របៀបប្រើប្រាស់ Have I Been Pwned ដើម្បីការពារគណនីរបស់អ្នក

សព្វថ្ងៃនេះ យើងរស់នៅហ៊ុំព័ទ្ធដោយគណនីអនឡាញ៖ អ៊ីមែល បណ្តាញសង្គម ធនាគារ ការដើរទិញឥវ៉ាន់ វេទិកា... ហើយនៅក្នុងគណនីទាំងអស់នោះ យើងប្រើប្រាស់... ពាក្យសម្ងាត់ និងទិន្នន័យផ្ទាល់ខ្លួនដែលអាចនឹងលេចធ្លាយ នៅក្នុងដៃរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ ទោះបីជាយើងធ្វើអ្វីគ្រប់យ៉ាងដែលយើងអាចធ្វើបានដើម្បីការពារខ្លួនយើងក៏ដោយ ការរំលោភលើសុវត្ថិភាពនៅក្នុងក្រុមហ៊ុន និងសេវាកម្មនានាកំពុងក្លាយជារឿងធម្មតាកាន់តែខ្លាំងឡើង ហើយវាងាយស្រួលសម្រាប់ព័ត៌មានរបស់យើងក្នុងការចរាចរតាមអ៊ីនធឺណិតដោយយើងមិនដឹងខ្លួន។

នៅក្នុងបរិបទនេះ វាលេចចេញជារូបរាង តើខ្ញុំត្រូវបានគេបោកប្រាស់ទេ (HIBP)ដែលជាគេហទំព័រល្បីឈ្មោះមួយនៅក្នុងវិស័យសន្តិសុខតាមអ៊ីនធឺណិត ដែលអនុញ្ញាតឱ្យ ពិនិត្យមើលថាតើអ៊ីមែល លេខទូរស័ព្ទ ឬពាក្យសម្ងាត់បានលេចឡើងនៅក្នុងការលួចទិន្នន័យណាមួយឬអត់វាមិនមែនជាវេទមន្ត ឬកម្មវិធីកំចាត់មេរោគទេ ប៉ុន្តែជាមូលដ្ឋានទិន្នន័យដ៏ធំមួយនៃការលេចធ្លាយជាសាធារណៈ ដែលយើងអាចពិគ្រោះដើម្បីស្វែងយល់ថាតើយើងបានឈ្នះឆ្នោតឬអត់ ប៉ុន្តែជាប្រភេទអាក្រក់។

តើ​ខ្ញុំ​ត្រូវ​គេ​បោក​ប្រាស់​ជា​អ្វី​ឲ្យ​ប្រាកដ?

Have I Been Pwned គឺជាគម្រោងមួយដែលបង្កើតឡើងក្នុងឆ្នាំ ២០១៣ ដោយ លោក Troy Hunt អ្នកជំនាញ​សន្តិសុខ​កុំព្យូទ័រ​ដ៏ល្បីឈ្មោះគោលបំណងរបស់វាគឺដើម្បីប្រមូលមូលដ្ឋានទិន្នន័យដែលត្រូវបានលេចធ្លាយនៅពេលដែលក្រុមហ៊ុនមួយទទួលរងការវាយប្រហារ ហើយបង្ហាញវាតាមរបៀបដែលគ្រប់គ្រងបាន ដើម្បីឱ្យអ្នកណាម្នាក់អាចពិនិត្យមើលថាតើព័ត៌មានសម្ងាត់របស់ពួកគេគឺជាផ្នែកមួយនៃការលេចធ្លាយទាំងនោះឬអត់។

មូលដ្ឋានទិន្នន័យដ៏ធំសម្បើមនេះរក្សាទុក អាសយដ្ឋានអ៊ីមែល ពាក្យសម្ងាត់ (ក្នុងទម្រង់ជាហាស) ឈ្មោះអ្នកប្រើប្រាស់ លេខទូរស័ព្ទ និងទិន្នន័យផ្សេងទៀត ការលេចធ្លាយទាំងនេះកើតឡើងបន្ទាប់ពីការវាយប្រហារលើសេវាកម្មជាច្រើនដូចជាបណ្តាញសង្គម វេទិកា វេទិកាស្ទ្រីម ហាងអនឡាញ និងសូម្បីតែគេហទំព័រសម្រាប់មនុស្សពេញវ័យ។ នៅពេលដែលគេហទំព័រមួយក្នុងចំណោមគេហទំព័រទាំងនេះត្រូវបានគេលួចចូល ហើយព័ត៌មានរបស់វាត្រូវបានបោះពុម្ពផ្សាយ HIBP នឹងធ្វើលិបិក្រមវា ហើយភ្ជាប់វាជាមួយនឹងការរំលោភជាក់លាក់៖ វាជាសេវាកម្មអ្វី ថ្ងៃណាដែលវាត្រូវបានផ្សព្វផ្សាយជាសាធារណៈ ប្រភេទទិន្នន័យអ្វីដែលរងផលប៉ះពាល់ និងចំនួនគណនីដែលវារួមបញ្ចូល។

