'12345'는 정말 나쁘다: 비밀번호 보안에 대한 궁극적인 가이드

게시 됨: 2022-01-29

암호를 저장하고 사용하는 유일한 안전한 방법은 암호 관리자에 의존하는 것이라는 점을 거듭 말씀드리지만 여러분 중 일부는 귀를 기울이지 않습니다. 비밀번호에 대한 PCMag 설문조사에서 비밀번호 관리자를 사용한다고 답한 사람은 24%에 불과했습니다. 나머지 사람들은 무엇을 하고 있습니까? 비밀번호 또는 12345678과 같은 쉬운 비밀번호를 사용하시겠습니까? 하나의 복잡한 비밀번호를 기억하고 모든 곳에서 사용하고 계십니까? 들어보세요. 비밀번호 보안을 관리하는 것은 작은 문제가 아닙니다. 그러나 7억 7,300 개의 해킹된 이메일 주소가 노출된 최근 Collection #1 침해에서 볼 수 있듯이 엄청난 규모의 위험을 감안할 때 비밀번호를 유지하기 위해 할 수 있는 모든 조치를 취해야 합니다. 안전한.

최고의 암호 관리자를 사용한다고 해도 계정의 안전을 보장할 수는 없습니다. 암호 관리자를 사용하여 오래되고 지겨운 암호를 기억하는 것은 아닙니다. 참호 속으로 들어가 나쁜 비밀번호를 새롭고 더 강력한 비밀번호로 바꿔야 합니다.

위에서 언급한 설문 조사에 따르면 PCMag 독자의 35%는 보안 침해로 인해 강제로 변경되지 않는 한 비밀번호를 변경하지 않는 것으로 나타났습니다. 일반적으로 그렇게 나쁜 것은 아닙니다. National Institute of Standards and Technology는 더 이상 90일마다 암호를 변경하도록 권장하지 않습니다. NIST는 이제 "Correct-Horse-Battery-Staple"과 같은 긴 암호를 사용하고 필요할 때만 변경할 것을 권장합니다. 그러나 끔찍한 암호를 사용하는 경우 "필요할 때"는 바로 지금 을 의미합니다.

나쁜 암호를 만드는 것은 무엇입니까? 우리는 끔찍한 암호의 몇 가지 속성을 살펴본 다음 올바른 방법으로 암호를 사용하는 방법에 대한 몇 가지 지침을 제공할 것입니다.

사전에서 벗어나십시오

몇 달에 한 번씩 뉴스 매체나 다른 매체에서 최악의 비밀번호 목록을 게시합니다. 123456 및 12345678 및 qwerty와 같이 입력하기 쉬운 옵션이 많이 있습니다. 당신을 위해 쉬운? 확신하는. 그러나 해커도 쉽게 깰 수 있습니다. 다른 일반적인(그리고 형편없는) 암호는 간단한 사전 단어로 구성됩니다. 우리는 최악의 비밀번호 목록에서 야구, 원숭이, 스타워즈를 보았습니다. 이것들도 깨지기 쉽습니다.

잘못된 비밀번호

일부 보안 웹사이트는 잘못된 암호 시도 횟수를 설정한 후 잠기지만 대부분은 그렇지 않습니다. 악의적인 잠금 기능이 없는 사용자의 경우 해커는 이메일 주소 목록과 인기 있는 비밀번호 목록을 교차하고 자동화된 프로세스를 설정하여 들어갈 때까지 조합을 계속 시도할 수 있습니다.

적절하게 보호된 웹사이트는 비밀번호를 어디에도 저장하지 않습니다. 대신 일종의 단방향 암호화인 해싱 알고리즘을 통해 암호를 실행합니다. 동일한 입력은 항상 동일한 출력을 생성하지만 결과 해시에서 원래 암호로 돌아갈 방법이 없습니다. 입력한 비밀번호가 저장된 것과 동일한 값으로 해시되면 액세스할 수 있습니다. 해커가 사이트의 사용자 데이터를 캡처하더라도 암호를 얻지 않고 해시만 얻습니다.

그러나 영리한 해커는 사이트에서 사용된 해싱 기능을 알고 있으면 해싱된 경우에도 취약한 비밀번호를 해독할 수 있습니다. 그들은 해싱 기능을 통해 공통 암호의 거대한 사전을 실행하는 것으로 시작합니다. 그런 다음 캡처된 데이터에서 결과 해시를 찾습니다. 각 경기는 암호가 해독됩니다. 최고의 보안을 갖춘 사이트는 이러한 종류의 테이블 기반 크래킹을 불가능하게 만드는 솔팅(salting)이라는 기술로 해시 기능을 강화하지만 왜 위험을 감수해야 할까요? 사전에서 벗어나십시오.

다른 생각

한 친구가 완벽한 비밀번호 1qaz2wsx3edc4rfv를 알려준 적이 있습니다. 그녀는 키보드의 4개의 비스듬한 열 아래로 손가락을 밀어서 "입력"할 수 있었습니다. 너무 완벽해서 어디에서나 사용했습니다. 그리고 그것은 큰 실수였습니다.

수천 또는 수백만 개의 사용자 이름과 암호가 노출되는 일부 회사 또는 웹 사이트의 침해 소식 없이 일주일이 거의 지나지 않습니다. 똑똑한 피해자는 즉시 비밀번호를 변경합니다. 문제를 무시하는 사람들은 해커가 비밀번호를 재설정한 후 자신의 계정이 잠길 수 있습니다.

