့ခ္ ဇူကာဘတ္ပါပဲ။

ျဖတ္ခုတ္ (hijack) ခံရတာက Facebook အေကာင့္ေတာ့ မဟုတ္ပါဘူး။ တျခား ဆိုရွယ္မီဒီယာ အေကာင့္ေတြျဖစ္တဲ့ Twitter နဲ႔ Pinterest တို႔ပါ။

တရားခံကေတာ့ ေဆာ္ဒီအာေရဗီးယားက အဖြဲ႕တစ္ခုျဖစ္တဲ့ OurMine ကပါ။ နည္းကလည္း လမ္းေဟာင္းပါပဲ။ ေပါက္ေနေသာ အခ်က္အလက္မ်ားထဲမွ ရွာတာပါ။ အရင္တစ္ေခါက္က ေပါက္သြားတဲ့ LinkedIn ရဲ႕ အေကာင့္ေတြထဲမွာ မက္ဇူကာဘတ္ ေကာင့္လည္း ပါ၀င္ခဲ့တယ္။ အဲဒါဟာ SHA-1 နဲ႔ Hash သြင္းထားတာျဖစ္လို႔ အလြယ္တကူပဲ ျပန္ျဖည္ႏိုင္ခဲ့ပါတယ္။ ၿပီးေနာက္မွာေတာ့ မက္ဇူကာဘတ္ အသုံးျပဳေသာ ဆိုရွယ္မီဒီယာ အေကာင့္ေတြကို လိုက္ဖြင့္ၾကည့္ေတာ့တာပါပဲ။

ေလာေလာဆယ္ Twitter မွာ Follower (၄၀၀၀၀) ေလာက္ရွိတဲ့ ဒီအဖြဲ႕ဟာ မက္ဇူကာဘတ္ ၏ Twitter အေကာင့္ျဖစ္တဲ့ (twitter.com/finkd) နဲ႔ Pinterest အေကာင့္ (pinterest.com/zuck/) ကို Deface လုပ္ခဲ့ၿပီး ပ်က္ရယ္ျပဳတဲ့ ပို႔စ္တစ္ခ်ိဳ႕လည္း တင္ခဲ့ပါတယ္။

သေဘာက်စရာ တစ္ခ်က္က်န္ပါေသးတယ္။ အဲဒါကေတာ့ ဇတ္ရဲ႕ LinkedIn အတြက္ စကားဝွက္က dadada ျဖစ္ေနတာပါပဲ။ (ေတာ္ပါေသးတယ္ … 12345 မဟုတ္လို႔ :3) ဒီစကားဝွက္နဲ႔ တျခား ဆိုရွယ္မီဒီယာအေကာင့္ေတြကိုလည္း သုံးခဲ့တာပါ။ မက္ဇူကာဘတ္၏ အလြယ္တကူေပးခဲ့ေသာ dadada စကား၀ွက္က အခုဆုိရင္ လူေျပာအမ်ားဆုံးနဲ႕ ကမၻာ့အရယ္ရဆုံး ဟာသတစ္ခု ျဖစ္လုိ႕ေနပါတယ္။ ဒီကိစၥဟာ ရွိသမၽွ အေကာင့္ေတြအားလုံးကို စကားဝွက္တစ္ခုတည္း ေပးတတ္တဲသူေတြ၊ စကားဝွက္ကို မေျပာင္းမလဲဘဲ အခ်ိန္ၾကာၾကာ သုံးတတ္တဲ့သူေတြအတြက္ေတာ့ အခ်က္ေပးေခါင္းေလာင္းသံ ပါပဲ။

OurMine အဖြဲ႕ကေတာ့ Instagram အေကာင့္ကိုပါ ရထားတယ္လို႔ Twitter က တြိစ္မွာ တင္ထားပါတယ္။ ဒါေပမဲ့ Facebook ကေတာ့ ဒီသတင္းက မဟုတ္ပါဘူးလို႔ ျငင္းဆိုထားပါတယ္။ Twitter ကလည္း အဲဒီ့အေကာင့္ကို ယာယီပိတ္ထားလိုက္ပါၿပီ။ LinkedIn အေကာင့္ေပါင္း (၁၆၇) သန္းေက်ာ္ရဲ႕ Hash ေတြကို ၂၀၁၂ ခုႏွစ္မွာ ေဖာက္ခ်ခံခဲ့ရပါတယ္။ အစာသြင္း (salt) စကားလုံးမပါေသးတဲ့ SHA-1 ဝွက္စာသြင္းနည္းရဲ႕ အားနည္းခ်က္ေၾကာင့္ ဒီ Hash ေတြကို ျဖည္ၿပီး အသုံးဝင္ႏိုင္တဲ့ အေကာင့္အမ်ားစုရဲ႕ အသုံးျပဳအမည္နဲ႔ စကားဝွက္ေတြကို ဟက္ကာေတြက စုေဆာင္းခဲ့ပါတယ္။ OurMine ကလည္း ဒီလိုစုေဆာင္းခဲ့တဲ့ အဖြဲ႕တစ္ခုပါပဲ။

