최근 옥션 해킹사태가 일어나고 보안에 대한 관심이 고조되고 있습니다. 그런데 정작
아직까지도 비밀번호관리를 대충 하는 사람들이 많습니다. 일단 대기업은 모르겠지
만 작은 규모의 기업들은 이런 정보보호를 거의 하지 않는 것 같더군요.
요즘처럼 USB사용이 보편화되고 누구나 인터넷을 쓰는데 이런 자신의 계정에 비밀
번호를 대충 관리하면 나쁜의도를 가진 사람들에게 쉽게 계정을 넘겨주게 됩니다. 이
런것은 조금만 관심을 가지면 어느정도 안전해 질수 있습니다. 우선 안전한 패스워드
를 만드는 법을 알려드리기 전에 간단한 이야기를 하나 해드릴까 합니다.
여러분 케빈미트닉이라는 사람을 아십니까? 전설적인 해커로 세계최고의 해커로 군
림하는 사람입니다. 이 사람이 탄생시킨 것중에 사회공학이라는 기법이 있습니다.
A라는 회사를 침입하기 전에 그 회사와 관계있는 회사중 보안이 허술한 B라는 회사
를 공략해서 A라는 회사에 침입하는 겁니다. 이런걸 사회공학적 해킹이라 하는데
나 하나만 잘지켜도 된다 가 아니라 주변부에 모두가 잘 관리해야 한다는 이야기입니
다. 머 피곤한 이야기죠.
하지만 만약 회사 내에서 대부분이 좋은 패스워드를 만들어 잘관리하는데 한사람만
대충하면 나머지 사람들의 노력을 물거품으로 만들수 있다는 걸 알아야 합니다.
미국의 대부분의 기업들은 이런 이유로 직원들의 계정 패스워드를 주기적으로 검사
합니다. 여러가지 해킹툴로 직원들의 계정을 공략해서 cracked되면 그 직원에게 권
고의 메일을 날립니다.
" 당신의 계정에 패스워드가 XXXXX라는 프로그램에 의해 Cracked되었으므 로 당장 패스워드를 안전하게 바꿀것을 ......."
음 잡담이 길어 졌군요. 그럼 패스워드를 안전하게 만드는 법을 알아보도록 하겠습니
다. 일단 어떻게 나의 패스워드를 알아낼수 있는지 알아보면 다음과 같습니다.
<이거 머 . 혼란을 표현하려는건데..어렵내요. 혹시 잘하시는 분 저에게 이미지좀.. please>
1. 우선 사전공격이라는게 있습니다. (쉽게 풀어쓰려고 이렇게 말한건데..) jhon the ripper등을 이용해서 가장 패스워드에 많이 쓰는 단어등을 대조해 비밀번호를 찾는
방법입니다. 사용법도 간단해서 가장 많이 쓰이는 소프트웨어입니다. 이게 그냥보면
안될 것 같은데 모르겠습니다. 무지 잘된다더군요.
2. 문자열 대입 프로그램입니다. 이건 사실 왠만해선 잘쓰이지 않는 것으로 알고있습
니다. 만들기도 간단하고 컴퓨터만 좋다면 도전해볼만도 하겠죠. 하지만 너무 많은
경우의 수라서....
다음에 시간나면 이 프로그램에 대해서 자세히 알아보도록 하겠습니다.
3. 이건 고수들이 쓰는 방법인데 패스워드암호화파일(쉐도우파일)같은 겁니다. 이것
을 알아내어 분석하는 겁니다. 이것도 2번과 조금 관련이 있는데 만약 쉬운 패턴으로
패스워드를 만들면 이방법에 깨질 가능성도 높습니다. 요즘은 워낙 암호화를 높은
비트로해서 알아내기 어렵지만 패턴조작등으로 알아낼수 있습니다.
4. 그외에 백도어프로그램등을 이용해서 알아내는 것인데 이것은 내 컴퓨터를 잘관
리하는것 말고는 답이 없습니다. ㅜ.,ㅡ
그럼 어떻게 만들면 가장 좋은 패스워드를 만들수 있냐?
가장 좋은방법은 jhon the ripper같은 프로그램을 구해서 패스워드를 만들어 입력해
보는 겁니다. 가장 확실하겠죠! 하지만 꼭 그렇지 않아도 좋은 패스워드를 만들 수
있습니다. 다음이 규칙입니다.
1. 기본적인 단어나 자기이름 주소들을 쓰지 않는다.
--> 얼마전 통계에서 사람들이 가장 선호하는 비밀번호가 password라고 나왔었습
니다. 쉽게 남의 아뒤를 훔치려면 password한번 넣어보라는 뜻이죠.. ㅜ.,ㅡ
이런식의 이름들은 위험합니다.
2. 이제 머리를 좀 써서 우리 한글자판을 따라서 자기이름 예를들면 김태희 (rlaxo
gml) 이런 식이면 되지 않나? 라고 생각하시는 분들 ...
