'소문자'에 해당되는 글 2건

  1. 2011.08.16 해커들도 울고 갈 나만의 비밀번호 조합 비법
  2. 2009.10.14 Hotmail 유출 비밀번호의 흥미로운 통계
2011. 8. 16. 19:46

해커들도 울고 갈 나만의 비밀번호 조합 비법

싸이월드·네이트 이용자 3500만 명의 개인정보가 유출된 사고 이후 사이트마다 일제히 비밀번호 변경을 권유하고 있다. 하지만 수십 개 사이트의 비밀번호를 모두 바꾸는 건 쉽지 않은 일이다. 게다가 단순하고 짧은 비밀번호는 해킹당하기 쉬우니 복잡하고 길게 만들어야 한단다. 문제는 그렇게 만들 경우 외우기가 쉽지 않다는 것. 사이트마다 비밀번호를 다르게 지어야 하는 것도 부담스럽다. 좋은 방법이 없을까? 보안 전문가들로부터 쉽고 안전한 비밀번호 만드는 법을 물어봤다.


◆8자리 이상, 나만의 규칙 적용해야=해커들이 비밀번호를 찾아내는 가장 고전적 수법은 전용 프로그램을 활용해 조합 가능한 경우의 수를 모두 대입하는 것이다.

 영국 보안 전문 사이트 ‘록다운’에 따르면 영어 알파벳 대문자나 소문자만으로 만든 6자리 비밀번호는 듀얼 코어 프로세서 탑재 PC 한 대로 30초 만에 알아낼 수 있다. 8자리도 5~6시간이면 풀린다. 해독 시간이 가장 짧은 건 숫자만으로 된 비밀번호. 8자리라도 단 10초면 찾을 수 있다. 하지만 영어 대문자+소문자+숫자+특수문자를 섞어 만든 8자리 비밀번호는 푸는 데 23년이 걸린다. 전문가들이 “영어 대문자와 소문자, 숫자, 특수문자를 모두 포함한 비밀번호가 가장 안전하다”고 강조하는 이유다. 한국인터넷진흥원(KISA)은 영어 대·소문자와 숫자만으로 만든 비밀번호라면 10자리, 특수문자를 포함한 경우엔 8자리 정도면 안전하다고 본다.

 하지만 현재 싸이월드는 비밀번호의 영어 대·소문자를 시스템에서 구별하지 못하는 상황. 이에 대해 싸이월드 측은 “가입자가 2500만 명이나 되다 보니 초기 설정된 시스템을 바꾸기 어려웠다. 현재 시스템을 개선하는 중”이라고 밝혔다. 한편 네이버는 6~16자리, 다음은 6~32자리의 영어 대·소문자+숫자+특수문자를 포함한 비밀번호를 입력하도록 하고 있다.

 전인경 책임연구원은 “소규모 사이트나 오래된 사이트 중에는 비밀번호의 영어 대소문자를 구분하지 못하거나, 특수문자 입력이 불가능한 곳도 있다”며 “비밀번호의 안전성을 위해 각 업체들이 관련 시스템을 하루빨리 개선할 필요가 있다”고 말했다.

 ◆좋아하는 문장 머리글자 이용하라=8~10자리 ‘문자+숫자’ 비밀번호라도 해커들이 쉽게 추측할 수 있는 조합이라면 안전을 장담할 수 없다. 우선 이름이나 직장·주소·생일을 활용한 비밀번호는 금물이다. 해커들은 특정인을 공격할 때 그의 직장·생일·가족·회사 같은 신상정보부터 모은 뒤 이를 응용해 비밀번호 해독을 시도한다. 실제로 미국 전 대통령 후보 세라 페일린의 e-메일이 해킹당했을 때, 해커들은 그녀의 생일과 우편번호를 이용해 비밀번호를 풀었다고 한다.