ប្រសិនបើយើងផ្តោតតែលើចំណុចសំខាន់ៗ ការវិភាគទិន្នន័យរបស់ពួកគេបង្ហាញថា HIBP រក្សាទុកពាក្យសម្ងាត់ផ្សេងៗគ្នាប្រហែល 931 លានទោះជាយ៉ាងណាក៏ដោយ ពាក្យសម្ងាត់ទាំងនោះហាក់ដូចជាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងព័ត៌មានសម្ងាត់ដែលលេចធ្លាយជាង 6.930 ពាន់លាន។ នោះគឺជាមធ្យម ការរួមបញ្ចូលគ្នានៃឈ្មោះអ្នកប្រើប្រាស់/ពាក្យសម្ងាត់ដូចគ្នាត្រូវបានប្រើនៅលើសេវាកម្មយ៉ាងហោចណាស់ពីរផ្សេងគ្នា ដែលជាអ្វីដែលមានប្រយោជន៍ខ្លាំងសម្រាប់អ្នកវាយប្រហារ។

ការពិតដ៏គួរឱ្យចាប់អារម្មណ៍មួយទៀតគឺថា មានតែប្រហែល 6% នៃពាក្យសម្ងាត់ដែលបានបង្ហាញហាក់ដូចជាត្រូវបានបង្កើតដោយប្រើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (សោស្មុគស្មាញ និងប្លែក)។ សោដែលនៅសល់ត្រូវបានធ្វើម្តងទៀតយ៉ាងច្រើន សាមញ្ញ ឬធ្វើតាមគំរូដែលអាចទាយទុកជាមុនបាន។ ឧទាហរណ៍ធម្មតាគឺ "123456" ឬ "ពាក្យសម្ងាត់" ដែលមានវត្តមាននៅក្នុងគណនីរាប់លាន ហើយតែងតែត្រូវបានសាកល្បងមុនគេដោយអ្នកវាយប្រហារ។

តើខ្ញុំត្រូវបានគេបោកប្រាស់ដោយរបៀបណា? ដំណើរការនៅខាងក្នុង

ប្រតិបត្តិការជាមូលដ្ឋានរបស់ HIBP គឺសាមញ្ញណាស់សម្រាប់អ្នកប្រើប្រាស់ ទោះបីជាវាប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់នៅពីក្រោយឆាកក៏ដោយ។ ជាទូទៅ គេហទំព័រ វារក្សាបញ្ជីដ៏ធំនៃអ៊ីមែល លេខទូរស័ព្ទ និងហាសពាក្យសម្ងាត់ដែលបានបង្ហាញ។នៅពេលអ្នកធ្វើការស្វែងរក វានឹងប្រៀបធៀបទិន្នន័យរបស់អ្នកជាមួយបញ្ជីនោះ ហើយប្រាប់អ្នកថាតើវាលេចឡើងនៅក្នុងការលេចធ្លាយណាមួយដែលគេស្គាល់ឬអត់។

សម្រាប់អ៊ីមែល និងទូរស័ព្ទ ប្រព័ន្ធនេះគឺសាមញ្ញណាស់៖ អ្នកបញ្ចូលទិន្នន័យ ហើយសេវាកម្មនឹងប្រគល់ចន្លោះប្រហោងដែលវាត្រូវបានរកឃើញ។អ្នកនឹងឃើញឈ្មោះគេហទំព័រដែលរងផលប៉ះពាល់ កាលបរិច្ឆេទប្រហាក់ប្រហែលនៃការលួចចូល ព័ត៌មានប្រភេទណាដែលត្រូវបានលេចធ្លាយ (អ៊ីមែល ពាក្យសម្ងាត់ អាសយដ្ឋាន IP សំណួរសុវត្ថិភាព។ល។) និងសេចក្តីសង្ខេបខ្លីមួយ។

ក្នុងករណីពាក្យសម្ងាត់ អ្វីៗកាន់តែស្មុគស្មាញ ពីព្រោះវានឹងជាកំហុសសុវត្ថិភាពក្នុងការផ្ញើពាក្យសម្ងាត់ដូចដែលមានទៅកាន់ម៉ាស៊ីនមេខាងក្រៅ។ ដើម្បីដោះស្រាយបញ្ហានេះ HIBP ប្រើយន្តការមួយហៅថា ភាពអនាមិក k ដែលអនុញ្ញាតឱ្យអ្នកពិនិត្យមើលថាតើពាក្យសម្ងាត់របស់អ្នកត្រូវបានលេចធ្លាយឬអត់ ដោយមិនចាំបាច់បង្ហាញវាទាំងស្រុងដល់សេវាកម្មនោះទេ។

ដំណើរការនេះដំណើរការដូចនេះ៖ កម្មវិធីរុករករបស់អ្នកគណនា ហាស SHA-1 នៃពាក្យសម្ងាត់របស់អ្នក (ការតំណាងដែលមិនអាចត្រឡប់វិញបាន) ហើយផ្ញើតែតួអក្សរ 5 ដំបូងនៃហាសនោះទៅ HIBP API ប៉ុណ្ណោះ។ ម៉ាស៊ីនមេឆ្លើយតបជាមួយនឹងបញ្ជីនៃបច្ច័យដែលអាចធ្វើទៅបាន និងចំនួនដងដែលហាសនីមួយៗលេចឡើងនៅក្នុងការលេចធ្លាយ។ កម្មវិធីរុករករបស់អ្នក នៅក្នុងស្រុក ប្រៀបធៀបហាសដែលនៅសល់ជាមួយបញ្ជីនោះ ហើយកំណត់ថាតើពាក្យសម្ងាត់របស់អ្នកត្រូវគ្នានឹងពាក្យសម្ងាត់ណាមួយដែលបានរាយបញ្ជីឬអត់។ HIBP មិនដែលឃើញពាក្យសម្ងាត់ជាអត្ថបទធម្មតា ឬហាសពេញលេញឡើយ។

