폴 하스켈-돌 란드, 저자 제공

암호는 수천 년 동안 다른 사람에게 자신을 식별하는 수단으로 사용되었으며 최근에는 컴퓨터에 대해서도 사용되었습니다. 이것은 단순한 개념입니다. 정보를 공유하고 개인간에 비밀을 유지하며 신원을 "증명"하는 데 사용됩니다.

IT 컨텍스트의 암호 1960 년대에 등장 과 메인 프레임 컴퓨터 – 사용자 액세스를위한 원격 "터미널"이있는 중앙 집중식 대형 컴퓨터. 이제 ATM에 입력하는 PIN부터 컴퓨터 및 다양한 웹 사이트 로그인에 이르기까지 모든 것에 사용됩니다.

그러나 우리가 액세스하는 시스템에 대해 우리의 신원을 "증명"해야하는 이유는 무엇입니까? 그리고 암호를 올바르게 설정하기 어려운 이유는 무엇입니까?

좋은 암호는 무엇입니까?

비교적 최근까지 좋은 암호는 XNUMX-XNUMX 자 정도의 단어 나 구문이었습니다. 그러나 이제 최소 길이 지침이 있습니다. 이것은“엔트로피”때문입니다.

암호에 대해 이야기 할 때 엔트로피는 예측 가능성 측정. 이것의이면에있는 수학은 복잡하지 않지만 더 간단한 측정으로 조사해 봅시다 : 가능한 암호의 수 (때로는 "암호 공간"이라고도 함).

한 문자 암호에 소문자가 하나만 포함 된 경우 가능한 암호는 26 개 ( "a"~ "z")뿐입니다. 대문자를 포함하여 암호 공간을 52 개의 잠재적 암호로 늘립니다.

암호 공간은 길이가 늘어나고 다른 문자 유형이 추가됨에 따라 계속 확장됩니다.

암호를 더 길거나 복잡하게 만들면 잠재적 인 '암호 공간'이 크게 늘어납니다. 더 많은 암호 공간은 더 안전한 암호를 의미합니다.

위의 그림을 보면 대문자와 소문자, 숫자 및 기호가 포함 된 긴 암호를 사용하도록 권장되는 이유를 쉽게 이해할 수 있습니다. 암호가 복잡할수록 추측하는 데 더 많은 시도가 필요합니다.

그러나 암호 복잡성에 따른 문제는 컴퓨터가 암호 추측을 포함한 반복 작업에서 매우 효율적이라는 것입니다.

작년에 기록이 설정되었습니다 생각할 수있는 모든 암호를 생성하려는 컴퓨터를 위해. 초당 100,000,000,000 개의 추측보다 빠른 속도를 달성했습니다.

이 컴퓨팅 능력을 활용함으로써 사이버 범죄자는 다음과 같은 프로세스에서 가능한 한 많은 암호 조합으로 시스템을 공격하여 시스템을 해킹 할 수 있습니다. 무차별 대입 공격.

또한 클라우드 기반 기술을 사용하면 12 분 만에 25 자 암호를 추측 할 수 있으며 비용은 XNUMX 달러에 불과합니다.

또한 암호는 거의 항상 민감한 데이터 또는 중요한 시스템에 대한 액세스를 제공하는 데 사용되기 때문에 사이버 범죄자가 적극적으로 암호를 찾도록 동기를 부여합니다. 또한 일부는 이메일 주소 및 / 또는 사용자 이름과 함께 제공되는 암호를 판매하는 수익성있는 온라인 시장을 유도합니다.

단 AU $ 600에 온라인에서 거의 14 억 개의 비밀번호를 구매할 수 있습니다!

암호는 웹 사이트에 어떻게 저장됩니까?

웹 사이트 비밀번호는 일반적으로 다음과 같은 수학적 알고리즘을 사용하여 보호 된 방식으로 저장됩니다. 해싱. 해시 된 암호는 인식 할 수 없으며 암호로 되돌릴 수 없습니다 (돌이킬 수없는 프로세스).

로그인을 시도 할 때 입력 한 비밀번호는 동일한 프로세스를 사용하여 해시되고 사이트에 저장된 버전과 비교됩니다. 이 프로세스는 로그인 할 때마다 반복됩니다.