보안감시

그 해커들은 너무 많은 사람들이 비밀번호를 재활용한다는 것을 알고 있습니다. 작동하는 사용자 이름과 암호 쌍을 찾으면 다른 사이트에서 동일한 자격 증명을 시도합니다. Club Penguin 계정에 대한 액세스 권한을 잃을까 그렇게 걱정하지 않을 수도 있지만 은행 웹사이트에서 동일한 로그인을 사용했다면 큰 문제가 발생했습니다.

더 나빠진다. 다른 사람이 귀하의 이메일 계정을 제어하는 ​​경우 먼저 비밀번호를 변경하여 귀하를 잠글 수 있습니다. 그런 다음 비밀번호 재설정 링크를 해당 계정으로 이메일로 전송하여 다른 계정에 침입할 수 있습니다. 아직 걱정이신가요?

개인 정보를 얻지 마십시오

개인 정보를 비밀번호의 기초로 사용하는 것은 매우 유혹적이지만 나쁜 생각입니다. 해커가 무차별 대입 공격에 사용하는 사전에 개의 이름이 나타날 가능성이 높습니다. 가족 구성원의 이니셜 및 생년월일과 같은 다른 가능성은 무차별 대입 공격에 빠지지 않을 것이지만 누군가가 귀하의 계정을 구체적으로 해킹하려는 경우 해당 개인 데이터가 시행착오 추측 공격을 촉발할 수 있습니다.

귀하의 개인 정보가 비공개라고 잠시 생각하지 마십시오. 주소, 생년월일, 결혼 여부 등 모든 사람에 대한 세부 정보를 찾는 데 사용할 수 있는 수십 개의 사이트가 있습니다. 소셜 미디어 게시물은 특히 계정을 제대로 보호하지 않은 경우 개인 정보의 또 다른 출처가 될 수 있습니다. 단호한 해커(또는 코가 많은 이웃)는 자신의 데이터를 기반으로 구축한 모든 비밀번호를 추측할 수 있습니다.

뒷문 닫기

암호 관리자를 사용하지 않는 경우 사이트의 암호를 잊어버린 경험이 있을 것입니다. 너무 일반적이어서 거의 모든 로그인 페이지에 "비밀번호를 잊어버렸습니까?"가 포함되어 있습니다. 링크. 일부 사이트에서는 이메일 주소로 재설정 링크를 보내고 다른 사이트에서는 보안 질문에 답한 후 비밀번호를 재설정할 수 있습니다. 그러면 계정을 해킹하려는 사람에게 백도어가 열립니다.

보안 질문 및 답변

대부분의 사이트는 보안 질문에 대해 최악의 옵션을 제공합니다. 어머니의 결혼 전 이름은 무엇입니까? 너는 고등학교 어디서 다녔 니? 첫 직장은 무엇이었나요? 언급한 바와 같이, 귀하의 개인 생활은 인터넷 검색 기술을 가진 누구에게나 공개된 책입니다. 가능하면 미리 설정된 질문을 무시하십시오. 항상 기억할 수 있지만 누구도 추측할 수 없는 고유한 답변으로 질문을 작성하십시오.

사이트에서 자신의 질문을 정의할 수 없으면 더 어렵습니다. 이 경우 가장 좋은 방법은 완전히 거짓말인 기억에 남는 답변을 사용하는 것입니다. 어머니의 결혼 전 이름은 오바마입니다. 나는 공산주의 순교자 고등학교에 다녔습니다. 첫 직장에서 나는 사자 조련사였습니다. 어떤 거짓말을 선택했는지 잊어버릴 수 있으므로 위험 요소가 있습니다. 이 이상한 답변을 암호 관리자에 보안 메모로 저장하는 것이 좋습니다. 하지만 암호 관리자를 사용하는 경우 암호를 기억했을 것입니다.

지금 해야 할 일

개인 정보에서 비밀번호를 구축하는 것과 같이 일반 비밀번호를 사용하는 것은 잘못된 생각이라는 것을 확신하셨기를 바랍니다. 그리고 아무리 강력하고 임의의 비밀번호라도 모든 곳에서 사용하면 문제가 됩니다. 조치를 취할 준비가 되었다면 다음과 같은 몇 가지 시작점이 있습니다.

  • 암호 관리자를 사용하십시오.
  • 더 나은 암호 관리자로 전환하십시오.
  • 암호 관리자를 위한 엄청나게 안전한 마스터 암호를 기억하십시오.
  • 임의의 암호 생성기를 활용하여 오래된 잘못된 암호를 업그레이드하십시오.
  • Excel에서 자신만의 임의 암호 생성기를 만들 수도 있습니다.
  • 가능한 경우 이중 인증을 활성화하십시오.

보안 사이트에서 보안을 관리하지 않는 경우 데이터 유출로 인해 해당 사이트의 자격 증명을 잃을 수 있지만 모든 암호를 길고 강력하고 고유하게 만들면 온라인 계정을 보호하기 위해 최선을 다한 것입니다.

그리고 이봐! 이제 보안 측면에서 가상 사설망 또는 VPN을 추가하는 것을 고려하십시오. 안전한 사이트에 강력한 암호를 사용하면 다른 사람이 귀하의 계정에 침입할 수 없습니다. VPN을 추가하면 누군가가 해당 보안 사이트에 대한 귀하의 연결을 가로챌 가능성이 없습니다.