လုံခြုံရေးဆိုတိုင်း အကုန်တူတယ်လို့ မထင်လိုက်ပါနဲ့
Cybersecurity Strategy တစ်ခု အောင်မြင်ဖို့ဆိုရင် Multi-Factor Authentication (MFA) က မရှိ မဖြစ် ပါပဲ။ ဒါပေမဲ့ သတိထားရမှာက ဖန်တီးထားတဲ့ MFA တိုင်းဟာ လုံခြုံရေးအဆင့်အတန်း ချင်းမတူကြပါဘူး။ လုံခြုံရေး ကုဒ်တွေတိုင်းက တစ်ပြေးညီ စိတ်ချရတာမျိုး မဟုတ်ပါဘူး ၊ လုံခြုံရေး နည်းလမ်းတွေမှာလည်း အဆင့်အတန်း ကွာခြားချက်တွေ ရှိပါတယ်။ ခေတ်သစ် Phishing တိုက်ခိုက်မှုတွေကို ခုခံနိုင်ဖို့ဆိုရင် Hardware-backed Security ကသာ အကောင်းဆုံး နည်း လမ်းဖြစ်ပါတယ်။ လူတော်တော်များများ မေးလေ့ရှိကြတာက "SMS နဲ့ Mobile Authenticator App တွေ သုံးနေတာပဲ၊ ဘာလို့ Hardware Key တွေ ထပ်လိုဦးမှာလဲ?" ဆိုတာပါပဲ။ ဖုန်းနဲ့သုံးတဲ့ MFA တွေဟာ Password တစ်ခုတည်းထက် ပိုကောင်းပေမဲ့ သူတို့မှာ ပြင်းထန်တဲ့ အားနည်းချက်တွေ ရှိနေပါတယ်။
Mobile MFA တွေရဲ့ အန္တရာယ် (၃) ချက်
1. Single Device Risk (စက်ပစ္စည်းတစ်ခုတည်းအပေါ် မှီခိုရခြင်း):
ဒါကို အိမ်သော့နဲ့ PIN လျှို့ဝှက်နံပါတ်ကို ပိုက်ဆံအိတ်တစ်ခုတည်းထဲမှာ အတူတူထည့်ထားသလိုမျိုး မြင်ကြည့်ပါ။ တကယ်လို့ သင့်ဖုန်း အခိုးခံရတာ ဒါမှမဟုတ် ဖုန်းထဲကို ဗိုင်းရပ်စ် (Virus) တစ်ခုခု ဝင်သွားပြီဆိုရင် ဟက်ကာတွေက သင့်ရဲ့ App တွေကိုပဲ ရသွားတာမဟုတ်ဘဲ အဲဒီ App တွေကို ဖွင့်ဖို့အတွက် လုံခြုံရေးကုဒ်တွေကိုပါ တစ်ခါတည်း ရသွားပါလိမ့်မယ်။ 'သော့ခလောက်' ရော 'သော့' ပါ ဖုန်းတစ်လုံးတည်းမှာ ရှိနေတာက ခိုးယူမယ့်သူအတွက် အရာအားလုံးကို တစ်ပြိုင်နက်တည်း ရယူဖို့ အရမ်းလွယ်ကူသွားစေပါတယ်။
2. Social Engineering (လူမှုအင်ဂျင်နီယာနည်းဖြင့် လှည့်စားခြင်း):
မသမာသူတွေက စက်တွေကိုပဲ တိုက်ခိုက်တာမဟုတ်ဘဲ လူတွေကိုပါ လှည့်ဖျားတတ်ကြပါတယ်။ သင့်ဖုန်းနံပါတ်ကို လိမ်လည်ရယူတာမျိုး ဒါမှမဟုတ် သင့်ဖုန်းထဲကို 'ခွင့်ပြုချက်တောင်းခံလွှာ' (Approve Login) တွေ အကြိမ်ကြိမ်ပို့ပြီး စိတ်အနှောင့်အယှက်ဖြစ်အောင် လုပ်တတ်ကြပါတယ်။ အဲဒီလို အဆက်မ ပြတ်ပို့နေတာကြောင့် စိတ်ရှုပ်ပြီး 'Yes' လို့ ဖြစ်ဖြစ် အမှတ်မထင် နှိပ်လိုက်မိရာကနေ အကောင့် အခိုးခံရ တာမျိုးတွေ ဖြစ်တတ်ပါတယ်။
3. Phishing Reality (အတုအယောင် ဝက်ဘ်ဆိုက်များ):
ဖုန်းထဲကို ပို့ပေးတဲ့ လုံခြုံရေးကုဒ်တွေ OTP တွေက အရင်လို စိတ်မချရတော့ပါဘူး။ အခုခေတ် ဟက်ကာ (Hacker) တွေက အစစ်နဲ့ ခွဲမရအောင်တူတဲ့ လော့ဂ်အင် (Login) စာမျက်နှာအတုတွေကို ကျွမ်းကျင်စွာ လုပ်လာကြတယ်။ သင်က အဲဒီစာမျက်နှာအတုထဲမှာ ကုဒ်ကို ရိုက်ထည့်လိုက်တာနဲ့ သူတို့က အဲဒီကုဒ်ကို ချက်ချင်းကြားဖြတ်ခိုးယူပြီး သင့်အကောင့်ထဲကို ခဏလေးအတွင်း ဝင်သွားနိုင်ပါတယ်။
