Ysgol Reolaeth Gogledd Cymru

Diogelwch cyfrineiriau a systemau dilysu

Postiwyd ar: Tachwedd 10, 2021
gan
Person in a dark room on a laptop with a hologram showing a password login screen above

Wrth feddwl am gyfrineiriau cryf, y gamp yw creu rhywbeth cofiadwy ond eto heb fod yn amlwg. Ar ben hyn, mae cyfrineiriau unigryw fel arfer yn cynnwys cymysgedd o briflythrennau a llythrennau bach, rhifau a symbolau, sy’n helpu i wella cryfder y cyfrinair. Felly, mae’r siawns o gofio’r cyfrineiriau ar yr adeg y byddwch chi angen eu defnyddio, yn isel. Sawl gwaith ydych chi wedi gorfod ail osod eich cyfrinair ar ôl ceisio mewngofnodi amryw o weithiau gan i chi feddwl y byddech chi’n cofio ryw gyfrinair neilltuol, neu’n meddwl bod Google Password Manager wedi’i storio? Er bod meddwl am gyfrineiriau newydd a mwy cymhleth sy’n defnyddio nodau arbennig, yn unol â pholisi cyfrineiriau, yn ddigon i’ch gwylltio, mae’n hanfodol er mwyn diogelu eich cyfrifon a’ch gwybodaeth bersonol.

Gyda mwy o dor-diogelwch yn digwydd ar wefannau mawr a llwyfannau cyfryngau cymdeithasol, mae’n bwysig hefyd peidio ag ailddefnyddio cyfrineiriau er bod llawer ohonom yn gwneud hynny. Os ydych chi’n ailddefnyddio cyfrineiriau, y cyfan sydd ei angen yw un ymgais i we-rwydo pan fyddwch chi’n clicio’n ddiofal ar ddolen faleisus, a gallai eich holl gyfrifon ar-lein fod mewn perygl. Gallwch edrych ar wahanol wefannau i weld a yw’r cyfrinair rydych chi’n troi ati o hyd wedi’i datgelu mewn tor-ddiogelwch data (neu gallwch wirio cryfder unrhyw ddarpar gyfrinair newydd). Mewn gwirionedd, ni ddylech chi fyth ddefnyddio cyfrinair fwy nag unwaith. Mae cyfrinair sydd wedi’i dyblygu yr un peth â chyfrinair wan.

Mae cyfrinymadrodd yn gallu bod yn haws i’w gofio na chyfrinair, pan ddaw’n fater o ddilysu. Drwy feddwl am frawddeg sy’n gwneud synnwyr i chi, gallwch wneud eich cyfrinair yn fwy diogel a’r gobaith yw y byddwch yn gallu cofio’r frawddeg yn haws na chyfres o rifau, llythrennau a symbolau ar hap. Os mai dim ond i chi mae’r frawddeg yn gwneud synnwyr, mae hefyd yn diogelu’r cyfrinymadrodd rhag ymosodiadau brwnt. Dyma pan fydd hacwyr yn ceisio dyfalu eich gwybodaeth fewngofnodi drwy ddefnyddio dull cynnig a gwella. Ond os ydych chi’n gwybod eich bod chi’n defnyddio geiriau tebyg neu ymadroddion tebyg ar draws cyfrifon, yna gallai hyn olygu bod eich cyfrifon yn agored i ymosodiadau brwnt gan ddaw patrwm i’r amlwg os mai dim ond ychydig o wahaniaeth sydd rhwng y cyfrineiriau a’r cyfrinymadroddion. Cadwch bob cyfrinair a chyfrinymadrodd yn gwbl wahanol ac ystyriwch eu newid nhw’n weddol reolaidd.

