암호 "강도"는 암호의 다양한 문자 유형에 의해 결정되는 것으로 대부분의 사람들이 이해합니다. 그러나 가입 양식은 복잡성이 보안이라고 생각할 수 있지만 공격자는 동의하지 않습니다. 복잡성은 더 이상 최신 위협 모델을 방어하지 않습니다. 강력한 암호를 만드는 것은 무엇입니까? 우리는 먼저 대부분의 사람들이 직면한 실제 위협 모델을 조사해야 합니다.
비밀번호의 복잡성이 핵심을 놓치고 있음
암호 "강도"는 기호, 숫자, 대소문자를 사용하여 측정한 암호의 복잡성 또는 임의성의 정도의 함수인 경우가 많습니다. 그러나 비밀번호 옆에 있는 기만적인 녹색 "강도" 막대가 시사하는 바에도 불구하고 비밀번호에 몇 가지 다른 문자를 추가한다고 해서 비밀번호의 "강도"가 의미 있게 증가하지는 않습니다. 복잡성으로 인해 무차별 대입 공격의 난이도가 높아지지만 이런 공격은 흔하지 않습니다.
대신 자격 증명 도용은 대규모 데이터 도용이나 대규모 조직의 유출에서 발생합니다. 공격자가 일반 텍스트로 된 암호를 알고 있으면 암호 강도가 도움이 되지 않습니다.
고유한 비밀번호 사용
대부분의 사람들은 "자격 증명 스터핑(credential stuffing)"이라는 것에 크게 취약합니다. 손상된 자격 증명은 암호 재사용에 대한 인간의 경향을 악용하기 위해 인기 있는 플랫폼에서 시도됩니다. 이는 "약한" 비밀번호보다 훨씬 더 위험합니다. 결국 모든 플랫폼에서 재사용되는 하나의 "매우 강력한" 완전 무작위 암호는 한 번의 누출 후에 재앙이 될 것입니다.
비밀번호 강도를 단일 속성으로 생각하기보다 인증 시스템의 강도를 생각해야 합니다. 최신 암호는 해당 시스템을 생성하며 그렇게 간주되어야 합니다. 비밀번호 관리자를 사용하면 고유한 비밀번호를 훨씬 쉽게 사용할 수 있으므로 아직 시작하지 않았다면 지금 시작하십시오.
복잡성보다 길이가 더 중요합니다
수년 동안 우리는 복잡성을 암호의 가장 중요한 요소로 생각하도록 훈련받았습니다. 무차별 대입 공격이 드물다는 것을 알고 있지만 복잡성이 무차별 대입 크래킹에 대한 최선의 방어 수단은 아닙니다. 사실 길이가 훨씬 더 중요합니다. .
암호 길이는 크래킹 시간과 기하급수적인 관계가 있으므로 길이를 적당히 늘리면 크래킹 시간이 크게 늘어날 수 있습니다. 반면에 복잡성은 크래킹 시간과 더 선형적인 관계가 있습니다.
예를 들어, 고성능 크래킹 머신은 *nRyU86)과 같이 복잡해 보이는 비밀번호를 깨뜨릴 수 있습니다. 80분 만에. 하나의 대문자로 길이를 늘리면 해당 시간이 거의 3-6시간으로 늘어나지만 문자를 기호로 변경하면 크래킹 시간에 의미 있는 변화가 없습니다.
길이의 지수를 최대한 활용합시다. 알려진 사전 단어를 사용하고 길이가 총 16자인 4단어 암호는 어떻습니까? 사전 공격(무작위로 추측을 생성하는 대신 알려진 단어의 데이터베이스를 사용하여 암호를 추측하는 공격)을 고려하더라도 여전히 10억이 걸립니다. 암호를 해독하는 데 몇 년이 걸립니다.
복잡성을 잊어 버리십시오. 최고의 비밀번호는 실제로 구문입니다. . 유사하게 강력한 복잡한 암호는 결코 기억할 수 없습니다. 그러나 두뇌는 재미있는 이야기와 놀라운 이미지를 좋아합니다. 무작위로 생성된 문구에 대해 터무니없이 기억에 남는 이야기를 생성하면 잊기 어려울 것입니다.
진정한 무작위 패스 프레이즈 생성이 중요합니다. 생년월일과 같이 자신과 관련된 단어를 선택하면 암호를 더 쉽게 추측할 수 있습니다. EFF의 암호 주사위를 사용하여 임의의 암호를 안전하고 안전하게 생성하십시오.
모든 이중 인증 시스템 켜기
모든 시스템이 누출됩니다. 비밀번호 안전성은 당신을 구하지 않습니다. 그렇다면 어떻게 자신을 방어할 수 있습니까? 이중 인증(2FA) 시스템은 추가 보안 계층을 제공합니다. 2FA는 두 가지 유형의 자격 증명을 요구합니다. 알고 있는 (예:비밀번호) 및 소유 (즉, 귀하의 전화). 대부분의 2FA 시스템에서 이러한 코드는 원격 서버에서 생성됩니다. 서버는 로그인 시 활성 코드를 사용자에게 보냅니다.
불행히도 공격자는 SIM 카드 복제를 통해 비교적 쉽게 SMS 코드를 가로챌 수 있습니다. 이러한 도청을 방지하려면 Authy, Google Authenticator와 같은 2FA 앱 또는 1Password와 같은 2FA를 지원하는 비밀번호 관리자를 사용하여 모바일 장치에서 코드를 생성하십시오.
결론
단일 암호의 "강도"는 청어입니다. 강력한 인증 시스템이 더 중요합니다. 유출 및 데이터 도난은 필연적으로 발생합니다. 고유한 암호는 손상을 억제합니다. 이중 인증은 도난당한 자격 증명의 피해를 0으로 줄일 수 있습니다.