August 19, 2018

႐ိုးရွင္းလြယ္ကူေပမယ့္လည္း လူစိတ္၀င္စားမႈ နည္းေနတဲ့ two-factor authentication

[ Zawgyi ]

လူတိုင္းဟာ virtual private network (VPN) တစ္ခုအတြက္ ေငြေပးေခ်ဖို႔ ဆႏၵမရိွသလို password manager တစ္ခုကိုလည္း မသံုးခ်င္ၾကပါဘူး။ ဒါေပမဲ့ ဟက္ကာေတြရဲ႕ password ခိုးယူမႈရန္ကေန ကာကြယ္ေပးႏိုင္မယ့္ လြယ္ကူ႐ိုးရွင္းတဲ့ နည္းလမ္း တစ္ခုရိွပါတယ္။ အဲ့ဒီနည္းလမ္းကို two-factor authentication လို႔ ေခၚပါတယ္။

Two-factor authentication နည္းလမ္းက လူေတြနဲ႔ ရင္းႏွီးျပီးသားပါ။ Debit card တစ္ခုနဲ႔ ေငြေပးေခ်တဲ့အခါမွာ swipe လုပ္ၿပီးတာနဲ႔ PIN code တစ္ခု ထည့္သြင္းဖို႔ ေတာင္းဆိုပါတယ္။ ဒါဟာ two-factor authentication ပါပဲ။ ဒီနည္းလမ္းဟာ ကိုယ့္ရဲ႕ identity မွန္ကန္ေၾကာင္းကို နည္းလမ္းႏွစ္ရပ္နဲ႔ သက္ေသျပသရတာ ျဖစ္ပါတယ္။ ကိစၥအမ်ားစုမွာေတာ့ password တစ္ခု ထည့္သြင္းၿပီးတဲ့အခါ code တစ္ခုကို ကိုယ့္ရဲ႕ဖုန္းဆီ ေပးပို႔ပါတယ္။

Two-factor authentication ဟာ ကိုယ့္ရဲ႕ account ကို ဟက္ကာေတြ ခိုးယူမႈကေန ကာကြယ္ေပးႏိုင္တဲ့ အလြယ္ကူဆံုး နည္းလမ္းေတြထဲက တစ္ခုျဖစ္ပါတယ္။ ဒါေပမဲ့လည္း ဒီနည္းလမ္းေတြကို လူေတြက က်ယ္က်ယ့္ျပန္႔ျပန္႔ သံုးစြဲတာမ်ိဳး မရိွဘူးလို႔ ၾသဂုတ္ ၉ ရက္ (ၾကာသပေတးေန႔) က ျပဳလုပ္ခဲ့တဲ့ Black Hat လံုၿခံဳေရးကြန္ဖရင့္စ္မွာ Indiana တကၠသိုလ္ရဲ႕ သုေတသီေတြက ေျပာၾကားခဲ့ပါတယ္။

Indiana တကၠသိုလ္က ပေရာ္ဖက္ဆာျဖစ္သူ L. Jean Camp နဲ႔ Indiana တကၠသိုလ္ ပါရဂူဘဲြ႕ေက်ာင္းသားျဖစ္သူ Sanchari Das တို႔ဟာ လြယ္ကူ႐ိုးရွင္းၿပီး အက်ိဳးရိွေစတဲ့ လံုၿခံဳေရးနည္းလမ္းကို လူေတြ ဘာေၾကာင့္ စိတ္မဝင္စားၾကသလဲ ဆိုတာနဲ႔ပတ္သက္ၿပီး သိရိွဖို႔အတြက္ လူ ၅၀၀ ထံကေန စစ္တမ္းေကာက္ယူခဲ့ပါတယ္။

Two-factor authentication အေၾကာင္း နားမလည္သူေတြေၾကာင့္ ရလဒ္အေပၚ သက္ေရာက္မႈမရိွေစဖို႔အတြက္ သူတို႔ဟာ တကၠသိုလ္ထဲက နည္းပညာကၽြမ္းက်င္သူ ေက်ာင္းသားေတြဆီကေန စစ္တမ္းေကာက္ယူခဲ့ပါတယ္။