អរគុណចំពោះគំរូនេះ ភាពឯកជនត្រូវបានការពារយ៉ាងល្អ៖ ពាក្យសម្ងាត់របស់អ្នកមិនត្រូវបានរក្សាទុកទេ ហើយអាសយដ្ឋាន IP របស់អ្នកក៏មិនភ្ជាប់ទៅនឹងហាសជាក់លាក់ដែលអ្នកកំពុងសាកសួរដែរ។ហើយមានតែផ្នែកមួយនៃព័ត៌មានចាំបាច់ដើម្បីអនុវត្តការផ្ទៀងផ្ទាត់ប៉ុណ្ណោះដែលត្រូវបានដោះស្រាយ។

ជំហានដើម្បីប្រើប្រាស់ Have I Been Pwned ជាមួយអ៊ីមែល ឬទូរស័ព្ទរបស់អ្នក

ការប្រើប្រាស់ HIBP ដើម្បីស្វែងយល់ថាតើអាសយដ្ឋានអ៊ីមែល ឬលេខទូរស័ព្ទរបស់អ្នកត្រូវបានលេចធ្លាយឬអត់ ងាយស្រួលណាស់ ហើយអ្នកមិនចាំបាច់ក្លាយជាអ្នកជំនាញខាងកុំព្យូទ័រទេ។ ជំហានមានដូចខាងក្រោម៖

1. ចូលមើលគេហទំព័រផ្លូវការ ចូលប្រើសេវាកម្មដោយបញ្ចូល https://haveibeenpwned.com នៅក្នុងកម្មវិធីរុករករបស់អ្នក។ ត្រូវប្រាកដថាការតភ្ជាប់ត្រូវបានអ៊ិនគ្រីប (https) ហើយ URL គឺត្រឹមត្រូវ ដើម្បីជៀសវាងទំព័រក្លែងក្លាយដែលក្លែងបន្លំសេវាកម្ម។
2. បញ្ចូលអាសយដ្ឋានអ៊ីមែល ឬលេខទូរស័ព្ទរបស់អ្នក (ក្នុងករណីចុងក្រោយនេះ ជាមួយបុព្វបទអន្តរជាតិសមស្រប) នៅក្នុងវាលស្វែងរក។
3. ៣. ចុចប៊ូតុង “pwned?”ក្នុងរយៈពេលពីរបីវិនាទី គេហទំព័រនឹងស្វែងរកមូលដ្ឋានទិន្នន័យរបស់ខ្លួន ហើយបង្ហាញអ្នកពីលទ្ធផលជាមួយនឹងសារច្បាស់លាស់ និងអាចមើលឃើញ៖ ប្រសិនបើអ៊ីមែលរបស់អ្នកមិនត្រូវបានរកឃើញនៅក្នុងការលួចចូលណាមួយទេ អ្នកនឹងឃើញសារដែលធានាជាពណ៌បៃតង។ ប្រសិនបើវាលេចឡើងនៅក្នុងការលេចធ្លាយ សារនឹងមានពណ៌ក្រហម រួមជាមួយនឹងបញ្ជីសេវាកម្មដែលរងការលួចចូល។

នៅជាប់នឹងតម្រងនីមួយៗ អ្នកនឹងឃើញព័ត៌មានមានប្រយោជន៍៖ ឈ្មោះសេវាកម្ម កាលបរិច្ឆេទនៃការរំលោភបំពាន ប្រភេទទិន្នន័យដែលបានបង្ហាញ (អ៊ីមែលតែប៉ុណ្ណោះ អ៊ីមែល និងពាក្យសម្ងាត់ អាសយដ្ឋាន IP លេខទូរស័ព្ទ។ល។) និងការពិពណ៌នាសង្ខេបអំពីឧប្បត្តិហេតុនេះ។ វិធីនេះអ្នកអាចកំណត់អត្តសញ្ញាណថាគណនីណាដែលគួរធ្វើឱ្យអ្នកព្រួយបារម្ភបំផុត និងគណនីណាដែលត្រូវការសកម្មភាពជាបន្ទាន់។

បន្ថែមពីលើមុខងារសំណួរម្តងម្កាល HIBP ផ្តល់នូវលទ្ធភាពនៃ ចុះឈ្មោះជាមួយអ៊ីមែលរបស់អ្នក ដើម្បីទទួលបានការជូនដំណឹងនៅពេលដែលអ៊ីមែលនោះលេចឡើងនៅក្នុងការលេចធ្លាយថ្មីៗវិធីនេះអ្នកមិនចាំបាច់ពិនិត្យមើលរៀងរាល់សប្តាហ៍ទេ៖ ប្រសិនបើអាសយដ្ឋានរបស់អ្នករងផលប៉ះពាល់ដោយការលួចចូលមួយផ្សេងទៀតនាពេលអនាគត អ្នកនឹងទទួលបានការជូនដំណឹងតាមអ៊ីមែល ដូច្នេះអ្នកអាចចាត់វិធានការបានឆាប់តាមដែលអាចធ្វើទៅបាន។

