최근 비밀번호 유출 사건이 잇따르고 있으며 컴퓨터의 성능 향상으로 무차별 대입공격을 의한 위험도 높아지고 있습니다. 그래서 '안전한 비밀번호는 무엇인가? 어떻게 하면 비밀번호의 안전성을 유지할 수 있을까?'라는 의문에 대해 호주의 에디스코완대학교의 연구진이 설명하고 있습니다.
A computer can guess more than 100,000,000,000 passwords per second. Still think yours is secure?
https://theconversation.com/a-computer-can-guess-more-than-100-000-000-000-passwords-per-second-still-think-yours-is-secure-144418
A computer can guess more than 100,000,000,000 passwords per second. Still think yours is secure?
One website dedicated to tracking stolen passwords suggests there are details of currently more than 10 billion compromised accounts available online.
theconversation.com
◆ 비밀번호는 길수록 안전?
IT 분야에서 비밀번호가 사용되게 된 것은 1960년대의 일이지만, 현대에서는 ATM에서 입력하는 PIN코드나 웹사이트의 로그인까지 삶의 모든 장소에서 비밀번호를 사용하고 있습니다. 비교적 최근까지 비밀번호라고 하면 6~8자리의 문자 단어 또는 구가 일반적이었지만, 최근에는 최소 비밀번호 길이가 길어지는 경향이 있습니다. 그 이유는 '비밀번호 엔트로피'를 증가시키기 위해서라고 합니다.
비밀번호 엔트로피는 비밀번호의 '예측 가능성'을 나타내는 척도입니다. 아래의 표를 보면 비밀번호 길이 및 사용할 수 있는 문자의 수가 많을수록 후보가 되는 비밀번호의 수가 증가하고 예측하기 어렵게 된다는 것을 알 수 있습니다.
그러나 단순히 '비밀번호 문자열을 길게 하면 안전하다'고 생각할 수 없다고 연구진은 지적합니다. "비밀번호 복잡성에 의존하는 것의 문제점은, 컴퓨터가 비밀번호 추측을 포함한 반복 작업을 매우 효율적으로 수행할 수 있다는 점입니다"고 연구자가 지적하며, 비밀번호가 복잡해도 무차별 대입공격으로 돌파될 위험이 남아있다고 합니다.
2019년의 기록으로는, 컴퓨터가 초당 1000억 개 이상의 속도로 비밀번호를 시도할 수 있었다고 하며, 범죄자는 컴퓨터를 사용하여 쉽게 무차별 대입공격을 시도할 수 있습니다. 또한, 현대의 클라우드 기반 컴퓨팅을 사용하면 8자의 비밀번호를 돌파하는 데 필요한 시간은 불과 12분, 비용은 단돈 25달러라는 합니다. 비밀번호는 기밀 데이터 및 중요 시스템에 액세스하는 데 사용되기 때문에 범죄자가 적극적으로 무차별 대입공격을 시도할 동기가 있다고 할 수 있습니다.
◆ 비밀번호는 어떻게 저장되어 있는가?
일반적으로 비밀번호는 해시 함수라는 수학적 알고리즘을 사용하여 다른 값으로 변환(해시)되어 저장되며, 해시값으로 본래의 비밀번호를 유추할 수 없습니다. 예를 들어 'Pa$$w0rd'라는 비밀번호를 SHA-1이라는 해시 함수로 해시하면 '02726d40f378e716981c4321d60ba3a325ed6a4c'입니다. 사용자가 로그인할 때 입력한 비밀번호가 해시되어 저장된 값과 일치합니다.
그러나 특정 해시 함수로 해시된 값에 해당하는 비밀번호를 게재하는 웹사이트도 존재하고, 위의 '02726d40f378e716981c4321d60ba3a325ed6a4c'로 검색하면 해당 'Pa$$w0rd'라는 비밀번호가 드러나 버립니다.
또한 비밀번호를 판매하는 온라인 시장도 범죄자들로부터 인기를 끌고 있으며, 메일 주소가 사용자 이름과 세트로 판매되는 경우도 있다고 합니다. 비밀번호 자체가 누설된다면 비밀번호의 길이는 보안상 무의미해집니다.
◆ 어떻게 보안을 유지하면 좋을까
연구진은 브라우저의 비밀번호 저장 기능을 이용하거나 비밀번호 관리자를 이용하는 것을 제안하고 있습니다. 비밀번호 관리자를 사용하면 하나의 마스터 비밀번호로 여러 웹사이트의 비밀번호를 관리할 수 있어서 길고 복잡한 비밀번호를 사용하는 데 유용합니다.
최근에는 비밀번호에만 의지하지 않고 2단계인증을 채용하는 움직임도 진행되고 있습니다. 2단계인증을 사용하면 비밀번호가 유출되어도 심각한 피해를 막을 수 있기 때문에 보안을 한차원 향상시킬 수 있습니다.
'IT' 카테고리의 다른 글
| 검색 순위가 점차 떨어지고 있는 게시물을 업데이트하면 검색 순위가 상승! ? (0) | 2020.09.19 |
|---|---|
| 검색 엔진에 등록될 때까지의 기간 (0) | 2020.09.19 |
| 비행기의 탑승권이 찍힌 사진에서 개인정보를 빼내기까지의 기록...호주 전 총리의 경우 (0) | 2020.09.18 |
| 비디오 포맷 'HEVC'의 주의점 (0) | 2020.09.17 |
| '양자컴퓨터의 로드맵'을 IBM이 공개...2023년에는 1000큐비트에 도달할 계획 (0) | 2020.09.16 |
| [Android] 접근성 설정이 멋대로 OFF가 되는 원인 (0) | 2020.09.16 |
| Microsoft 및 Amazon도 채용하고 있는 회로 구조를 변경할 수 있는 'FPGA'는 어떻게 설계되어 있을까 (0) | 2020.09.16 |
| 사기꾼이 Facebook 광고를 이용하여 보안에 민감한 사람에게서 약 500만 원을 가로챈 수법이란? (0) | 2020.09.15 |