အဲ့ဒီေနာက္ စစ္တမ္းေျဖဆိုမႈမွာ ပါဝင္ခဲ့တဲ့ ေက်ာင္းသားေတြဟာ နည္းပညာအေၾကာင္းကို နားလည္တတ္ကၽြမ္းေပမယ့္လည္း အထက္ပါ ဆိုက္ဘာလံုၿခံဳေရး ႀကိဳတင္ကာကြယ္မႈနည္းလမ္းကို ဘာေၾကာင့္ လိုအပ္ရသလဲဆိုတဲ့အေပၚ နားလည္သေဘာေပါက္ျခင္း မရိွတဲ့အေၾကာင္းကို ရွာေဖြေတြ႕ရိွခဲ့ပါတယ္။

“ကိုယ့္ရဲ႕ password အေပၚ စိတ္ခ်ယံုၾကည္မႈရိွၾကတာကို ကၽြန္ေတာ္တို႔ ေတြ႕ရိွခဲ့ပါတယ္။ ေတာ္ေတာ္မ်ားမ်ားက ‘ငါ့ password က အဆင္ေျပတယ္။ ငါ့ password က ခိုင္မာမႈရိွတယ္’ ဆိုၿပီး ေျဖဆိုခဲ့ၾကပါတယ္” လို႔ Camp က ေျပာပါတယ္။

Two-factor authentication ကိုသံုးစြဲသူ အမ်ားအျပားကလည္း PIN code ကို ဖုန္းဆီ ေပးပို႔ေပးတဲ့ SMS ကိုပဲ မွီခိုအားထားၾက ပါတယ္။ ဒါေပမဲ့လည္း ၾသဂုတ္ ၁ ရက္က Reddit မွာ ျဖစ္ခဲ့သလိုမ်ိုး text message ေတြကို ၾကားျဖတ္ရယူႏိုင္တာေၾကာင့္ အဲ့ဒီနည္းလမ္းက two-factor authentication အတြက္ physical security key တစ္ခုကို အသံုးျပဳတာေလာက္ မလံုၿခံဳပါဘူး။

“SMS အေျခခံ authentication က ကၽြန္ေတာ္တို႔ ေမွ်ာ္လင့္ထားသလို လံုၿခံဳမႈမရိွတာကို ေတြ႕ရိွခဲ့ပါတယ္။ အဓိက တုိက္ခိုက္မႈက SMS ၾကားျဖတ္ရယူတာကေန ျဖစ္ပြားခဲ့တာပါ” လို႔ Reddit ရဲ႕ နည္းပညာအရာရိွခ်ဳပ္ Christopher Slowe က ေျပာပါတယ္။

ေက်ာင္းသားအမ်ားစုက သူတို႔ဟာ တစ္ခါမွ အဟက္မခံမရတာေၾကာင့္ two-factor authentication ကို မလိုအပ္ဘူးလို႔ ထင္ျမင္ခဲ့ေၾကာင္း Camp က ေျပာပါတယ္။ ဒီအယူအဆဟာ two-factor authentication ကို အသံုးမျပဳသူေတြရဲ႕ အယူအဆနဲ႔ တူညီႏိုင္ပါတယ္။

Two-factor ရဲ႕ စိန္ေခၚမႈမ်ား

ၿပီးခဲ့တဲ့ ႏိုဝင္ဘာလက ထုတ္ျပန္ခဲ့တဲ့ စစ္တမ္းတစ္ခုမွာ အေမရိကန္ႏိုင္ငံသား သံုးပံုတစ္ပံုဟာ two-factor authentication ကို အသံုးျပဳၾကၿပီး အေမရိကန္ႏိုင္ငံသား ထက္ဝက္ေက်ာ္ကေတာ့ ဒီလံုၿခံဳေရးနည္းလမ္းကို တစ္ခါမွ မၾကားဖူးတာကို Duo Security က ေတြ႕ရိွခဲ့ပါတယ္။

ဇန္နဝါရီလကလည္း Google ေဆာ့ဖ္ဝဲအင္ဂ်င္နီယာ တစ္ေယာက္က two-factor authentication သံုးတဲ့ Gmail account ၁၀ ရာခိုင္ႏႈန္းခန္႔သာ ရိွတယ္လို႔ ထုတ္ေဖာ္ေျပာၾကားခဲ့ပါတယ္။

