2012.11.19

IDG 블로그 | 강력한 패스워드 만들기, “어렵지 않아요~”

Roger A. Grimes | InfoWorld
스마트카드나 생체인식 등 멀티팩터 인증 솔루션을 사용한다고 해도, 모두가 여전히 기본적인 이름과 패스워드 로그온 조합을 사용한다. 보안 전문가들은 항상 “강력한 패스워드”를 권한다. 하지만 강력한 패스워드란 것을 어떻게 확인할 것인가? 또 본인이 기억하지 못할만큼 복잡한 패스워드를 만드는 상황을 어떻게 피할 것인가?라는 문제는 여전히 남아 있다.
 
NIST(National Institute of Standards and Technology)에 따르면, 강력한 패스워드란 최소한 12자 이상을 사용해야 한다. 관리자 패스워드는 최소한 15자 이상을 사용해야 한다. 너무 길다고 생각할 사람도 있겠지만, 이미 5년 전에 제시한 최소한의 기준이다. 이보다 더 짧으면 안전한 것으로 여겨지지 않는다.
 
물론 더 짧은 패스워드를 사용할 수도 있고, 실제로 많은 사람들이 짧은 패스워드를 사용한다. 하지만 패스워드 길이가 길어질수록 더 안전해진다는 것을 기억해야 한다. 8자 패스워드는 며칠 동안은 괜찮을 수 있다. 하지만 12자 패스워드는 최대 90일 동안은 안전한 것으로 평가되고 있다. 그리고 15자 패스워드는 1년 동안 안전한 것으로 여겨진다.
 
복잡성에 대한 잘못된 믿음
대부분의 보안 지침서는 패스워드를 복잡하게 만들어야 한다고 주장한다. 즉 패스워드에 대문자 알파벳, 숫자, 기호 등등이 포함되어야 한다는 것이다. 하지만 복잡성은 길이보다 덜 중요하다. 충분히 긴 패스워드는 패스워드 추측을 방지할 수 있지만, 복잡성은 무작위적일 때만 추가적인 가치를 가진다.
 
일반적으로 사용자들은 복잡성을 요구 받으면, 동일한 위치에 동일한 종류의 문자를 사용한다. 예를 들어 8자 패스워드를 여러 종류의 문자로 사용해야 한다고 하면, 대부분은 첫 머리 글자를 대문자로 사용하거나 끝부분에 1이나 2 등의 숫자를 넣는다. 기호를 사용할 때는 a를 @로 대체하거나 o를 숫자 0으로 대체하는 식이다.
 
패스워드 공격자는 이런 사실을 잘 알고 있으며, 패스워드 크래킹 툴은 이런 패턴을 파악하는 데 최적화되어 있다. 필자를 포함한 많은 보안 전문가들이 대량의 패스워드를 캡처해 분석해 본 결과, 이런 패턴이 유지되고 있다는 사실을 쉽게 확인할 수 있었다.
 
복잡성으로 보안성을 높이기 위해서는 패스워드는 아주 독특하고 임의적이어야 한다. 예를 들어 %Tv4$H@.<P같은 것이다. 하지만 이런 패스워드는 입력하기도 기억하기도 아주 나쁘다. 불행하게도 대부분의 보안 감사와 규제는 이런 패스워드의 복잡성을 요구하고 있다. 예를 들어 필자가 사용하는 한 금융 사이트는 최대 6자 패스워드에 복잡성만을 요구한다. 비명을 지를 뻔 했다. 차라리 Dogdogdogdog나 iforeverlovedogs가 더 나을 것이다.
 
개인적인 패스워드 기법 공개
어떤 사람들은 전문 패스워드 보호 프로그램을 사용하기도 한다. 하지만 필자는 더 신속한 방법을 선호한다. 필자는 동일한 기본 패스워드를 모든 패스워드에 사용한다. 하지만 시작과 끝은 달리한다. 한 사이트의 패스워드가 44TadPole44라면, 다른 사이트는 TadPole32, 또h 다른 사이트는 AMZTADPOLE32On 이런 식이다. 혼란을 막기 위햇 필자는 앞뒤에 붙이는 것이 해당 사이트와 의미가 통하도록 추가한다.
 