Hardware key ရဲ့ အားသာချက်
Yubikey လိုမျိုး Phishing-resistant ဖြစ်တဲ့ Hardware MFA တွေမှာ သီးသန့် Cryptographic Chip တစ်ခု ပါဝင်ပါတယ်။ သူတို့တွေရဲ့ အလုပ်လုပ်ပုံက Local Handshake - စက်ပစ္စည်းနဲ့ ဝက်ဘ်ဆိုက်ကြားမှာ တိုက်ရိုက် ချိတ်ဆက် အလုပ်လုပ်ပါတယ်။ Identity Check - Hardware key ဟာ ဝက်ဘ်ဆိုက်ရဲ့ Digital Identity ကို အရင်ဆုံး စစ်ဆေးပါတယ်။ ဒါကြောင့် Login Page အတုတွေပေါ်မှာ Key က အလုပ်လုပ်မှာ မဟုတ်ပါဘူး။ Physical Protection - လက်တွေ့ကိုယ်တိုင် ခလုတ်နှိပ်မှသာ အလုပ်လုပ်မှာ ဖြစ်တဲ့အတွက် လှည့်စားခံရဖို့ (သို့) အဝေးကနေ ဖောက်ထွင်းခံရဖို့ လုံးဝ မဖြစ်နိုင်တော့ပါဘူး။ အချုပ် အားဖြင့်ဆိုရရင် အဖွဲ့အစည်းတစ်ခုရဲ့ လုံခြုံရေးအတွက် အကောင်းဆုံးနဲ့ အစိတ်ချရဆုံး ရွေးချယ်မှုဟာ Hardware-based MFA ပဲ ဖြစ်ပါတယ်။
Yubikey ဆိုတာ ဘာလဲ?
Yubikey ဆိုတာ Sweden အခြေစိုက် Yubico ကုမ္ပဏီက ထုတ်လုပ်တဲ့ Hardware လုံခြုံရေးသော့ (Security Key) တစ်ခုဖြစ်ပါတယ်။ Yubikey ဟာ USB Stick သေးသေးလေးနဲ့ ဆင်တူပြီး သင့်ရဲ့ Computer၊ Tablet ဒါမှမဟုတ် Phone တွေမှာ တပ်ဆင်အသုံးပြုရတာပါ။ ရိုးရိုး Password တွေက စာသားသက်သက်ဖြစ်လို ခိုးယူရလွယ်ပေမယ့် Yubikey ကတော့ "ရုပ်ပိုင်းဆိုင်ရာ အထောက်အထား" (Something you have) ဖြစ်ပါတယ်။ ဆိုလိုတာက Hacker ဟာ သင့် Password ကို သိသွားရင်တောင် သင့်လက်ထဲမှာရှိတဲ့ ဒီ Yubikey အစစ်အမှန် မရှိဘဲ သင့်အကောင့်ထဲကို လုံးဝဝင်လိုရမှာ မဟုတ်ပါဘူး။
Yubikey အလုပ်လုပ်ပုံ (အဆင့် ၃ ဆင့်)
-
Trigger
ပထမဆုံးအနေနဲ့ သင်အသုံးပြုနေကျ Gmail ဖြစ်ဖြစ်၊ Binance လိုမျိုး Crypto Exchange site တွေမှာ ဖြစ်ဖြစ် သင့်ရဲ့ Username နဲ့ Password ကို ပုံမှန်အတိုင်း ရိုက်ထည့်ပါ။
-
Request
Password မှန်ကန်သွားပြီဆိုတာနဲ့ ဝက်ဘ်ဆိုက်ကနေ သင့်ရဲ့ Security Key ကို ကွန်ပျူတာမှာ ထိုးထည့်ဖို ဒါမှမဟုတ် ဖုန်းနဲ့ထိပေးဖို (Tap လုပ်ဖို) တောင်းဆိုပါလိမ့်မယ်။
-
Action
နောက်ဆုံးအဆင့်မှာ YubiKey ပေါ်က ရွှေရောင်အဝိုင်းလေး (Gold Contact) ကို လက်နဲ့ ခပ်ဖွဖွလေး ထိလိုက်ရုံပါပဲ။ အဲဒီအခါ Key ထဲကနေ လုံခြုံစိတ်ချရတဲ့ Encrypted Signal တစ်ခုကို ဝက်ဘ်ဆိုက်ဆီ ပိုလွှတ်လိုက်ပြီး သင့်ကို အကောင့်ထဲ ဝင်ခွင့်ပြုမှာ ဖြစ်ပါတယ်။
ဘယ်နေရာမှာမဆို၊ ဘယ် App နဲ့မဆို အဆင်ပြေပြေ အသုံးပြုနိုင်မှု