--> 이것도 위험합니다. 당연히 이런 것도 걸립니다. 세상이 어떤 세상인데... 아마
세계 각국의 언어들을 기준으로 사전파일이 만들어질 겁니다. 한국용 일본용 이
런식으로.......... 그러니 위험합니다.
3. 전화번호나 생일 숫자 당연 안되고요. .. 섞는 것도 안됩니다.
그럼 당췌 이놈의 비밀번호를 만드는것이 왜 이렇게 어렵냐고 하신다면 지금부터 예
를 들어 드리겠습니다. 어디까지나 예입니다.
" 나라 말씀이 중국과 달라 한자와 .." 이런 문장이 있다고 합니다.
이거에서 "나말중달"를 뽑아내서 "skakfwndekf"라고만듭니다.
자기만 알겠죠? 여기서 끝나는게 아닙니다.
2단계 변형을 "$k@kfw^d&kf " 이렇게 만듭니다.
자 이 정도면 위에 나열된 파해법을 다비켜간 패스워드가 만들어졌습니다.
자신이 좋아하는 문장이나 구절을 이용해서 자기만의 규칙으로 패스워드를 만들면
감히 사전공격같은 걸로 패스워드를 알기 힘들겁니다. 세상에 소설과 드라마가 엄청
많죠. 이런데 유명한 소설 유명한 드라마의 명대사를 쓴다면 조금 위험하겠지만 상
당히 안전하다고 할 수 있습니다.
밑에 변형은 흔히 해커들 쓰는 해커리언이라는 표기법입니다. 사실 저렇지 않고 더
복잡하지만 익숙해지면 쓸만하다고 합니다. 저는 그다지....
-요약하면-
1. 문장을 활용해라 !2. 자기만의 공식으로 만들어라!
3. 최대한 많은 문자를 이용해라!
4. 최대한 길게 만들어라!
질문이나 궁금한점 있으시면 댓글을 남겨주세요 ! 아는 범위에서 설명하거나 추가하겠습니다. 보안의 가장 큰 적은 무관심입니다. 조금만 신경씁시다.
이올린에 북마크하기
이올린에 추천하기트랙백 주소 :: http://giga15.tistory.com/trackback/294
-
Subject: 간단한 Password Test
Tracked from 뎅꽁이의 보안창고 2008/04/22 13:59 삭제http://www.microsoft.com/protect/yourself/password/checker.mspx 이제 많은 사이트들도 비밀번호 자리를 8자리에서 두지 않고 20이상까지 쓸수 있도록 하는 경우가 많아지고 있습니다. 외우지 어렵다고 짧게 하시지 마시고 강력한 걸로 하나 만들어 보세요^^
댓글을 달아 주세요
패스워드 규칙은 알겠는데, 환장하겠는게, 패스워드를 요구하는게 한두개가 아니라는거지..
신용카드나 계좌 비밀번호는 숫자 4개로 만들어야하고, 그 종류가 수십가지여서 하나로 통일시켜나와야지 않그러면 헷갈려서 쓸수가 없어.. 마치 수백개의 열쇠가 붙어있는 열쇠꾸러미가 있어서 어느 열쇠가 이 구멍에 맞는건지 못찾는 것처럼.. 또한, 문장으로 만드는 것도 사이트마다 요구하는 자리수나 문자-숫자 조합이 다르고, 사이트도 수십군데여서리, 결국 한두가지로 통일된다는게 문제지.. 주기적으로 바꾸는건 상상도 못할일이고..
네 그점 충분히 공감합니다. 하지만 이런 보안에 대한
마인드는 이제 밥먹듯이 생각해야하는 세상이라는.....
힘들지만 적응해야된다고 생각합니다. ^^
저도 괴롭습니다.
나랏말쌈이 궁궐에 다아.. <---- 졸라 없어보임.. 신뢰도 마이너스 1000% ... ㅋ 훈민정음 첫 구절 쯤은 알고 삽시다.
수정하였습니다. 지적 감사드립니다.
죄송합니다. 그부분 바로잡겠습니다. 하지만 일반 키보드상에서 옛고어는 지원하지 않습니다. 그래서 보기 편하게 만든것이니 너무 노여워하지 마시길 바랍니다.
존 더 리퍼를 쓰는게 가장 좋은 방법이라고요? 그위에는 그 프로그램을 이용해서 패스워드를 알아낸다면서요... (사전공격?)
네 제가 존더리퍼등 SW과 사전공격등에 대해서 다음에
블로그에 글을 올리겠습니다. 그런데 검색하시면 쉽게
정보를 찾으실수 있을것 같습니다. 머 대단한 기술이나
정보가 아닙니다. ^^ 어느정도 보편화된.. ^^
방문해주셔서 감사합니다.
모든 조건을 만족시키는 암호가 요즘은 기본 암호로 많이 사용됩니다. 바로 P@ssw0rd 죠.
요즘의 비밀번호 찾는건 a=@ o=0 나 위에 언급하신 n=^ 뿐만 아니라 l=! w=vv s=$ 까지도 포함되서 찾기도 합니다.