이런 방법 덕에 필자는 수백 개의 서로 다른 사이트 패스워드를 머리에 저장하고 있다. 각각의 패스워드가 다르기 때문에 한 사이트에서 필자의 패스워드가 유출된다고 해도 나머지 패스워드는 여전히 안전하다. 설혹 해커가 필자의 기본 패스워드를 알아냈다고 해도, 나머지 패스워드를 알아내는 것은 상당히 어려운 작업이 될 것이다. 현재까지 나와 있는 어떤 패스워드 툴도 이런 종류의 복잡성을 처리해 낼 수는 없다.
 
강력한 패스워드는 패스워드 재설정 질문도 추측할 수 없게 만든다. 사라 페일린의 이메일 사건처럼 전문 해커가 아니라도 패스워드 재설정 질문은 약간의 노력으로 쉽게 추측할 수 있다. 대부분의 경우 이 질문의 답을 추측하는 것이 실제 패스워드를 추측하는 것보다 더 쉽다. 패스워드 시스템의 약점 중 하나인 것이다.
 
필자의 경우 이들 질문에 진심으로 답하지 않는다. 사실 여기에 정답을 입력할 필요는 없다. 대신에 여기에 기본 패스워드 전략을 입력해 두면, 훨씬 유용하게 사용할 수 있다.
 
패스워드 유출로 인한 피해는 누구나 당할 수 있다. 실제로 이런 일들이 일어나고 있다. 웹 사이트가 해킹을 당할 수도 있고, 가짜 피싱 메일에 속을 수도 있다. 하지만 필자와 추천하는 방법을 사용한다면, 패스워드 해킹의 위험을 현저하게 줄일 수 있을 것이다.  editor@itworld.co.kr



2012.11.19

IDG 블로그 | 강력한 패스워드 만들기, “어렵지 않아요~”

Roger A. Grimes | InfoWorld
스마트카드나 생체인식 등 멀티팩터 인증 솔루션을 사용한다고 해도, 모두가 여전히 기본적인 이름과 패스워드 로그온 조합을 사용한다. 보안 전문가들은 항상 “강력한 패스워드”를 권한다. 하지만 강력한 패스워드란 것을 어떻게 확인할 것인가? 또 본인이 기억하지 못할만큼 복잡한 패스워드를 만드는 상황을 어떻게 피할 것인가?라는 문제는 여전히 남아 있다.
 
NIST(National Institute of Standards and Technology)에 따르면, 강력한 패스워드란 최소한 12자 이상을 사용해야 한다. 관리자 패스워드는 최소한 15자 이상을 사용해야 한다. 너무 길다고 생각할 사람도 있겠지만, 이미 5년 전에 제시한 최소한의 기준이다. 이보다 더 짧으면 안전한 것으로 여겨지지 않는다.
 
물론 더 짧은 패스워드를 사용할 수도 있고, 실제로 많은 사람들이 짧은 패스워드를 사용한다. 하지만 패스워드 길이가 길어질수록 더 안전해진다는 것을 기억해야 한다. 8자 패스워드는 며칠 동안은 괜찮을 수 있다. 하지만 12자 패스워드는 최대 90일 동안은 안전한 것으로 평가되고 있다. 그리고 15자 패스워드는 1년 동안 안전한 것으로 여겨진다.
 
복잡성에 대한 잘못된 믿음
대부분의 보안 지침서는 패스워드를 복잡하게 만들어야 한다고 주장한다. 즉 패스워드에 대문자 알파벳, 숫자, 기호 등등이 포함되어야 한다는 것이다. 하지만 복잡성은 길이보다 덜 중요하다. 충분히 긴 패스워드는 패스워드 추측을 방지할 수 있지만, 복잡성은 무작위적일 때만 추가적인 가치를 가진다.
 