របៀបប្រើផ្នែកពាក្យសម្ងាត់នៃ Have I Been Pwned

លក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍មួយទៀតរបស់ HIBP គឺវាអនុញ្ញាតឱ្យ ពិនិត្យមើលថាតើពាក្យសម្ងាត់ជាក់លាក់ណាមួយជាផ្នែកមួយនៃមូលដ្ឋានទិន្នន័យលេចធ្លាយណាមួយរួចហើយឬអត់ចំណាំ៖ នេះមិនមែនសម្រាប់ស្វែងរកពាក្យសម្ងាត់របស់អ្នកដទៃទេ ប៉ុន្តែសម្រាប់ពិនិត្យមើលថាតើពាក្យសម្ងាត់របស់អ្នកជាពាក្យសម្ងាត់មួយក្នុងចំណោមពាក្យសម្ងាត់រាប់ពាន់លានដែលកំពុងចរាចរនៅលើអ៊ីនធឺណិតរួចហើយឬអត់។

ដើម្បីប្រើវា សូមចូលទៅកាន់គេហទំព័រ ហើយនៅក្នុងម៉ឺនុយខាងលើ សូមជ្រើសរើសជម្រើស «ពាក្យសម្ងាត់»ទំព័រមួយនឹងបើកជាមួយវាលមួយដែលអ្នកអាចបញ្ចូលពាក្យសម្ងាត់ដែលអ្នកចង់វិភាគ។ ដូចដែលយើងបានលើកឡើងរួចមកហើយ ប្រព័ន្ធមិនផ្ញើពាក្យសម្ងាត់ដូចដែលវាមានទេ ប៉ុន្តែគ្រាន់តែជាផ្នែកមួយនៃហាសប៉ុណ្ណោះ អរគុណចំពោះវិធីសាស្ត្រ k-anonymity។

អ្នកបញ្ចូលពាក្យសម្ងាត់ ចុចប៊ូតុង "pwned?" ហើយភ្លាមៗនោះអ្នកនឹងឃើញថាតើវាដំណើរការឬអត់។ ពាក្យសម្ងាត់នោះត្រូវបានគេមើលឃើញរួចហើយនៅក្នុងការលេចធ្លាយទិន្នន័យ។ប្រសិនបើវាលេចឡើង ទំព័រនេះក៏ប្រាប់អ្នកពីចំនួនដងដែលវាត្រូវបានរកឃើញនៅក្នុងមូលដ្ឋានទិន្នន័យដែលចងក្រងដោយ HIBP។ ឧទាហរណ៍ ពាក្យសម្ងាត់ដែលមិនមានសុវត្ថិភាពគួរឱ្យអស់សំណើចដូចជា "123456" លេចឡើងរាប់សិបលានដង ដែលបញ្ជាក់យ៉ាងច្បាស់ថាអ្នកមិនគួរប្រើវាឡើយ។

ប្រសិនបើពាក្យសម្ងាត់មិនត្រូវបានរាយបញ្ជីទេ សារពណ៌បៃតងនឹងត្រូវបានបង្ហាញដែលបង្ហាញថា ការរួមបញ្ចូលគ្នាជាក់លាក់នោះមិនត្រូវបានរកឃើញនៅក្នុងការលេចធ្លាយដែលគេស្គាល់នោះទេ។នោះមិនមានន័យថាវាមិនអាចឌិគ្រីបបាន ឬល្អឥតខ្ចោះនោះទេ គ្រាន់តែវាមិនមាននៅក្នុងវចនានុក្រមដែលប្រើដោយអ្នកវាយប្រហារដោយផ្អែកលើមូលដ្ឋានទិន្នន័យដែលត្រូវបានគេលួច។

ទោះបីជាគេហទំព័រនេះអាចជាការល្បួងឱ្យ "សាកល្បង" ពាក្យសម្ងាត់សំខាន់ៗរបស់អ្នកក៏ដោយ វាជាការប្រសើរបំផុតក្នុងការប្រើវាដើម្បីពិនិត្យមើល លំនាំសំខាន់ៗ ឬពាក្យសម្ងាត់ចាស់ៗដែលអ្នកសង្ស័យថាអាចត្រូវបានគេលួចចូលសម្រាប់ពាក្យសម្ងាត់សំខាន់ៗរបស់អ្នក (ធនាគារ អ៊ីមែលសំខាន់។ល។) វាជាការល្អបំផុតក្នុងការពឹងផ្អែកលើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដែលរួមបញ្ចូលការត្រួតពិនិត្យប្រភេទនេះដោយសុវត្ថិភាពរួចហើយ។

សុវត្ថិភាព និងភាពឯកជន៖ តើ Have I Been Pwned អាចទុកចិត្តបានទេ?

