Hotmail 유출 비밀번호의 흥미로운 통계

얼마전 10000여개의 hotmail 비밀번호 유출된 사건이 발생되었다. 이 유출된 비밀번호를 통계분석한 흥미로운 자료가 있다. 

- Statistics from 10,000 leaked Hotmail passwords
- Weak passwords dominate statistics for Hotmail's phishing scheme leak (ZDNET)

10028개 중에 비밀번호 없는 것을 제외한 9843개를 분석한 결과이다.
가장 많이 사용한 상위 20개의 비밀번호다.

인용:

1. 123456 - 64 2. 123456789 - 18 3. alejandra - 11 4. 111111 - 10 5. alberto - 9 6. tequiero - 9 7. alejandro - 9 8. 12345678 - 9 9. 1234567 - 8 10. estrella - 7 11. iloveyou - 7 12. daniel - 7 13. 000000 - 7 14. roberto - 7 15. 654321 - 6 16. bonita - 6 17. sebastian - 6 18. beatriz - 6 19. mariposa - 5 20. america - 5

123456이 무려 64개 ID이고, 그 뒤에 123456789, 12345678, 1234567, 000000, 654321 등 너무 단순한 숫자를 사용하는 유저들은 여전히 많다. 그리고, 뻔한 영문 이름, 영문단어를 비밀번호로 사용하는 경우도 여전하다.

비밀번호 길이는 대부분 6~9자리를 사용했으며, 이들이 70%정도는 차지했다. 그러나 1자리를 사용한 경우도 2건, 2자리도 4건이나 있었다.

인용:

6 chars - 1946 - 22 % 7 chars - 1254 - 14 % 8 chars - 1838 - 21 % 9 chars - 1091 - 12 %

복잡도를 살펴보자.

인용:

- 소문자가 사용한 비밀번호 : 42% - 대소문자 섞어 사용한 경우 : 3% - 숫자만 사용한 경우 : 19% <-- 정말 많다. - 영문자+숫자 : 30% - 영문자+숫자+특수문자 : 단 6%뿐

숫자만 사용한 경우가 무려 19%나 된다.

이런 흥미로운(?) 통계를 통해서

- 비밀번호 중요성에 대한 유저의 인식은 아직 부족하며,
- 인식 향상을 위한 방법을 강구할 필요가 있다.
- 다수가 이용하는 웹사이트는 회원 가입시 비밀번호 길이 제한과 복잡도 강화 등의 노력이 필요하다. (국내 대형 사이트들 이미 잘 하고 있습니다만, 복잡도 부분은 아직 미흡하다.)


비밀번호 이야기가 나와서 번외로 레인보우 테이블(rainbow table)에 대한 이야기를 했다.
미리 해싱해놓은 rainbow table을 이용하게 되면 윈도우 암호가 14자리더라도 몇 분내에 깰 수 있다.
rainbow table을 지원하는 툴로는 ophcrack, L0phtCrack 등이 있다.

※ 위 내용은 커피닉서끼리 10.8(목)에 했던 이야기를 정리한 것임.


출처 : http://coffeenix.net