다잇소


[IT/트랜드] [알쓸신보] –패스워드 안전한게 사용중이신가요? 패스워드편

2019.08.16
안녕하세요 이번에 알쓸신보를 작성하게 된 GSS사업부 박진성 사원입니다.

다들 패스워드 또는 암호라는 것을 하루에 한번 이상은 입력 하실 텐데 패스워드1)는 어떻게 사용하고 계신가요? 혹시 “Password”로 사용하고 있으시진 않으신가요?

 

tid141t000366_l

 

패스워드란?






1)  무언가에 접근 또는 통과할 수 있는 권한을 얻기 위해 제시해야 하는 미리 정해진 문자열 또는 숫자열

어떠한 패스워드가 안전한지 어떻게 하면 안전한 패스워드를 사용할 수 있을지 정리해 보았습니다.

패스워드는 문자열(숫자+영문자+특수문자)로 조합되기 때문에 경우의 수가 정해져 있습니다.

숫자(0-9), 소문자(26), 대문자(26) 등으로 조합되며 경우의 수 차이가 납니다.



























조건(10자리 패스워드) 경우의 수
숫자 10^8= 100,000,000
소문자 26^8= 208,827,064,576
대〮소문자 52^8= 53,459,728,531,456
대〮소문자+숫자 62^8= 218,340,105,584,896
대〮소문자+숫자+특수문자 72^8= 722,204,136,308,736

보안적 입장에 패스워드 해킹 공격에는 몇가지 방법이 있습니다.

무작위 대입공격(Brute force attack)2)을 통해서 위의 경우의 수만큼 입력하여 패스워드를 알아낼수 있습니다.






2)  무차별 대입 공격은 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미한다. 대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 대해 안전하지 못하며, 충분한 시간이 존재한다면 암호화된 정보를 해독할 수 있음

해당 사이트에서 패스워드 해독 시 걸리는 시간을 체크해 보았습니다.

사이트: https://howsecureismypassword.net/























패스워드 결과
숫자:32156000  패스워드_숫자
소문자:kbepdlxk  패스워드_소문자
대소문자: KBepdlxk  패스워드_대소문자
숫자+대+소문자+특수문자: KBep@1xk)  패스워드_특수문자

동일한 8자리 패스워드라도 경우 조합에 따라서 해독 시간이 늘어나는 것을 확인할 수 있습니다.

결과를 보면 8자리만 숫자로 이루어지면 1초도 되지 않아 풀리는 걸 볼수있으며, 문자조합을 할수록 해독시간이 증가하는 것을 알수 있습니다. 왜 특수문자까지 포함해서 패스워드를 만들어야 하는지 알 수 있는 결과라고 생각됩니다.

또한 사전공격(Dictionary attack)3)을 통해서 패스워드를 알아낼 수 있습니다.






3) 사전에 있는 단어를 입력하여 암호를 알아내거나 해독하는 컴퓨터 공격법이다. 암호를 알아내기 위한 공격은 사전의 단어를 순차적으로 입력하는 것이다. 충분한 시간이 존재한다면 암호화된 정보를 해독할 수 있음

예를 들면 2018 최악의 패스워드 등과 같이 참고할 수 있는 데이터를 이용하여 대입하는 방법입니다.
















































































1 123456
2 password 14 666666
3 123456789 15 abc123
4 12345678 16 football
5 12345 17 123123
6 111111 18 monkey
7 1234567 19 654321
8 sunshine 20 !@#$%^&*
9 qwerty 21 charlie
10 iloveyou 22 aa123456
11 princess 23 donald
12 admin 24 password1
13 welcome 25 qwerty123

https://www.ytn.co.kr/_ln/0104_201812181135064717

해당사이트는 노출된 패스워드를 모아서 만들 페이지로 패스워드 유출여부를 확인해주는 사이트입니다. (실제 패스워드는 입력하지 마세요!!)

사이트: https://haveibeenpwned.com/Passwords

패스워드_사전공격

<패스워드 유출여부확인>


그렇다면 보다 안전하게 패스워드를 사용하기 위해서는 어떻게 해야 될까요?

KISA에서 최근 발표한 “패스워드 선택 및 이용 안내서_2019”에서 안전한 패스워드 관리법에 대해서 알려주고 있습니다.

안전한 패스워드 생성 TIP

기억하기 쉬운 패스워드 설정 방법

  • 특정명칭을 선택하여 예측이 어렵도록 가공하여 패스워드 설정

  • 노래 제목이나 명언, 속담, 가훈 등을 이용〮가공하여 패스워드 설정


예측이 어려운 문자구성의 패스워드 설정 방법

  • 영문자(대+소문자), 숫자, 특수문자들을 혼합한 구성으로 패스워드 설정

  • 패스워드의 길이를 증가시키기 위해서는 알파벳 문자 앞뒤가 아닌 위치에 특수문자 및 숫자 등을 삽입하여 설정

  • 알파벳 대, 소문자를 구별할 수 있을 경우, 대, 소문자를 혼합하여 설정


사이트 별 상이한 패스워드 설정을 위한 방법

  • 자신의 기본 패스워드 문자열을 설정하고 사이트 별로 특정 규칙을 적용하여 패스워드 설정


IT 관련 이용자 및 관리자 측면의 경우 아래와 같은 것들이 있으니 참고 하시길 바랍니다.

이용자 측면

  • 초기 패스워드가 시스템에 의해 할당되는 경우, 이용자는 빠른 시간내에 해당 패스워드를 새로운 패스워드로 변경해야 합니다.

  • 패스워드 변경 시, 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 이전 패스워드와 연관성이 없어야 합니다.

  • 자신의 패스워드가 제3자에게 노출되지 않도록 해야 합니다.

  • 자신의 패스워드가 제3자에게 노출되었을 경우, 즉시 새로운 패스워드로 변경해야 합니다.

  • 여러 계정이나 시스템에서 동일한 패스워드를 사용하지 않도록 해야 합니다.


관리자 측면

  • 초기패스워드, 패스워드 분실 등의 이유로 이용자에게 제공하기 위해 생성된 패스워드는 최소 6자 이상이어야 하며 안전하게 생성된 난수 이어야 합니다

  • 패스워드를 최소 8자 이상으로 요구 해야 하며, 영문, 숫자, 특수 기호를 조합하여 사용할 수 있도록 허용해야 합니다.

  • 반복적으로 잘못된 패스워드를 입력할 경우, 입력 횟수를 제한하는 시스템을 구현해야 합니다.

  • 이용자가 패스워드를 변경하고자 할 때 관리자는 패스워드가 안전한지 확인하여 이용자에게 알리고 안전하지 않을 경우 다른 값을 요구하는 시스템을 구현해야 합니다.

  • 패스워드는 여러 번의 일방향 해시함수를 사용하고 패스워드와 함께 사용하는 솔트(Salt)는 안전하게 저장하여야 합니다.


패스워드 가이드

https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=436&queryString=cGFnZT00JnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0=
설정된 프로필 사진이 없습니다.
| Member
관심분야

TAG >
http://daitso.kbhub.co.kr/87241/ 주소복사
카테고리 레이어 닫기