សំណួរទូទៅមួយគឺថាតើវាជាគំនិតល្អក្នុងការបញ្ចូលទិន្នន័យផ្ទាល់ខ្លួនទៅក្នុងសេវាកម្មប្រភេទនេះដែរឬទេ។ យ៉ាងណាមិញ យើងកំពុងនិយាយអំពី អ៊ីមែល លេខទូរស័ព្ទ ឬសូម្បីតែពាក្យសម្ងាត់ដូច្នេះការព្រួយបារម្ភនេះគឺសមហេតុផលទាំងស្រុង។

ក្នុងករណី HIBP យើងមានការធានាសំខាន់ៗជាច្រើន។ ដំបូងឡើយ គម្រោងនេះត្រូវបានគាំទ្រដោយ Troy Hunt[ឈ្មោះ] ដែលជាឥស្សរជនដ៏ល្បីល្បាញមួយរូបនៅក្នុងពិភពសន្តិសុខតាមអ៊ីនធឺណិត បានដំណើរការតាំងពីឆ្នាំ ២០១៣ ដោយមានអ្នកប្រើប្រាស់ និងអង្គការរាប់លាននាក់កំពុងពិគ្រោះយោបល់ជារៀងរាល់ថ្ងៃ។ កេរ្តិ៍ឈ្មោះរបស់វាគឺផ្អែកលើការធ្វើអ្វីៗឲ្យបានត្រឹមត្រូវ និងមានតម្លាភាព។

ទាក់ទងនឹងទិដ្ឋភាពបច្ចេកទេស សេវាកម្ម វាប្រើការតភ្ជាប់ដែលបានអ៊ិនគ្រីប (https) ហើយនៅក្នុងផ្នែកពាក្យសម្ងាត់ វាទទួលបានតែបំណែកនៃហាស SHA-1 ប៉ុណ្ណោះ។មិនមែនជាសោអត្ថបទធម្មតា ឬហាសពេញលេញទេ។ វិធីសាស្រ្តអនាមិក k នេះកាត់បន្ថយយ៉ាងខ្លាំងនូវហានិភ័យនៃការដែលនរណាម្នាក់អាចកសាងពាក្យសម្ងាត់របស់អ្នកឡើងវិញពីសំណួរ API។

ទាក់ទងនឹងអ៊ីមែល វេទិកានេះបង្ហាញថា វាមិនរក្សាទុកការស្វែងរករបស់អ្នកប្រើប្រាស់ម្នាក់ៗ ឬភ្ជាប់ពួកវាទៅទិន្នន័យផ្ទាល់ខ្លួនបន្ថែមទេ។លើសពីនេះ វាផ្តល់ជូននូវមុខងារជាជម្រើស ដូច្នេះអ្នកអាចការពារអ្នកប្រើប្រាស់ផ្សេងទៀតពីការពិនិត្យមើលអាសយដ្ឋានរបស់អ្នកនៅលើគេហទំព័រ (ជ្រើសរើសមិនចូលរួម) ឬថែមទាំងលុបអ៊ីមែលរបស់អ្នកចេញពីមូលដ្ឋានទិន្នន័យសាធារណៈទាំងស្រុងទៀតផង។

ទោះជាយ៉ាងណាក៏ដោយ វាជារឿងសំខាន់ដែលត្រូវយល់ថា ការពិតដែលថាពាក្យសម្ងាត់ "ឆ្លងកាត់" ការផ្ទៀងផ្ទាត់ ហើយមិនលេចឡើងថាលេចធ្លាយ មិនមានន័យថាវាមានសុពលភាពនោះទេ។ នេះមិនមានន័យថាពាក្យសម្ងាត់មានសុវត្ថិភាពតាមការរចនានោះទេ។វាមិនមាននៅក្នុងមូលដ្ឋានទិន្នន័យដែលប្រមូលបាននោះទេ។ ពាក្យសម្ងាត់ខ្លី សាមញ្ញ ឬផ្ទាល់ខ្លួននឹងនៅតែមិនល្អ ទោះបីជាវាមិនត្រូវបានរាយក្នុង HIBP ក៏ដោយ។

អ្វីដែលត្រូវធ្វើប្រសិនបើ Have I Been Pwned បង្ហាញថាទិន្នន័យរបស់អ្នកត្រូវបានលេចធ្លាយ

នៅពេលដែល HIBP បញ្ជាក់ថាអ៊ីមែល ឬពាក្យសម្ងាត់គឺជាផ្នែកមួយនៃការលួចចូលទិន្នន័យ វាមិនមែនជាពេលវេលាដែលត្រូវភ័យស្លន់ស្លោនោះទេ ប៉ុន្តែត្រូវ... ធ្វើសកម្មភាពយ៉ាងរហ័ស និងសមហេតុផលកាលណាអ្នកកាត់ផ្តាច់បញ្ហាកាន់តែឆាប់ នោះអ្នកវាយប្រហារនឹងមានកន្លែងតិចជាងមុនដើម្បីធ្វើការខូចខាត។

ជំហានដំបូងគឺច្បាស់លាស់ដូចដែលវាបន្ទាន់ដែរ៖ សូមផ្លាស់ប្តូរពាក្យសម្ងាត់សម្រាប់គណនីដែលរងផលប៉ះពាល់ជាបន្ទាន់។កុំរង់ចាំឱ្យនរណាម្នាក់ព្យាយាមចូលគណនី។ សន្មតថាពាក្យសម្ងាត់ចាស់លែងមានសុវត្ថិភាពទៀតហើយ។ បង្កើតពាក្យសម្ងាត់ថ្មីទាំងស្រុង ដែលអ្នកមិនទាន់បានប្រើឡើងវិញសម្រាប់សេវាកម្មផ្សេងទៀត ជាមួយនឹងលាយបញ្ចូលគ្នារវាងអក្សរធំ និងអក្សរតូច លេខ និងនិមិត្តសញ្ញា។