컴퓨터 처리속도가 빨라지니 사전공격에 쓰이는
사전의 요량도 늘어났겠죠. 정말 해커릭도 쓰인다니..
하지만 경우의 수가 늘어나니 그냥 사용하는 것보다는
안전할 것이라 생각됩니다.
은행용, 쇼핑몰용, 듣보잡용, 포털용등으로 세분화시켜서 쓰면 좀더 낫지않을까요?
전부 사용하는 빈도수와 중요도가 다르니까요.
전 옥션이후로 은행용과 인증서용과 컴퓨터로긴용과 게임용과 포털용의 비번을 전부 다르게 설정했습니다.
네 좋은 생각인것 같습니다. ^^
사이트 등급에 따른 패스워드도 따로 관리해야 될거 같아요.
취미를 위한 사이트와 은행, 쇼핑을 위한 사이트의 암호를 똑 같이 사용한다면 그것도
위험하겠죠. 등급에 따른 패스워드를 몇가지 지정하는게 좋을거 같네요.
어제는 옥션 해킹소식듣고 잘 사용하지 않는 사이트는 죄다 탈퇴해버렸죠.
가입한 사이트가 전부 기억이 안 나서 참으로 곤혹 스럽네요.
제 방법:
저만의 특정암호 두글자+해당 사이트의 이름중 특정문자(규칙이 있음)+특정 숫자
를 조합합니다.
저만의 규칙을 알아내지 못하면 절대 안걸려요.
규칙만 알면 비번 잊어버릴 염려도 없구요.
이런 규칙이 3가지 정도 있습니다.
예 옥션
안녕+션+3(즐겨찾기 3번째목록)
네 참 좋은 방법입니다. 보안분야에 관심이 많으시거나
그쪽에 일하시는분이 아닌지 생각되는 군요. ^^
문제는 각종 사이트에서 더이상 특수문자를 보안강화로 비밀번호로 인정을 안하고 있다는 것입니다.
그리고 맹목적인 영문대소문자와 숫자 조합을 강조 하고 있지요.
비번에 꼭 숫자가 왜 포함되어야 하는지...(~ㅈ@#$%^&*요런 것좀 포함시켜주면...)
저도 확인해봐야겠지만 아마 그런 정책은 사용자편의성과
보안강화를 위한것이라 여깁니다. 일단 특수키를 사용안하는 사람이 많으니 거기에대한 배려로 특수키를 빼는 대신
key의 길이를 늘려서 별 차이 없는걸로 아마 더 안전할 겁니다. (길게 쓴다는 가정하에...) 제가 한번 알아보겠습니다. N모사이야기죠?
어떤 포탈은 특수키가 사용이 불가능 하다는 것..
저도 &%$^등을 사용하는 데..
핫멜은 되는데 엠파스나 다음은 불가능 하더군요..
이거부터 고쳐야 합니다.
다음은 특수키를 사용하는것으로 알고 있습니다.
제가 지금 사용중...
요즘에는 불가능한가요?
전 주기적으로 모든 주요 사이트의 비번을 바꿉니다.
워낙 많은 걸 기억해야해서 비번로그라고 따로 종이에 기록을 해둡니다.
가능하면 기억을 하지만 만약을 위해서..
이 종이는 저도 모르는 곳에 보관합니다..
그리고 사용이 끝난 비번들은 기간이 지나며 태워 버립니다...ㅋㅋ
저도 예전에 ID/PW를 종이에 적어 보관한 적이 있었는데, 그거 한번 잃어버리고 나서 무지 고생했다는..보관만 잘 한다면 암호장을 만들어 놓고 활용하는 것도 좋은 방법일 듯해요.(사용이 끝난 비번들은 태워버리기까지 캬~ 대단하십니다!)
저도 꽤 오래전에 비슷한 취지의 글을 올린 적이 있습니다. 한번 읽어 보시기 바랍니다.
http://qaos.com/article.php?sid=1882
전 패스워드 만들때 그냥 키보드 아무렇게나 쳐서 만듭니다 ㅋㅋ 그리고 무식하게 외웁니다 한 10번정도 반복하면 외워지긴 하더라구요 ㅋㅋ 약 10자리 정도.. 그리고 이용빈도가 높은 3개는 한달 주기로 패스워드를 바꿉니다 한달이상 사용 안하는건 다 탈퇴중..
저렇게 어려운 비밀번호 만들어서 못 외우고 포스트 잇으로 붙이면 -200점 이라죠 ^^;
적당하게 유추 가능하지 않은 조합이 적절할듯 하네요
님의 글 알리지도 않고 올려서 죄송합니다. 다시 수정하여 출처를 밝혔습니다. 그리고 원하시지 않으시면 님의 이 글 내리도록 하겠습니다. 저는 단지 필요한 부분이라 생각하여 많이 알리고자 하는 생각에 제 블로그에 올렸습니다. 다른 어떤 목적이 전혀 없음을 말씀드립니다.
그리고 좋은 정보 감사합니다.