일반적으로 사용자들은 복잡성을 요구 받으면, 동일한 위치에 동일한 종류의 문자를 사용한다. 예를 들어 8자 패스워드를 여러 종류의 문자로 사용해야 한다고 하면, 대부분은 첫 머리 글자를 대문자로 사용하거나 끝부분에 1이나 2 등의 숫자를 넣는다. 기호를 사용할 때는 a를 @로 대체하거나 o를 숫자 0으로 대체하는 식이다.
 
패스워드 공격자는 이런 사실을 잘 알고 있으며, 패스워드 크래킹 툴은 이런 패턴을 파악하는 데 최적화되어 있다. 필자를 포함한 많은 보안 전문가들이 대량의 패스워드를 캡처해 분석해 본 결과, 이런 패턴이 유지되고 있다는 사실을 쉽게 확인할 수 있었다.
 
복잡성으로 보안성을 높이기 위해서는 패스워드는 아주 독특하고 임의적이어야 한다. 예를 들어 %Tv4$H@.<P같은 것이다. 하지만 이런 패스워드는 입력하기도 기억하기도 아주 나쁘다. 불행하게도 대부분의 보안 감사와 규제는 이런 패스워드의 복잡성을 요구하고 있다. 예를 들어 필자가 사용하는 한 금융 사이트는 최대 6자 패스워드에 복잡성만을 요구한다. 비명을 지를 뻔 했다. 차라리 Dogdogdogdog나 iforeverlovedogs가 더 나을 것이다.
 
개인적인 패스워드 기법 공개
어떤 사람들은 전문 패스워드 보호 프로그램을 사용하기도 한다. 하지만 필자는 더 신속한 방법을 선호한다. 필자는 동일한 기본 패스워드를 모든 패스워드에 사용한다. 하지만 시작과 끝은 달리한다. 한 사이트의 패스워드가 44TadPole44라면, 다른 사이트는 TadPole32, 또h 다른 사이트는 AMZTADPOLE32On 이런 식이다. 혼란을 막기 위햇 필자는 앞뒤에 붙이는 것이 해당 사이트와 의미가 통하도록 추가한다.
 
이런 방법 덕에 필자는 수백 개의 서로 다른 사이트 패스워드를 머리에 저장하고 있다. 각각의 패스워드가 다르기 때문에 한 사이트에서 필자의 패스워드가 유출된다고 해도 나머지 패스워드는 여전히 안전하다. 설혹 해커가 필자의 기본 패스워드를 알아냈다고 해도, 나머지 패스워드를 알아내는 것은 상당히 어려운 작업이 될 것이다. 현재까지 나와 있는 어떤 패스워드 툴도 이런 종류의 복잡성을 처리해 낼 수는 없다.
 
강력한 패스워드는 패스워드 재설정 질문도 추측할 수 없게 만든다. 사라 페일린의 이메일 사건처럼 전문 해커가 아니라도 패스워드 재설정 질문은 약간의 노력으로 쉽게 추측할 수 있다. 대부분의 경우 이 질문의 답을 추측하는 것이 실제 패스워드를 추측하는 것보다 더 쉽다. 패스워드 시스템의 약점 중 하나인 것이다.
 
필자의 경우 이들 질문에 진심으로 답하지 않는다. 사실 여기에 정답을 입력할 필요는 없다. 대신에 여기에 기본 패스워드 전략을 입력해 두면, 훨씬 유용하게 사용할 수 있다.
 
패스워드 유출로 인한 피해는 누구나 당할 수 있다. 실제로 이런 일들이 일어나고 있다. 웹 사이트가 해킹을 당할 수도 있고, 가짜 피싱 메일에 속을 수도 있다. 하지만 필자와 추천하는 방법을 사용한다면, 패스워드 해킹의 위험을 현저하게 줄일 수 있을 것이다.  editor@itworld.co.kr

X