Yubikeyကို လုပ်ငန်းစု ကြီးတွေရဲ့လုံခြုံရေးအတွက်ပဲအဓိကထားအသုံးပြုခဲ့ကြပေမဲ့ အခုအခါမှာတော့ သာမန် အသုံးပြုသူတွေကြားမှာပါ အကြီးအကျယ် ခေတ်စားလာပါတယ်။ ပွင့်လင်းမြင်သာတဲ့စံနှုန်းတွေနဲ့ နည်းပညာမျိုးစုံကို ကိရိယာတစ်ခုတည်းမှာ ပေါင်းစပ်ပေးထားတာကြောင့် လက်ရှိမှာ နာမည်ကြီး Application ပေါင်း ၈၀၀ ကျော်နဲ့ ချိတ်ဆက်အသုံးပြုနိုင်နေပြီ ဖြစ်ပါတယ်။ Yubikey နဲ့ အသုံးပြုနိုင်တဲ့ နယ်ပယ်အချို့ကိုဖော်ပြပေး လိုက်ပါတယ်။
IAM Platforms: Okta, Duo and Microsoft Azure AD
Infrastructure: HSM, VPNs, SSH authentication and GitHub/GitLab
Workstations: Windows Hello, macOS and Linux (via PAM)
Developer Tools: Code Signing and Encrypted Communication
|
Category |
Supported Services |
|
Personal & Social |
Facebook, Instagram, X (Twitter), LinkedIn, and Gmail. |
|
Cloud & Email |
iCloud, Google Drive, Dropbox, ProtonMail, and Outlook. |
|
Password Managers |
1Password, Bitwarden, Dashlane, and Keeper. |
|
Commercial Banking |
Major Corporate Portals, Treasury Management Systems, and Business Banking Apps. |
|
Crypto & Finance |
Binance, Coinbase, Kraken, Gemini, and Digital Asset Exchanges. |
သင့်လုပ်ငန်းရဲ့ လုံခြုံရေး တကယ်ပဲ ခိုင်မာမှုရှိရဲ့လား?
ဥပမာ ဝန်ထမ်းဦးရေ ၅၀၀ ရှိတဲ့ ဘဏ်လုပ်ငန်း တစ်ခုဆိုကျပါဆို့၊ လုပ်ငန်းတစ်ခု ဘေးကင်းလုံခြုံဖိုဆိုရင် ဝန်ထမ်းပေါင်း ၅၀၀ လုံးက အချိန်တိုင်း၊ အခြေအနေတိုင်းမှာ မှန်ကန်တဲ့ ဆုံးဖြတ်ချက်တွေကိုပဲ ချမှတ်နိုင် ဖို့လိုအပ်ပါတယ်။ ဒါပေမဲ့ တကယ်တမ်းမှာတော့ တစ်ဦးတစ်ယောက်ရဲ့ မှားယွင်းတဲ့ ဆုံးဖြတ်ချက် တစ်ခုတည်း နဲ့ တင်သင့်ရဲ့စနစ်တစ်ခုလုံးကိုအဖောက်ထွင်းခံရဖို့လုံလောက်နေပါပြီ။
သင့်ရဲ့ဝန်ထမ်း ၅၀၀ လုံး တစ်ကြိမ်တစ်ခါလေးတောင် အမှားမလုပ်မိဖို့ သင် တကယ်ပဲယုံကြည် စိတ် ချနိုင်ပါသလား? ဘာကြောင့်လဲဆိုတော့ ကလစ် (Click) တစ်ချက်တည်းနဲ့တင် အရာအားလုံး ဆုံးရှုံးသွား နိုင်လို့ပါပဲ။
အဖွဲ့အစည်းအတော်များများဟာ အရေးကြီးတဲ့ Privileged Users (အခွင့်ထူးခံ အသုံးပြုသူများ) အတွက်ပဲ Security Key တွေကို ထုတ်ပေးပြီး လုံခြုံရေးကို တစ်စိတ်တစ်ပိုင်းပဲ လုပ်ဆောင်ထားတတ်ကြပါတယ်။ ဒါပေမဲ့ တကယ်တမ်းတော့ ဝန်ထမ်းတိုင်းကို Privileged User လို သတ်မှတ်ထားသင့်တာ မဟုတ်ဘူးလား?
နည်းပညာပိုင်းဆိုင်ရာ ၊ ကျွမ်းကျင်မှုမရှိတဲ့ ဝန်ထမ်းတွေအပေါ်မှာ လုံခြုံရေးဆိုင်ရာ ဆုံးဖြတ်ချက်တွေ ချခိုင်းပြီးဝန်ထုပ်ဝန်ပိုးဖြစ်စေတာဟာ တန်ဖိုးကြီးမားတဲ့ Data ပေါက်ကြားမှု့တွေနဲ့ဂုဏ်သိက္ခာကျဆင်းမှု့ တွေဆီကို ဦးတည်နေတဲ့ အန္တရာယ်တစ်ခုပဲ ဖြစ်ပါတယ်။