បន្ទាប់ដល់ពេលត្រូវចងចាំថា៖ តើអ្នកធ្លាប់ប្រើពាក្យសម្ងាត់ដូចគ្នានៅលើគេហទំព័រផ្សេងទៀតទេ? ប្រសិនបើចម្លើយគឺបាទ/ចាស អ្នកនឹងត្រូវផ្លាស់ប្តូរវាសម្រាប់ពាក្យសម្ងាត់ទាំងអស់។ ឧទាហរណ៍បុរាណគឺការប្រើពាក្យសម្ងាត់ដូចគ្នាសម្រាប់ហ្វេសប៊ុក ជីម៉ែល និងសេវាធនាគារតាមអ៊ីនធឺណិត។ ប្រសិនបើមានតែមួយត្រូវបានលេចធ្លាយ អ្នកវាយប្រហារនឹងសាកល្បងវាគ្រប់ទីកន្លែង។

ក្នុងនាមជាស្រទាប់ការពារទីពីរ សូមធ្វើឱ្យសកម្ម ការផ្ទៀងផ្ទាត់ពីរជំហាន (2FA)តាមវិធីនេះ ទោះបីជាមាននរណាម្នាក់ដឹងពាក្យសម្ងាត់របស់អ្នកក៏ដោយ ពួកគេនឹងត្រូវការលេខកូដបន្ថែមដែលផ្ញើតាមរយៈសារ SMS អ៊ីមែល ឬបង្កើតដោយកម្មវិធីផ្ទៀងផ្ទាត់ដើម្បីចូល។ តាមឧត្ដមគតិ អ្នកគួរតែប្រើកម្មវិធីដូចជា Authy, Google Authenticator ឬស្រដៀងគ្នា ព្រោះសារ SMS ក៏អាចងាយរងគ្រោះក្នុងស្ថានភាពជាក់លាក់ផងដែរ។

លើសពីនេះ វាជាការប្រសើរក្នុងការពិនិត្យឡើងវិញដោយស្ងប់ស្ងាត់ ប្រវត្តិសកម្មភាពគណនី (ប្រសិនបើសេវាកម្មផ្តល់ជូនវា): ការចូលថ្មីៗ ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ ឧបករណ៍ដែលបានភ្ជាប់។ល។ ប្រសិនបើអ្នកឃើញមានអ្វីមិនប្រក្រតី សូមបិទវគ្គដែលបើកទាំងអស់ ផ្លាស់ប្តូរពាក្យសម្ងាត់របស់អ្នកម្តងទៀត ហើយបើចាំបាច់ សូមទាក់ទងផ្នែកជំនួយសម្រាប់សេវាកម្មដែលរងផលប៉ះពាល់។

កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ និងការផ្ទៀងផ្ទាត់ពហុកត្តា

ដើម្បីធ្វើឱ្យរឿងទាំងអស់នេះកាន់តែអាចទ្រាំទ្របាន រឿងដែលសមហេតុផលបំផុតដែលត្រូវធ្វើនាពេលបច្ចុប្បន្ននេះគឺត្រូវប្រើ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ទាំងនេះគឺជាកម្មវិធី ឬសេវាកម្មដែលរក្សាទុកពាក្យសម្ងាត់របស់អ្នកទាំងអស់ក្នុងទម្រង់ដែលបានអ៊ិនគ្រីប ដែលការពារដោយពាក្យសម្ងាត់មេដែលជាពាក្យសម្ងាត់តែមួយគត់ដែលអ្នកត្រូវចងចាំ។ ជាថ្នូរនឹងវា អ្នកអាចប្រើពាក្យសម្ងាត់វែងៗ និងតែមួយគត់នៅលើគេហទំព័រនីមួយៗដោយមិនចាំបាច់ទន្ទេញចាំវា។

អ្នកគ្រប់គ្រងជាធម្មតារួមបញ្ចូលមុខងារសម្រាប់ ការបង្កើតពាក្យសម្ងាត់រឹងមាំដោយស្វ័យប្រវត្តិការបំពេញដោយស្វ័យប្រវត្តិនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងនៅលើឧបករណ៍ចល័ត ការធ្វើសមកាលកម្មឆ្លងកាត់ឧបករណ៍នានា និងក្នុងករណីជាច្រើន ការត្រួតពិនិត្យការលេចធ្លាយដោយស្វ័យប្រវត្តិ (ជារឿយៗក៏ពឹងផ្អែកលើទិន្នន័យ HIBP ផងដែរ) អនុញ្ញាតឱ្យអ្នកមើលឃើញភ្លាមៗថាតើគណនីណាដែលត្រូវការធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់។

រួមផ្សំជាមួយនេះ ក. ការផ្ទៀងផ្ទាត់ពីរកត្តា វាផ្តល់នូវស្រទាប់ការពារបន្ថែមដ៏មានប្រយោជន៍ខ្លាំង។ ទោះបីជាសេវាកម្មមួយចំនួននៅតែផ្តល់ជូនការផ្ទៀងផ្ទាត់តាមសារ SMS ក៏ដោយ វាជាការល្អបំផុតក្នុងការពឹងផ្អែកលើកម្មវិធីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ឬកន្លែងដែលអាចធ្វើទៅបាន សោសុវត្ថិភាពរូបវន្ត ឬពាក្យសម្ងាត់ ដែលកំពុងមានប្រជាប្រិយភាពកាន់តែខ្លាំងឡើងជាជម្រើសដែលមានសុវត្ថិភាពជាងពាក្យសម្ងាត់បែបប្រពៃណី។