Yna mae’r cwestiwn yn codi, “Sut i gadw trefn ar enwau defnyddiwr a chyfrineiriau?” Mae cadw trefn ar eich holl enwau defnyddiwr a’ch cyfrineiriau yn gallu bod yn rhywbeth mor syml â’u hysgrifennu mewn llyfr cofnod. Er hynny, ni ddylech chi fyth gario llyfr cofnod efo chi rhag ofn i chi ei golli a pheryglu i rywun dorri mewn i’ch holl gyfrifon. Mae’r rhan fwyaf o bobl yn derbyn bod rheolwyr cyfrineiriau ar-lein yn ffordd hawdd i fynd at eich manylion diogelwch unrhyw le, unrhyw bryd (dim ond i chi ofalu eich bod chi’n defnyddio cysylltiad di-wifr diogel).

Rydych chi wedi chwarae eich rhan i sicrhau bod gennych gyfrinair ddiogel ond sut mae’r amrywiol wefannau a llwyfannau yr ydych chi’n eu defnyddio yn creu prosesau dilysu sydd wedi’u diogelu?

Mae Transport Layer Security (TLS) yn olynydd i Secure Sockets Layer (SSL), sef protocol cryptograffig sydd yn diogelu’r cyfathrebu dros rwydwaith cyfrifiadurol. Caiff ei ddefnyddio’n bennaf mewn rhaglenni fel e-bost, negeseua cyflym, a Protocol Llais dros y Rhyngrwyd (VoIP) ond ei ddefnydd fel haen ddiogelwch yn HTTPS sydd amlycaf i’r cyhoedd. Dyma pan welwch chi’r eicon clo yn y porwr gwe pan fyddwch chi’n gwneud trafodion ariannol neu’n edrych ar ddeunydd cyfrinachol.

Mae amgryptio yn ddigon da i ddiogelu gwybodaeth a gaiff ei throsglwyddo rhwng porwr a gweinydd, ond mae chwalu (‘hashing’) yn ofyniad sylfaenol i storio cyfrineiriau cryf a diogel. Mae hyn yn creu’r hyn a elwir yn gyfrineiriau chwâl (‘hashed’) yn hytrach na chronfa ddata o gyfrineiriau sy’n storio’r cyfrineiriau eu hunain, all gael eu hacio. Mae cyfrineiriau sy’n cael eu cadw ar ffurf ddarllenadwy yn cael eu galw’n destun clir – yn amlwg, dyma’r fformat lleiaf diogel a dylid ei osgoi yn gyfan gwbl.

Beth yn union yw chwalu (‘hashing’)?

Mae proses ddilysu sy’n wirioneddol ddiogel ar gyfer cyfrif ar-lein yn gofyn am i gyfrinair gael ei chwalu. Pan fydd defnyddiwr yn teipio cyfrinair, bydd algorithm chwalu yn creu allbwn, sy’n cael ei alw’n ‘hash cyfrinair’. Mae’n hawdd i’r system ddilysu gwblhau’r ‘hash’ ond mae bron yn amhosibl i fynd yn ôl i’r mewnbwn gwreiddiol o wybod y gwerth ‘hash’ yn unig. Ni allwch chi greu mewnbwn cychwynnol efo’r nod o gyflawni allbwn penodol. Dyma ble mae chwalu’n wahanol i amgryptio, ac yn fwy diogel nag amgryptio, gan mai mecanwaith unffordd ydyw.

Nid oes posib dad-chwalu cyfrineiriau sydd wedi’u chwalu, ond mae posib troi data sydd wedi’i amgryptio yn ôl i ddata heb ei amgryptio. Mae Algorithmau Hash Diogel (SHA) yn algorithmau chwalu sy’n cael eu defnyddio’n gyffredin, fel SHA-256 sef algorithm cloddio protocol Prydain.

Pam bod cofrestru untro (SSO) yn boblogaidd?

