|
이번 조사는 아이디를 알고 있다는 전제 하에 나온 자료이다.
웹사이트에서는 패스워드를 영문+숫자 조합을 사용할 것을 권고하고 있으나 그것도 안전하지 않다는 기사가 나왔다.
자료는 [한국정보보호진흥원에 월간 정보보호뉴스 10월호] 에서 "당신의 패스워드, 얼마나 안전할까요?" 에서 일부 발췌한 자료이다.
영문+숫자 조합 7자리 패스워드를 약 8시간이면 크랙할 수 있으며, 같은 조건의 8자리 패스워드 역시 최대 2주 정도면 크랙할 수 있다고 말한다.
그외 숫자만으로 구성된 4자리 패스워드 인 경우와 영문자와 숫자를 조합한 것이라도 자동화된 패스워드 크랙 프로그램과 일반 PC 로도 수십분 내에 패스워드를 알 수 있다고 한다.
출처: 정보보호뉴스 10월호
일반적인 패스워드 전수조사 소요 예상시간(이번 조사는 해당 사이트에 패스워드가 암호화된 상태로 저장돼 있다는 전제하에 펜티엄4 3.0GHz CPU, 2GB 메모리를 가진 컴퓨터에 자동화된 프로그램을 설치해 실험했으며, 7자리 미만의 패스워드는 조사 대상에서 아예 제외됐다. 단, 사용자와 웹 사이트 간 패스워드 전송을 위한 트래픽 소요시간은 인터넷 이용환경에 따라 상이하므로 본 테스트에서는 제외됐다.)
패스워드를 더 빠르게 크랙할 수 있는 상황은 점점 더 고사양의 PC 가 출현되었기 때문이라고 한다.
그외 문자길이가 길어질 경우 얼마의 시간이 걸리는지 자료는 'Lockdown' 에서 상세히 소개되고 있다.
(참고로 Lockdown 프로그램은 관리자가 윈도우 사용자에대한 패스워드 분실시 찾아주는 프로그램이지만 결국 악용으로 사용하는 경우도 많이 발생하고 있다.)
이런 자료에서 말해주고 있는 것은 더 복잡한 방안으로 패스워드 관리가 필요하다는 것이다.
영문+숫자에서 다양한 문자조합(3가지 종류) 방식으로 패스워드 자리 수를 더 늘리는 방법을 고려해야 한다고 말해주는 것이며, 너무 동일하게 패스워드를 관리하기 보다는 은행 부분에 대해서는 다른 방식을 고려하는 것도 좋다고 이야기 한다.
웹 서비스 업체에서는 스스로가 패스워드 입력 오류 제한이나, 패스워드 변경 주기 알림, 패스워드 보안 수준 알림 서비스등을 제공할 필요가 있다고 말한다.
이 글에서 제공하는 패스워드 안정성 검토 체크리스트
자신이 사용하고 있는 패스워드의 안전성을 얼마나 될까. 다음의 체크리스트 항목 중 하나 이상의 조건에 ‘Yes’가 있다면 해당 패스워드는 취약하다고 말할 수 있다.
- 2가지 종류 이하의 문자만으로 8자리 이하의 길이로 구성된 패스워드
- 문자구성과 관계없이 7자리 이하의 길이로 구성된 패스워드
※ 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자 4가지를 의미함 - 한글·영어 등이 포함된 사전적 단어로 구성된 패스워드, 특히 단어의 철자를 거꾸로 구성한 패스워드
- 컴퓨터 용어, 사이트, 기업명칭 등 널리 알려진 단어로 구성된 패스워드
- 사용자 ID를 이용한 패스워드
- 유명인의 이름을 포함한 패스워드
- 한글의 발음을 영문으로, 영문단어의 발음을 한글로 변형한 형태의 패스워드
ex) 한글의‘사랑’을 영어‘Sa Rang’으로 표기하거나, 영문자‘Love’의 발음을 한글‘러브’로 표기하는 패스워드 - 가족의 이름, 생일, 주소, 휴대전화 번호 등을 포함한 패스워드
- 동일한 문자의 반복 혹은 키보드 상의 연속한 위치에 존재하는 문자 등 특정 패턴의 패스워드
- 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 패스워드(ex:영문자‘O’를 숫자‘0’으로, 숫자‘1’ 을 영문자‘I’로 치환하는 경우,
- 시스템에서 예제로 제시되고 있는 패스워드
'윈도우 보안' 카테고리의 다른 글
| 기업의 관리적 보안 결함 Top 10 (0) | 2008/04/08 |
|---|---|
| 불필요한 개인정보를 제공하는 자신의 모습은... (5) | 2008/03/18 |
| '영문+숫자' 조합 7자리 패스워드를 약 8시간이면 크랙할수 있다 (2) | 2008/03/07 |
| 개인정보 보호 책임과 법 (0) | 2008/02/27 |
| 옥션 해킹 사건으로 생각해보는 보안 문제점 (10) | 2008/02/20 |
| '중국 크래커에게 IPS와 IDS는 있으나 마나' 기사를 보고 (0) | 2008/02/19 |
|
트랙백 주소 :: http://ntfaq.co.kr/trackback/4186
-
Subject: 레인보우 크랙 프로젝트(Rainbow Crack Project)
Tracked from [문스랩닷컴] 삶에는 왕도가 없습니다 2008/03/25 16:10 삭제프로그램이나 요즘 많이 사용하는 웹 사이트에서 회원으로 가입하는 경우에는 아이디(또는 메일 주소)와 비밀번호를 이용하게 됩니다. 회원정보 데이터베이스에서 아이디는 경우 보이는 그대로 저장하지만, 비밀번호는 특정한 알고리즘으로 무장하여 저장하는데 이를 해시(hash)라고 합니다. 즉, 'abcd'와 같은 비밀번호는 특정한 함수를 이용하여 계산하면 '3QC$40D'와 같이 변한되며, 반대로 해시 값을 이용해서 원래의 비밀번호를 찾기가 매우 어렵습니다...
-
Subject: '영문+숫자' 조합 7자리 패스워드 8시간만에 크랙..
Tracked from Dream has no limit..... 지금 필요한건 부지런함.. 2008/04/30 13:24 삭제이런 면에서 보면 아이디 노출되는 것도 안좋겠네요.. 비밀번호를 어렵게 하면 좋을 듯 싶지만... 자꾸 까먹을까봐....못바꾸고 있네요..
댓글을 달아 주세요
가입되어 있는 수십개 사이트의 비밀번호를 바꾸려 생각하니 아득하군요.
좋은 정보 고맙습니다.
졸은 정보 감사합니다