នៅកម្រិតបច្ចេកទេស សូម្បីតែអង្គការ និងអ្នកផ្តល់សេវាហេដ្ឋារចនាសម្ព័ន្ធក៏កំពុងធ្វើសមាហរណកម្មទិន្នន័យ HIBP តាមវិធីទំនើបៗជាងនេះដែរ។ ឧទាហរណ៍ ក្រុមហ៊ុនដូចជា Fastly បានបង្ហាញវិធីសាស្រ្តសម្រាប់ រកឃើញពាក្យសម្ងាត់ដែលលាតត្រដាងដោយផ្ទាល់នៅគែមដោយរក្សាទុកកំណែដែលបានបង្ហាប់ខ្ពស់នៃហាស (ដោយប្រើតម្រងប្រូបាប៊ីលីតេដូចជា BinaryFuse8) នៅក្នុង KV Store របស់ពួកគេ ដើម្បីពិនិត្យមើលពួកវាជាមួយនឹងភាពយឺតយ៉ាវទាប និងដោយមិនពឹងផ្អែកលើ HIBP API ជានិច្ច។

តម្រងទាំងនេះអនុញ្ញាតឱ្យមានការកំណត់អត្តសញ្ញាណពាក្យសម្ងាត់ដែលលេចធ្លាយដោយគ្មានលទ្ធផលអវិជ្ជមានមិនពិត (ពាក្យសម្ងាត់ដែលលួចចូលទាំងអស់ត្រូវបានរកឃើញ) ដោយចំណាយភាគរយតិចតួចនៃភាពវិជ្ជមានមិនពិត និងកាត់បន្ថយទំហំនៃសំណុំទិន្នន័យដើមពីអត្ថបទដែលមិនបានបង្ហាប់ប្រហែល 40 GB មកត្រឹមជាង 1 GB នៃរចនាសម្ព័ន្ធដែលបានធ្វើឱ្យប្រសើរឡើង ដែលធ្វើឱ្យវាអាចធ្វើទៅបាន។ រារាំង ឬដាក់ទង់ពាក្យសម្ងាត់ដែលមិនមានសុវត្ថិភាពក្នុងពេលវេលាជាក់ស្តែង អំឡុងពេលចុះឈ្មោះ ឬចូល។

លើសពីពាក្យសម្ងាត់៖ ទម្លាប់សន្តិសុខតាមអ៊ីនធឺណិតជាមូលដ្ឋាន

ខណៈពេលដែលពាក្យសម្ងាត់គឺជាទិដ្ឋភាពជាក់ស្តែងបំផុត សុវត្ថិភាពអនឡាញលើសពីនេះទៅទៀត។ វាជាការប្រសើរក្នុងការទទួលយក... ទម្លាប់សន្តិសុខតាមអ៊ីនធឺណិតទូទៅ ដើម្បីកាត់បន្ថយហានិភ័យនៃការក្លាយជាជនរងគ្រោះនៃការលេចធ្លាយ មេរោគ ឬការបន្លំតាមអ៊ីនធឺណិត។

• ត្រូវ​ធ្វើ​បច្ចុប្បន្នភាព​ប្រព័ន្ធ​ប្រតិបត្តិការ កម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធី និង​កម្មវិធី​ជំនួយ​របស់​អ្នក​ជានិច្ច។ការវាយប្រហារជាច្រើនកេងប្រវ័ញ្ចចំណុចខ្សោយដែលគេស្គាល់ ដែលមានបំណះរួចហើយ ប៉ុន្តែអ្នកប្រើប្រាស់មិនទាន់បានដំឡើងដោយសារតែការធ្វេសប្រហែស។
• ប្រើ កំចាត់មេរោគ និងជញ្ជាំងភ្លើងដែលបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវជាពិសេសនៅលើកុំព្យូទ័រលើតុ និងកុំព្យូទ័រយួរដៃ។ ពួកវាមិនមែនជារបាំងដាច់ខាតនោះទេ ប៉ុន្តែវាផ្តល់នូវស្រទាប់បន្ថែមមួយដែលអាចរកឃើញ និងរារាំងការគំរាមកំហែងទូទៅមុនពេលដែលពួកវាអាចបង្កគ្រោះថ្នាក់។
• ប្រយ័ត្នប្រយែងណា cនៅលើ តំណភ្ជាប់ និងឯកសារភ្ជាប់គួរឱ្យសង្ស័យអ៊ីមែលបន្លំតាមប្រព័ន្ធផ្សព្វផ្សាយសង្គមដែលមានគំនិតអាក្រក់ ឬសារ SMS អាចព្យាយាមក្លែងបន្លំជាធនាគាររបស់អ្នក អ្នកផ្តល់សេវាអ៊ីមែល ឬហាងល្បីឈ្មោះ ដើម្បីលួចព័ត៌មានសម្គាល់របស់អ្នក ឬដំឡើងមេរោគ។ ត្រូវពិនិត្យមើលអាសយដ្ឋានពិតរបស់អ្នកផ្ញើជានិច្ច ត្រូវប្រុងប្រយ័ត្នចំពោះសារដែលហាក់ដូចជាប្រញាប់ប្រញាល់ ហើយកុំបញ្ចូលព័ត៌មានរបស់អ្នកនៅលើគេហទំព័រដែលអ្នកមិនប្រាកដថាស្របច្បាប់។
• ជៀសវាងការតភ្ជាប់ពីបណ្តាញ Wi-Fi សាធារណៈ (ហាងកាហ្វេ អាកាសយានដ្ឋាន សណ្ឋាគារ។ល។)។ ហើយប្រសិនបើអ្នកធ្វើ សូមពិចារណាប្រើប្រាស់ VPN ដែលទុកចិត្ត។ ជាពិសេសនៅពេលដែលអ្នកកំពុងដោះស្រាយព័ត៌មានរសើប ដូចជាធនាគារអនឡាញ ឬទិន្នន័យទាក់ទងនឹងការងារ។ នេះរារាំងនរណាម្នាក់នៅលើបណ្តាញដូចគ្នាពីការចារកម្ម ឬរៀបចំចរាចរណ៍របស់អ្នក។