Two-factor authentication ကို လူေတြ ပိုမိုအသံုးျပဳလာႏိုင္ေစမယ့္ အေကာင္းဆံုးနည္းလမ္းကိုလည္း Camp နဲ႔ Das က အႀကံျပဳခဲ့ပါတယ္။ ေဆးလိပ္ဘူးေတြမွာပါတဲ့ “Smoking Kills” လို သေကၤတအတိုင္း ပစ္မွတ္ကို ဦးတည္ႏိုင္ေစဖို႔အတြက္ strong password တစ္ခုက လံုေလာက္တဲ့ လံုၿခံဳမႈမေပးႏိုင္ေၾကာင္းကို သံုးစြဲသူေတြ သိရိွေအာင္ ဝက္ဘ္ဆိုက္ေတြနဲ႔ app ေတြမွာ ထည့္သြင္းသင့္တယ္လို႔ ဆိုခဲ့ပါတယ္။

သင့္ရဲ႕ password က ဘယ္ေလာက္ပဲ ရွည္လ်ားေနပါေစ database ေပါက္ၾကားမႈျဖစ္တာနဲ႔ password ေတြကို ဟက္ကာေတြက copy, paste လုပ္သြားပါလိမ့္မယ္။ အဲ့ဒီအခါမွာ two-factor authentication ကိုသံုးထားတယ္ဆိုရင္ ဒုတိယခံတပ္တစ္ခုအျဖစ္ အသံုးဝင္ပါလိမ့္မယ္။

Camp နဲ႔ Das ဟာ ဒီအႀကံျပဳခ်က္ကို Google နဲ႔ USB port မွာ physical key တစ္ခုတပ္ၿပီး two-factor authentication ကိုေထာက္ပံ့ေပးတဲ့ Yubico ထံ ေပးပို႔ခဲ့ပါတယ္။ Gmail, Facebook နဲ႔ Twitter တို႔ဟာ Yubikey ကို ေထာက္ပံ့ေပးတဲ့ ဝက္ဘ္ဆုိက္ေတြထဲမွာ ပါဝင္ပါတယ္။

လူေတြ စိတ္ဝင္စားမႈမရိွတာက Google နဲ႔ Yubico တို႔အတြက္ တကယ့္ စိန္ေခၚမႈႀကီးတစ္ခု ျဖစ္ပါတယ္။ သူတို႔ဟာ သံုးစြဲသူေတြကို လံုၿခံဳမႈရိွေအာင္ ျပဳလုပ္ေပးဖို႔ ဆႏၵရိွေပမယ့္ သူတို႔ရဲ႕ လံုၿခံဳေရးနည္းစနစ္ေတြကို အသံုးျပဳသူ အနည္းငယ္ပဲရိွပါတယ္။

Google ဟာ ကိုယ္ပိုင္ security key ကို ဇူလိုင္ ၂၅ ရက္မွာ မိတ္ဆက္ခဲ့ေပမယ့္ Google သံုးစြဲသူအမ်ားစုက အဲ့ဒီ key ကို အသံုးမျပဳၾကပါဘူး။ ဒါေပမဲ့လည္း သိပ္မၾကာခင္မွာ အေျပာင္းအလဲေတြ ျဖစ္ေပၚလာမယ္လို႔ ေမွ်ာ္လင့္ထားေၾကာင္း Google အခ်က္အလက္လံုၿခံဳေရးအတြက္ ထုတ္ကုန္စီမံခန္႔ခြဲမႈဒါ႐ိုက္တာ Sam Srinivas က ဆိုပါတယ္။

Yubico တည္ေထာင္သူနဲ႔ စီအီးအိုျဖစ္သူ Stina Ehrensvard က security key ရိွသူတစ္ေယာက္မွာ account ဟက္ခံရမႈ မျဖစ္ေစႏုိင္ေပမယ့္ two-factor authentication မသံုးသူေတြကေတာ့ သူတို႔ရဲ႕ account ဟက္ခံရတာမ်ိဳး ဘယ္ေတာ့မွမျဖစ္ဘူးလို႔ ထင္ျမင္ေနၾကတယ္လို႔ ေျပာၾကားခဲ့ပါတယ္။