OurMine အဖြဲ႕ဟာ သူတို႔ပိုင္ Twitter အေကာင့္မွာ ဘ႑ာေရးအဖြဲ႕အစည္းေတြကို DDoS တိုက္ဖို႔ မၾကာခဏ လႈံ႔ေဆာ္ေလ့ရွိပါတယ္။ ၂၀၁၆ ဇန္နဝါရီမွာ DayZ ဖိုရမ္က အေကာင့္ (၂၀၀၀၀၀) ေလာက္ကို ခိုးယူၿပီး သူတို႔ရဲ႕ လက္စြမ္းထက္ေၾကာင္းကို ဟက္ကင္းေလာကမွာ ျပႏိုင္ခဲ့ပါေသးတယ္။

ေဆာ္ဒီလူမ်ိဳး ဆယ္ေက်ာ္သက္ (၄) ေယာက္ကေန (၆) ေယာက္အတြင္း ျဖစ္ႏိုင္တဲ့ ဒီအဖြဲ႕ကို တျခားအဖြဲ႕ေတြကလည္း အမ်ားေရွ႕ဆြဲထုတ္ (dox) ႏိုင္ဖို႔ ႀကိဳးစားေနၾကပါၿပီ။ 

၂၀၁၂ ခုႏွစ္ကစၿပီ: ဆိုရွယ္မီဒီယာ ဝက္ဘ္ဆိုက္ေတြအေပၚကို ဟက္ကာေတြ အာ႐ုံစိုက္လာၿပီးေနာက္မွာ LinkedIn, MySpace, Tumblr, Fling နဲ႔ VK ေတြက အေကာင့္ေတြကို မၾကာခဏရယူေနၾကပါတယ္။ အရင္အပတ္ကပဲ VK အေကာင့္ သန္း (၁၀၀) ကို BTC 1.00 (ေဒၚလာ ၅၈၀.၀ ခန္႔) နဲ႔ ေရာင္းေနတာ ေတြ႕လိုက္ပါေသးတယ္။

စာဖတ္သူမ်ား အေနျဖင့္ စကားဝွက္ေတြ သုံးရေတာ့မယ္ဆိုရင္ ေအာက္ပါအခ်က္ေတြကို လိုက္နာဖို႔ လိုပါတယ္။

"စာလုံးတြဲေတြ သုံးတဲ့အခါ ဂဏန္းေတြ သီ:ျခားအကၡရာေတြ ေရာသုံးေပးဖို႔ လိုပါတယ္။" ဥပမာေျပာရရင္ အႀကိဳက္ဆုံးသီခ်င္းက စာသားတစ္ခုျဖစ္တဲ့ let you go ကို စကားဝွက္အျဖစ္ ထားမယ္ဆိုပါစို႔။ l3t_y0u-90 ျဖစ္ျဖစ္ 1@tt_yu_g0a! ဆိုၿပီး ကိုယ္ပဲနားလည္တဲ့ စကားစုအျဖစ္ ေျပာင္းတာမ်ိဳး လုပ္သင့္ပါတယ္။

"စကားဝွက္ေတြကို အခ်ိန္တစ္ခုေရာက္ရင္ ပုံမွန္ေျပာင္းေပးတာမ်ိဳး လုပ္ပါ။" ဘယ္ေလာက္ေကာင္းတဲ့ လုံၿခဳံေရးစံနစ္ပဲျဖစ္ျဖစ္ အခ်ိန္လုံလုံေလာက္ေလာက္ရရင္ ေပါက္ႏိုင္ပါတယ္။ ဒီေဖာ္ျမဴလာဟာ စကားဝွက္အတြက္လည္း မွန္ပါတယ္။ ဒီေတာ့ အခ်ိန္တစ္ခုသတ္မွတ္ၿပီး စကားဝွက္ေတြအားလုံးကို ေျပာင္းေပးတာမ်ိဳး လုပ္သင့္ပါတယ္။ ကိုယ္သုံးေနတဲ့ ဝက္ဘ္ဆိုက္ကအခ်က္အလက္ေတြ ေဖာက္ခ်ခံရတယ္ဆိုရင္လည္း အခ်ိန္ႏွင့္တေျပးညီ ေျပာင္းေပးရမွာပါ။

"အေကာင့္တစ္ခု စကားဝွက္တစ္ခု သုံးမယ္စိတ္ကူးရင္လည္း တစ္ခုနဲ႔တစ္ခု အခ်ိတ္အဆက္မမိေအာင္ ခြဲထားေပးပါ။" ဥပမာေျပာရရင္ Gmail နဲ႔ Facebook ႏွစ္ခုကို စကားဝွက္တစ္မ်ိဳးတည္း သုံးခ်င္တယ္ဆိုပါစို႔။ Gmail မွာ h3ll0Gma!l12345 ကို ေပးထားတယ္ဆိုရင္ Facebook မွာ h3ll0FB12345 ဆိုတာမ်ိဳး မျဖစ္သင့္ပါဘူး။