តើ​ការ​ត្រូវ​បាន​គេ​ «​បោក​ប្រាស់​» មានន័យ​យ៉ាងណា​ពិតប្រាកដ?

ពាក្យថា "pwned" បានមកពីការសរសេរខុសចាស់នៃពាក្យថា "owned" នៅក្នុងពិភពហ្គេមវីដេអូអនឡាញ ប៉ុន្តែយូរៗទៅវាត្រូវបានគេប្រើសម្រាប់ ពិពណ៌នាអំពីគណនី ឬប្រព័ន្ធដែលត្រូវបានលួចចូលនៅពេលដែល HIBP ប្រាប់អ្នកថាអ្នកត្រូវបានគេ "pwned" វាមានន័យថា ព័ត៌មានសម្គាល់មួយចំនួនរបស់អ្នកបានបញ្ចប់នៅក្នុងមូលដ្ឋានទិន្នន័យសាធារណៈ ឬនៅក្នុងដៃរបស់អ្នកវាយប្រហារ។

នេះមិនចាំបាច់មានន័យថាមាននរណាម្នាក់បានចូលប្រើគណនីរបស់អ្នករួចហើយនោះទេ ប៉ុន្តែវាមានន័យថា ការរួមបញ្ចូលគ្នានៃឈ្មោះអ្នកប្រើប្រាស់/អ៊ីមែល និងពាក្យសម្ងាត់ដែលអ្នកបានប្រើលែងអាចចាត់ទុកថាជាសម្ងាត់ទៀតហើយពីទីនោះ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចងាកទៅរកបច្ចេកទេសដូចជាការបញ្ចូលព័ត៌មានសម្ងាត់ ដែលមានការសាកល្បងសោដូចគ្នាទាំងនោះលើសេវាកម្មរាប់រយផ្សេងៗគ្នារហូតដល់ពួកគេរកឃើញទ្វារបើកចំហ។

នោះហើយជាមូលហេតុដែលវាសមហេតុផលណាស់ក្នុងការត្រួតពិនិត្យជាប្រចាំថាតើអ៊ីមែល ឬពាក្យសម្ងាត់របស់អ្នកបានលេចឡើងក្នុងការលួចទិន្នន័យឬអត់ ដើម្បីឆ្លើយតបយ៉ាងរហ័សនៅពេលអ្នករកឃើញការលួចទិន្នន័យ និងលើសពីនេះទៅទៀត ជៀសវាងការប្រើប្រាស់ពាក្យសម្ងាត់ឡើងវិញ ហើយពឹងផ្អែកលើ 2FAHIBP គឺជាបំណែកមួយទៀតនៃល្បែងផ្គុំរូប មិនមែនជាដំណោះស្រាយពេញលេញនោះទេ ប៉ុន្តែនៅពេលប្រើប្រាស់បានល្អ វាអាចផ្តល់ឱ្យអ្នកនូវរឹមនៃប្រតិកម្មដែលធ្វើឱ្យមានភាពខុសគ្នាទាំងស្រុង។

សុវត្ថិភាពឌីជីថលរបស់អ្នកពឹងផ្អែកយ៉ាងខ្លាំងទៅលើការរួមបញ្ចូលគ្នា ឧបករណ៍ដូចជា Have I Been Pwned កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ ការផ្ទៀងផ្ទាត់ពហុកត្តា និងទម្លាប់រុករកដោយប្រុងប្រយ័ត្នប្រសិនបើអ្នកពិនិត្យមើលអ៊ីមែល និងពាក្យសម្ងាត់របស់អ្នកជាប្រចាំ ផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលលួចចូលភ្លាមៗ រក្សាឧបករណ៍របស់អ្នកឱ្យទាន់សម័យ និងប្រុងប្រយ័ត្នចំពោះសារគួរឱ្យសង្ស័យ អ្នកនឹងកាត់បន្ថយឱកាសដែលនរណាម្នាក់អាចគ្រប់គ្រងគណនីរបស់អ្នក ឬលួចអត្តសញ្ញាណអនឡាញរបស់អ្នកបានយ៉ាងខ្លាំង។