Two-factor authentication သံုးစြဲမႈႏႈန္းဟာ တိုးတက္မႈေႏွးေကြးေနေပမယ့္လည္း စိုးရိမ္မႈမရိွဘူးလို႔ Ehrensvard က ဆိုပါတယ္။

“Two-factor authentication ေလာက္ ေကာင္းတဲ့ authentication နည္းပညာ မရိွပါဘူး။ ဒါေပမဲ့ လူစိတ္ဝင္စားမႈနည္းတဲ့ ျပႆနာရိွေနပါတယ္” လို႔ သူမက ေျပာၾကားခဲ့ပါတယ္။

Ref: CNET

[ Unicode ]

လူတိုင်းဟာ virtual private network (VPN) တစ်ခုအတွက် ငွေပေးချေဖို့ ဆန္ဒမရှိသလို password manager တစ်ခုကိုလည်း မသုံးချင်ကြပါဘူး။ ဒါပေမဲ့ ဟက်ကာတွေရဲ့ password ခိုးယူမှုရန်ကနေ ကာကွယ်ပေးနိုင်မယ့် လွယ်ကူရိုးရှင်းတဲ့ နည်းလမ်း တစ်ခုရှိပါတယ်။ အဲ့ဒီနည်းလမ်းကို two-factor authentication လို့ ခေါ်ပါတယ်။

Two-factor authentication နည်းလမ်းက လူတွေနဲ့ ရင်းနှီးပြီးသားပါ။ Debit card တစ်ခုနဲ့ ငွေပေးချေတဲ့အခါမှာ swipe လုပ်ပြီးတာနဲ့ PIN code တစ်ခု ထည့်သွင်းဖို့ တောင်းဆိုပါတယ်။ ဒါဟာ two-factor authentication ပါပဲ။ ဒီနည်းလမ်းဟာ ကိုယ့်ရဲ့ identity မှန်ကန်ကြောင်းကို နည်းလမ်းနှစ်ရပ်နဲ့ သက်သေပြသရတာ ဖြစ်ပါတယ်။ ကိစ္စအများစုမှာတော့ password တစ်ခု ထည့်သွင်းပြီးတဲ့အခါ code တစ်ခုကို ကိုယ့်ရဲ့ဖုန်းဆီ ပေးပို့ပါတယ်။

Two-factor authentication ဟာ ကိုယ့်ရဲ့ account ကို ဟက်ကာတွေ ခိုးယူမှုကနေ ကာကွယ်ပေးနိုင်တဲ့ အလွယ်ကူဆုံး နည်းလမ်းတွေထဲက တစ်ခုဖြစ်ပါတယ်။ ဒါပေမဲ့လည်း ဒီနည်းလမ်းတွေကို လူတွေက ကျယ်ကျယ့်ပြန့်ပြန့် သုံးစွဲတာမျိုး မရှိဘူးလို့ သြဂုတ် ၉ ရက် (ကြာသပတေးနေ့) က ပြုလုပ်ခဲ့တဲ့ Black Hat လုံခြုံရေးကွန်ဖရင့်စ်မှာ Indiana တက္ကသိုလ်ရဲ့ သုတေသီတွေက ပြောကြားခဲ့ပါတယ်။

Indiana တက္ကသိုလ်က ပရော်ဖက်ဆာဖြစ်သူ L. Jean Camp နဲ့ Indiana တက္ကသိုလ် ပါရဂူဘွဲ့ကျောင်းသားဖြစ်သူ Sanchari Das တို့ဟာ လွယ်ကူရိုးရှင်းပြီး အကျိုးရှိစေတဲ့ လုံခြံုရေးနည်းလမ်းကို လူတွေ ဘာကြောင့် စိတ်မဝင်စားကြသလဲ ဆိုတာနဲ့ပတ်သက်ပြီး သိရှိဖို့အတွက် လူ ၅၀၀ ထံကနေ စစ်တမ်းကောက်ယူခဲ့ပါတယ်။

Two-factor authentication အကြောင်း နားမလည်သူတွေကြောင့် ရလဒ်အပေါ် သက်ရောက်မှုမရှိစေဖို့အတွက် သူတို့ဟာ တက္ကသိုလ်ထဲက နည်းပညာကျွမ်းကျင်သူ ကျောင်းသားတွေဆီကနေ စစ်တမ်းကောက်ယူခဲ့ပါတယ်။