예를 들어 암호 "Pa $$ w0rd"에는 SHA02726 해싱 알고리즘을 사용하여 계산할 때 "40d378f716981e4321c60d3ba325a6ed4a1c"값이 지정됩니다. 시도 해봐 당신 자신.

해시 된 암호로 가득 찬 파일에 직면하면 무차별 대입 공격을 사용하여 다양한 암호 길이에 대해 모든 문자 조합을 시도 할 수 있습니다. 이것은 (계산 된) 해시 된 값과 함께 일반적인 암호를 나열하는 웹 사이트가있는 일반적인 관행이되었습니다. 해시를 검색하여 해당 암호를 표시 할 수 있습니다.

암호 목록의 도난 및 판매는 이제 매우 일반적입니다. 전용 웹 사이트 - haveibeenpwned.com — 사용자가 자신의 계정이 "실제"상태인지 확인하는 데 도움이됩니다. 여기에는 10 억 개 이상의 계정 정보가 포함됩니다.

귀하의 이메일 주소가이 사이트에 나열되어있는 경우 감지 된 비밀번호는 물론 동일한 자격 증명을 사용하는 다른 사이트에서도 반드시 변경해야합니다.

더 많은 복잡성이 해결책입니까?

매일 발생하는 수많은 비밀번호 침해로 인해 비밀번호 선택 관행이 개선되었을 것입니다. 불행히도 작년의 연간 SplashData 비밀번호 설문 조사 XNUMX 년 동안 거의 변화가 없었습니다.

2019 년 연례 SplashData 비밀번호 설문 조사에서 2015 년부터 2019 년까지 가장 일반적인 비밀번호가 밝혀졌습니다.

컴퓨팅 기능이 증가함에 따라 솔루션은 복잡성이 증가하는 것처럼 보입니다. 그러나 인간으로서 우리는 고도로 복잡한 암호를 기억하는 데 능숙하지도 않습니다.

또한 암호가 필요한 시스템을 XNUMX ~ XNUMX 개만 사용하는 지점도 통과했습니다. 이제 여러 사이트에 액세스하는 것이 일반적이며 각 사이트에는 암호 (종종 다양한 길이와 복잡성)가 필요합니다. 최근 조사에 따르면 평균적으로 70 인당 80-XNUMX 개의 암호.

좋은 소식은 이러한 문제를 해결할 수있는 도구가 있다는 것입니다. 대부분의 컴퓨터는 이제 운영 체제 또는 웹 브라우저에서 암호 저장을 지원하며 일반적으로 여러 장치에서 저장된 정보를 공유 할 수있는 옵션이 있습니다.

예를 들면 Apple의 iCloud를 키 체인 그리고 Internet Explorer, Chrome 및 Firefox에서 비밀번호를 저장하는 기능 (하지만 덜 믿을만한).

비밀번호 관리자 KeePassXC와 같은 사용자는 길고 복잡한 암호를 생성하고 필요할 때를 위해 안전한 위치에 저장할 수 있습니다.

이 위치는 여전히 보호되어야하지만 (일반적으로 긴 "마스터 비밀번호"사용) 비밀번호 관리자를 사용하면 방문하는 모든 웹 사이트에 대해 고유하고 복잡한 비밀번호를 가질 수 있습니다.

이것은 취약한 웹 사이트에서 암호를 도난당하는 것을 방지하지 않습니다. 그러나 도난당한 경우 다른 모든 사이트에서 동일한 암호를 변경하는 것에 대해 걱정할 필요가 없습니다.

물론 이러한 솔루션에도 취약점이 있지만, 이는 다른 날의 이야기 일 것입니다.

저자에 관하여

Paul Haskell-Dowland, 부학장 (컴퓨팅 및 보안), 에디스 코완 대학교 그리고 Brianna O'Shea, 강사, 윤리적 해킹 및 방어, 에디스 코완 대학교

이 기사는에서 다시 게시됩니다. 대화 크리에이티브 커먼즈 라이센스하에 읽기 원래 기사.