"အကယ္လို႔ မ်ားမ်ားမမွတ္ခ်င္ဘူးဆိုရင္လည္း အေရးႀကီးမႈ မႀကီးမႈေပၚမူတည္ၿပီး စကားဝွက္ေတြကို အဆင့္ေတြ ခြဲထားေပးပါ။" ဒါမွလည္း အေကာင့္တစ္ခု အယူခံရရင္ တျခားအေကာင့္ေတြ မထိခိုက္ႏိုင္မွာပါ။ အေကာင္းဆုံးကေတာ့ ဖိုရမ္ေတြအတြက္ စကားဝွက္တစ္မ်ိဳး၊ အီးေမးလ္ေတြအတြက္ စကားဝွက္တစ္မ်ိဳး၊ ဆိုရွယ္မီဒီယာေတြအတြက္ စကားဝွက္တစ္မ်ိဳးႏွင့္ ေငြေၾကးႏွင့္ပတ္သက္ေသာ ဘဏ္အခ်က္အလက္လို အေကာင့္ေတြအတြက္ စကားဝွက္တစ္မ်ိဳး စသည္ျဖင့္ ခြဲထားသင့္ပါတယ္။

"ႏွစ္ဆင့္ခံ လုံၿခဳံေရး (2 Step Verification) ျဖစ္သည့္ စကားဝွက္တစ္ဆင့္၊ ဖုန္းျဖင့္ အတည္ျပဳရတာတစ္ဆင့္ သုံးခြင့္ရွိရင္လည္း ဖြင့္ထားလိုက္ပါ။" လူသုံးမ်ားတဲ့ Facebook, Google, Instagram ႏွင့္ Dropbox ေတြမွာ ဒီလုပ္ေဆာင္ခ်က္ ရေနပါၿပီ။

"ၾကာရွည္မသုံးမဲ့ ဝက္ဘ္ဆိုက္အေကာင့္ေတြအတြက္ အီးေမးလ္အေကာင့္ သီးျခားထားေပးပါ။" မ်ားေသာအားျဖင့္ အေသးစားဝက္ဘ္ဆိုက္ေတြကထိန္းတဲ့ ဒီအေကာင့္ေတြဟာ လုံၿခဳံေရး အားနည္းပါတယ္။ ၿပီ:ေတာ့ သူတို႔ဆီကပို႔တဲ့ ေၾကာ္ျငာစာေတြကလည္း အသုံးဝင္လွတယ္ရယ္ မဟုတ္ပါဘူး။ ဒီဝက္ဘ္ဆိုက္ေတြအတြက္ စိတ္႐ႈပ္မခံပါနဲ႔။ အေကာင့္ သီးျခားထားလိုက္ပါ။

"Password Manager သုံးပါ။" စကားဝွက္ကိုလည္း ႐ႈပ္႐ႈပ္ေထြးေထြး ထားခ်င္တယ္။ မွတ္ရတာလည္း စိတ္မရွည္ဘူးဆိုတဲ့ သူေတြအတြက္ KeePass တို႔လို Password Manager ေတြရွိပါတယ္။ ကိုယ္မွတ္ရမွာက အဓိကစကားဝွက္ တစ္ခုတည္းကိုပါပဲ။ အစပိုင္းမွာ စကားဝွက္ဖြင့္ယူရတာက စိတ္႐ႈပ္စရာလို႔ ထင္ရေပမဲ့ စကားဝွက္႐ိုက္ရမဲ့ အခ်ိန္နဲ႔ယွဥ္ၾကည့္ရင္ အမ်ားႀကီး ကြာတယ္ဆိုတာ သိသာပါတယ္။

"စကားဝွက္ေတြကို Note ေတြ၊ စားပြဲေပၚ၊ ေမာ္နီတာေပၚေတြ မေရးပါနဲ႔။" တစ္ခ်ိဳ႕လူေတြက စကားဝွက္ေတြကို ခက္ခက္ခဲခဲေတာ့ ေပးပါရဲ႕။ ဒါေပမဲ့ Note ေတြထဲ ေရးထားတာမ်ိဳး ရွိတတ္ပါတယ္။ ဒါမ်ိဳးေတြက Malware ေတြက စုေဆာင္းတဲ့အခါမ်ိဳးမွာ ပါသြားႏိုင္သလို၊ မသမာတဲ့ အႀကံအစည္နဲ႔ ရွာေဖြတဲ့သူအတြက္လည္း အလြယ္တကူ သိသြားေစတဲ့ ေနရာေတြပါ။ မထားသင့္ပါဘူး။

စာဖတ္သူေတြလည္း မက္ဇူကာဘတ္လုိ အမွားသ႐ုပ္ျပႀကီးကို နမူနာယူၿပီ: အေကာင့္မ်ား ေဖာက္ထြင္းခံရမွူ႕မ်ားမွ ေရွာင္ရွားႏိုင္ၾကပါေစ။

8-6-2016

သတင္းစီစဥ္ တင္ဆက္သူ - Nub90d (MEHN Team)