အဲ့ဒီနောက် စစ်တမ်းဖြေဆိုမှုမှာ ပါဝင်ခဲ့တဲ့ ကျောင်းသားတွေဟာ နည်းပညာအကြောင်းကို နားလည်တတ်ကျွမ်းပေမယ့်လည်း အထက်ပါ ဆိုက်ဘာလုံခြံုရေး ကြိုတင်ကာကွယ်မှုနည်းလမ်းကို ဘာကြောင့် လိုအပ်ရသလဲဆိုတဲ့အပေါ် နားလည်သဘောပေါက်ခြင်း မရှိတဲ့အကြောင်းကို ရှာဖွေတွေ့ရှိခဲ့ပါတယ်။

“ကိုယ့်ရဲ့ password အပေါ် စိတ်ချယုံကြည်မှုရှိကြတာကို ကျွန်တော်တို့ တွေ့ရှိခဲ့ပါတယ်။ တော်တော်များများက ‘ငါ့ password က အဆင်ပြေတယ်။ ငါ့ password က ခိုင်မာမှုရှိတယ်’ ဆိုပြီး ဖြေဆိုခဲ့ကြပါတယ်” လို့ Camp က ပြောပါတယ်။

Two-factor authentication ကိုသုံးစွဲသူ အများအပြားကလည်း PIN code ကို ဖုန်းဆီ ပေးပို့ပေးတဲ့ SMS ကိုပဲ မှီခိုအားထားကြ ပါတယ်။ ဒါပေမဲ့လည်း သြဂုတ် ၁ ရက်က Reddit မှာ ဖြစ်ခဲ့သလိုမျိုး text message တွေကို ကြားဖြတ်ရယူနိုင်တာကြောင့် အဲ့ဒီနည်းလမ်းက two-factor authentication အတွက် physical security key တစ်ခုကို အသုံးပြုတာလောက် မလုံခြံုပါဘူး။

“SMS အခြေခံ authentication က ကျွန်တော်တို့ မျှော်လင့်ထားသလို လုံခြံုမှုမရှိတာကို တွေ့ရှိခဲ့ပါတယ်။ အဓိက တိုက်ခိုက်မှုက SMS ကြားဖြတ်ရယူတာကနေ ဖြစ်ပွားခဲ့တာပါ” လို့ Reddit ရဲ့ နည်းပညာအရာရှိချုပ် Christopher Slowe က ပြောပါတယ်။

ကျောင်းသားအများစုက သူတို့ဟာ တစ်ခါမှ အဟက်မခံမရတာကြောင့် two-factor authentication ကို မလိုအပ်ဘူးလို့ ထင်မြင်ခဲ့ကြောင်း Camp က ပြောပါတယ်။ ဒီအယူအဆဟာ two-factor authentication ကို အသုံးမပြုသူတွေရဲ့ အယူအဆနဲ့ တူညီနိုင်ပါတယ်။

Two-factor ရဲ့ စိန်ခေါ်မှုများ

ပြီးခဲ့တဲ့ နိုဝင်ဘာလက ထုတ်ပြန်ခဲ့တဲ့ စစ်တမ်းတစ်ခုမှာ အမေရိကန်နိုင်ငံသား သုံးပုံတစ်ပုံဟာ two-factor authentication ကို အသုံးပြုကြပြီး အမေရိကန်နိုင်ငံသား ထက်ဝက်ကျော်ကတော့ ဒီလုံခြံုရေးနည်းလမ်းကို တစ်ခါမှ မကြားဖူးတာကို Duo Security က တွေ့ရှိခဲ့ပါတယ်။

ဇန်နဝါရီလကလည်း Google ဆော့ဖ်ဝဲအင်ဂျင်နီယာ တစ်ယောက်က two-factor authentication သုံးတဲ့ Gmail account ၁၀ ရာခိုင်နှုန်းခန့်သာ ရှိတယ်လို့ ထုတ်ဖော်ပြောကြားခဲ့ပါတယ်။