 비교적 안전한 방법은 전혀 의미 없는 단어들끼리 연결하거나 특정 문장의 첫 글자만 따는 것이다. 이를 영어 자판으로 바꾼 뒤 일정 규칙을 정해 대소문자를 바꿔주거나 특수 문자를 끼워 넣는다. 여기에 각 사이트의 특징을 담은 문자나 숫자를 추가하면 외우기 좋다. 가령 ‘실패는 성공의 어머니’라는 문장의 맨 첫 글자 ‘실성어’를 영문자판으로 바꿔 입력하면 ‘tlftjddj’가 된다. 여기에 첫 번째 문자를 대문자로 바꿔주고 숫자도 넣는다. 이렇게 만든 비밀번호가 Tlftjddj4라 치자. 그 다음 각 사이트의 특징을 추가하는 것이다. 가량 네이버에 가입할 때는 tlftjddj4-nv로, 교보문고 사이트에 가입할 때는 Tlftjddj4-kb로 하는 식이다.

 잉카인터넷 문종현 인터넷대응팀장은 “모든 사이트의 비밀번호를 다르게 하면 외우기 힘드니 나만의 규칙을 정하는 게 좋다”고 말했다.

박혜민 기자 

출처 : joongang.joinsmsn.com

Trackback 0 Comment 0
2009. 10. 14. 10:08

Hotmail 유출 비밀번호의 흥미로운 통계

얼마전 10000여개의 hotmail 비밀번호 유출된 사건이 발생되었다. 이 유출된 비밀번호를 통계분석한 흥미로운 자료가 있다. 

-
Statistics from 10,000 leaked Hotmail passwords
- Weak passwords dominate statistics for Hotmail's phishing scheme leak (ZDNET)

10028개 중에 비밀번호 없는 것을 제외한 9843개를 분석한 결과이다.
가장 많이 사용한 상위 20개의 비밀번호다.

인용:

1. 123456 - 64
2. 123456789 - 18
3. alejandra - 11
4. 111111 - 10
5. alberto - 9
6. tequiero - 9
7. alejandro - 9
8. 12345678 - 9
9. 1234567 - 8
10. estrella - 7
11. iloveyou - 7
12. daniel - 7
13. 000000 - 7
14. roberto - 7
15. 654321 - 6
16. bonita - 6
17. sebastian - 6
18. beatriz - 6
19. mariposa - 5
20. america - 5
123456이 무려 64개 ID이고, 그 뒤에 123456789, 12345678, 1234567, 000000, 654321 등 너무 단순한 숫자를 사용하는 유저들은 여전히 많다. 그리고, 뻔한 영문 이름, 영문단어를 비밀번호로 사용하는 경우도 여전하다.

비밀번호 길이는 대부분 6~9자리를 사용했으며, 이들이 70%정도는 차지했다. 그러나 1자리를 사용한 경우도 2건, 2자리도 4건이나 있었다.

인용:

6 chars - 1946 - 22 %
7 chars - 1254 - 14 %
8 chars - 1838 - 21 %
9 chars - 1091 - 12 %
복잡도를 살펴보자.

인용:

- 소문자가 사용한 비밀번호 : 42%
- 대소문자 섞어 사용한 경우 : 3%
- 숫자만 사용한 경우 : 19% <-- 정말 많다.
- 영문자+숫자 : 30%
- 영문자+숫자+특수문자 : 단 6%뿐
숫자만 사용한 경우가 무려 19%나 된다.

이런 흥미로운(?) 통계를 통해서

- 비밀번호 중요성에 대한 유저의 인식은 아직 부족하며,
- 인식 향상을 위한 방법을 강구할 필요가 있다.
- 다수가 이용하는 웹사이트는 회원 가입시 비밀번호 길이 제한과 복잡도 강화 등의 노력이 필요하다. (국내 대형 사이트들 이미 잘 하고 있습니다만, 복잡도 부분은 아직 미흡하다.)


비밀번호 이야기가 나와서 번외로 레인보우 테이블(rainbow table)에 대한 이야기를 했다.
미리 해싱해놓은 rainbow table을 이용하게 되면 윈도우 암호가 14자리더라도 몇 분내에 깰 수 있다.
rainbow table을 지원하는 툴로는 ophcrack, L0phtCrack 등이 있다.

※ 위 내용은 커피닉서끼리 10.8(목)에 했던 이야기를 정리한 것임.


출처 : http://coffeenix.net

Trackback 0 Comment 0