Mae cofrestru untro (SSO) yn broses ddilysu sy’n rhoi  profiad didrafferth i’r defnyddiwr gan fod llai o amser yn cael ei dreulio yn rhoi cyfrineiriau i mewn dro ar ôl tro i’r un defnyddiwr. Mae SSO yn golygu bod apiau yn gallu gweithio efo PayPal er enghraifft. Pan gaiff SSO ei greu rhwng amryw o ddarparwyr hunaniaeth gwahanol, caiff ei alw’n ffederasiwn.

Er bod SSO wedi cael ei fychanu dros y blynyddoedd, ar y cyfan, mae gweithredu SSO ar sail protocolau ffederasiwn yn gwella diogelwch, dibynadwyedd, gweithredu a phrofiadau i’r defnyddiwr yn y pendraw.

Beth yw dilysu aml-ffactor (MFA)?

Mae dilysu aml-ffactor (MFA) yn golygu y bydd hacwyr yn dal i wynebu rhwystrau i fynd i mewn i gyfrif, er bod ganddynt eich cyfrineiriau.

Mae’r protocol dilysu ar gyfer MFA yn gofyn am gyflwyno dau ddarn o dystiolaeth, neu fwy. Gallai hyn fod yn rhywbeth y mae’r defnyddiwr yn unig yn ei wybod (gwybodaeth), yn rhywbeth sydd gan y defnyddiwr yn unig (eiddo), neu’n rhywbeth sy’n nodweddu’r defnyddiwr yn unig (yn gynhenid).

Mae MFA yn broses ddilysu dau ffactor, ble mae angen cadarnhau ail ffactor. Fel arfer, daw hyn ar ffurf anfon cod untro a gynhyrchir ar hap (OTP) i ffôn symudol neu gyfrif e-bost, yn dibynnu ar beth yw eich prif ddyfais. Dim ond am gyfnod byr wedyn y gallwch ddefnyddio’r cod. Caiff hyn ei ddefnyddio’n gyffredin mewn gwasanaethau ariannol ochr yn ochr ag offer dilysu fel darllenwyr cardiau.

Pa brotocolau dilysu mae Microsoft ac Apple yn eu defnyddio?

Mae biometreg yn cael ei defnyddio mwy a mwy fel dulliau dilysu wrth reoli mynediad, gan gynnwys defnyddio olion bysedd, adnabod iris, adnabod llais, a chyflymder teipio hyd yn oed. Mae nodweddion dyfeisiau fel Macbooks ac iPhones wedi’u diweddaru dros y blynyddoedd diwethaf i adnabod cyffyrddiad ac adnabod wyneb fel bod defnyddwyr yn gallu mynd i mewn i’r dyfeisiau hyn yn gyflymach heb orfod teipio cyfrinair.

Yn ddiweddar, mae Microsoft wedi cael gwared ar yr angen am gyfrinair i fewngofnodi i’w apiau a’i wasanaethau. Yn hytrach, mae ap dilysu o’r enw Windows Hello yn darparu dyfais datgloi aml-ffactor sy’n defnyddio cyfuniad o rif adnabod personol (PIN) ac adnabod wyneb neu olion bysedd. Gall hefyd ddefnyddio yr hyn a elwir yn “signal dibynadwy” fel ail ffactor datgloi drwy ddilysu eich cysylltiad Bluetooth, ffurfweddiad IP, neu WiFi.

Gyrfaoedd mewn seiberddiogelwch

Mae ein bywydau wedi mynd yn ddibynnol dros ben ar ein cysylltiad ar-lein ar gyfer gwaith, teulu a’r byd ehangach. Gyda hynny, mae ein hangen am seiberddiogelwch a dulliau dilysu sydd amryw o gamau o flaen hacwyr wedi dod yn fwy o bryder.

Bydd cwrs MBA mewn Seiberddiogelwch o Ysgol Reolaeth Gogledd Cymru yn rhoi’r holl wybodaeth ddiweddaraf i chi am gryptograffeg, ac yn eich helpu chi i gadw ar flaen y gad o ran rheoli mynediad. Darllenwch fwy am wneud cais nawr i ddiogelu dyfodol eich gyrfa.