Two-factor authentication ကို လူတွေ ပိုမိုအသုံးပြုလာနိုင်စေမယ့် အကောင်းဆုံးနည်းလမ်းကိုလည်း Camp နဲ့ Das က အကြံပြုခဲ့ပါတယ်။ ဆေးလိပ်ဘူးတွေမှာပါတဲ့ “Smoking Kills” လို သင်္ကေတအတိုင်း ပစ်မှတ်ကို ဦးတည်နိုင်စေဖို့အတွက် strong password တစ်ခုက လုံလောက်တဲ့ လုံခြံုမှုမပေးနိုင်ကြောင်းကို သုံးစွဲသူတွေ သိရှိအောင် ဝက်ဘ်ဆိုက်တွေနဲ့ app တွေမှာ ထည့်သွင်းသင့်တယ်လို့ ဆိုခဲ့ပါတယ်။

သင့်ရဲ့ password က ဘယ်လောက်ပဲ ရှည်လျားနေပါစေ database ပေါက်ကြားမှုဖြစ်တာနဲ့ password တွေကို ဟက်ကာတွေက copy, paste လုပ်သွားပါလိမ့်မယ်။ အဲ့ဒီအခါမှာ two-factor authentication ကိုသုံးထားတယ်ဆိုရင် ဒုတိယခံတပ်တစ်ခုအဖြစ် အသုံးဝင်ပါလိမ့်မယ်။

Camp နဲ့ Das ဟာ ဒီအကြံပြုချက်ကို Google နဲ့ USB port မှာ physical key တစ်ခုတပ်ပြီး two-factor authentication ကိုထောက်ပံ့ပေးတဲ့ Yubico ထံ ပေးပို့ခဲ့ပါတယ်။ Gmail, Facebook နဲ့ Twitter တို့ဟာ Yubikey ကို ထောက်ပံ့ပေးတဲ့ ဝက်ဘ်ဆိုက်တွေထဲမှာ ပါဝင်ပါတယ်။

လူတွေ စိတ်ဝင်စားမှုမရှိတာက Google နဲ့ Yubico တို့အတွက် တကယ့် စိန်ခေါ်မှုကြီးတစ်ခု ဖြစ်ပါတယ်။ သူတို့ဟာ သုံးစွဲသူတွေကို လုံခြံုမှုရှိအောင် ပြုလုပ်ပေးဖို့ ဆန္ဒရှိပေမယ့် သူတို့ရဲ့ လုံခြံုရေးနည်းစနစ်တွေကို အသုံးပြုသူ အနည်းငယ်ပဲရှိပါတယ်။

Google ဟာ ကိုယ်ပိုင် security key ကို ဇူလိုင် ၂၅ ရက်မှာ မိတ်ဆက်ခဲ့ပေမယ့် Google သုံးစွဲသူအများစုက အဲ့ဒီ key ကို အသုံးမပြုကြပါဘူး။ ဒါပေမဲ့လည်း သိပ်မကြာခင်မှာ အပြောင်းအလဲတွေ ဖြစ်ပေါ်လာမယ်လို့ မျှော်လင့်ထားကြောင်း Google အချက်အလက်လုံခြံုရေးအတွက် ထုတ်ကုန်စီမံခန့်ခွဲမှုဒါရိုက်တာ Sam Srinivas က ဆိုပါတယ်။

Yubico တည်ထောင်သူနဲ့ စီအီးအိုဖြစ်သူ Stina Ehrensvard က security key ရှိသူတစ်ယောက်မှာ account ဟက်ခံရမှု မဖြစ်စေနိုင်ပေမယ့် two-factor authentication မသုံးသူတွေကတော့ သူတို့ရဲ့ account ဟက်ခံရတာမျိုး ဘယ်တော့မှမဖြစ်ဘူးလို့ ထင်မြင်နေကြတယ်လို့ ပြောကြားခဲ့ပါတယ်။

Two-factor authentication သုံးစွဲမှုနှုန်းဟာ တိုးတက်မှုနှေးကွေးနေပေမယ့်လည်း စိုးရိမ်မှုမရှိဘူးလို့ Ehrensvard က ဆိုပါတယ်။

“Two-factor authentication လောက် ကောင်းတဲ့ authentication နည်းပညာ မရှိပါဘူး။ ဒါပေမဲ့ လူစိတ်ဝင်စားမှုနည်းတဲ့ ပြဿနာရှိနေပါတယ်” လို့ သူမက ပြောကြားခဲ့ပါတယ်။

Ref: CNET