최근 몇 년 동안 계정을 한두 개 만들었다면 많은 사이트에서 특정 조건에서 "안전하지 않은" 비밀번호를 사용한다고 꾸짖는 것을 보았을 것입니다. 때로는 "등록" 버튼을 누르지 않아도 비밀번호 필드 옆에 약한 비밀번호를 사용하고 있다는 작은 메시지가 표시됩니다.
일부 사이트는 취약한 비밀번호로 간주되는 등록을 완전히 차단할 수 있지만, 다른 사이트는 사용자에게 경고만 하고 어쨌든 원하는 대로 하도록 내버려둡니다. 그럼에도 불구하고 이러한 사이트에는 (대부분) 한 가지 공통점이 있습니다. "안전한 암호"에 대한 기준이 사용자를 안전하게 유지하지 못한다는 것입니다.
나쁜 습관 만들기
대부분의 웹사이트에서 가장 먼저 눈에 띄는 것 중 하나는 "강력한" 암호로 간주되는 기준이 모두 비슷하다는 것입니다. 대부분의 사이트에서 기준은 다음과 같습니다.
- 최소 6자 또는 8자
- 최소 1개의 숫자와 1개의 문자
- 경우에 따라 하나 이상의 대문자.
이 경우 "Ironclad1"과 같은 암호는 단순하며 특정 웹사이트의 요구 사항을 통과합니다. 대부분의 사이트에는 이러한 요구 사항만 있으므로 사람들은 "Ironclad1", "Sallyepstein4", "Michael1985" 등이 좋은 암호라는 사실에 익숙해질 수 있습니다. 사이버 보안에 관한 책의 처음 세 페이지를 읽어본 사람은 이것이 믿을 수 없을 정도로 안전하지 않다는 것을 알고 있지만, 보안이 5줄의 코드 가치가 있는 사후 고려 사항인 웹 주변의 수백만 사이트에서 암묵적으로 표준으로 설정되고 있습니다.
해커는 단순히 사전 공격을 사용하여 암호를 해독할 수 있으며 그것으로 끝입니다.
Google과 같은 일부 웹 서비스에서는 암호(예:"!" 또는 "$")를 사용하여 암호를 생성해야 합니다. 이것은 "$allyepstein4"와 같은 것을 유효한 암호로 만들고 사전 공격은 수년에 걸쳐 더욱 정교해졌습니다.
좋은 암호 습관이란 무엇입니까?
좋은 비밀번호를 만드는 방법에 대해 많은 논쟁이 있지만, 모든 뉘앙스를 모두 설명하기 보다는 모든 사람이 일반적으로 동의하는 몇 가지만 살펴보겠습니다. 좋은 비밀번호
- 대문자, 숫자 및 소문자와 같은 다양한 영숫자 변형 포함
- 예측할 수 없는 위치에 기호가 있음("@shley"는 단어 중간에 밑줄이 있기 때문에 "@$_hley"보다 덜 안전합니다. 사전 공격은 일반적으로 "a"와 "를 대체하는 "@"를 검색합니다. $"가 "s"를 대체함)
- 공백 포함(예:'I @te a S4nDw1ch')
- 합리적인 글자 수 제한의 상한에 도달했습니다(“I l0v3 LuC#Y "는 "Th1S p4ssword sH_oulD b3 h@rd to cr@ck보다 덜 안전합니다. ")
- 일반적이지 않은 철자법 오류가 포함되어 있습니다(예:'should' 대신 'schuld', 'beef' 대신 'beff', '대신' 대신 'inszteda', 'maketecheasier' 대신 'mektekezier' 등). )
물론 가장 좋은 비밀번호 중 하나는 기억하기가 쉽지 않습니다(예:“ifjecBucE083$&&8c ociefjC*#&$6c iof0e0($*# "). 제공된 예제가 공백 도입을 포함하여 위의 모든 규칙을 사용하는 완전한 횡설수설임을 주목하십시오. 이것은 가장 정교한 사전 공격에도 매우 이례적입니다. 귀하의 비밀번호에 대한 해시를 저장하는 데이터베이스가 안전하고 암호화 키가 올바르게 관리된다면 해커가 크랙할 수 있는 귀하의 계정 가치가 줄어들 것입니다.
당연히 모든 서버가 안전한 것은 아니며 사용하는 서비스 중 하나에서 비밀번호가 유출될 수 있습니다. 이것이 서비스마다 다른 비밀번호를 사용하는 것이 중요인 이유입니다. .
그러나 내가 "당신이 가질 수 있는 최고의 암호 중 하나"의 예로 제공한 것은 고사하고 15개의 암호를 실제로 외울 수는 없습니다. 이에 대응하기 위해 비밀번호를 기억할 필요가 없도록 비밀번호를 관리하는 매우 안전한 싱글 사인온("신원 관리"라고도 함) 서비스를 사용할 수 있습니다. 몇 년 동안 존재했지만 개념은 여전히 미지의 영역 (적어도 내 전문적인 견해로는)이므로 가볍게 밟으십시오. 자체 조사를 하고 서비스 이름 뒤에 "breach"라는 단어가 붙는 Google 검색을 수행하여 해킹된 적이 있는지 알아보세요.
문제 해결 방법
여기서 해결하려는 문제는 웹에서 계정을 만드는 수많은 사람들이 암호 생성에 대한 모범 사례를 이해하도록 하는 것입니다. 기념비적인 작업처럼 들리지 않습니까?
사실, 정보를 어딘가에 제공하는 것만큼 쉽습니다. Google은 가이드라인을 통해 이를 잘 수행하고 있지만 충분하지 않습니다.
찬사에도 불구하고 비밀번호 필드 옆에 이 지침에 대한 링크를 포함하여 계정 등록 단계에서 사용자가 쉽게 액세스할 수 있도록 하는 것이 가장 좋습니다. 누군가 이것을 무시한다면 그것은 그들 자신의 특권이지만, 그 당시 그 누구도 주제에 대한 교육 자료를 읽을 기회가 없었다고 말할 수 없습니다.
이것에 대한 유일한 어려운 부분은 계정 데이터베이스를 보유하고 있는 수백만 개의 웹사이트가 이 방식을 사용하도록 설득하는 것입니다. 그러나 이러한 웹 사이트의 대부분은 큰 상자 소프트웨어(예:WordPress 또는 Drupal)를 사용하기 때문에 이 소프트웨어 개발자에게 연락하여 향후 업데이트에서 이러한 종류의 기능을 제공하는 것이 좋습니다. 웹사이트에서 소프트웨어를 업데이트하는 즉시 등록 페이지에 이러한 지침이 자동으로 표시됩니다!
좋은 비밀번호에 대한 인식을 확산시키기 위해 우리가 할 수 있는 다른 일은 무엇이라고 생각하십니까? 댓글에서 이에 대해 논의해 보겠습니다!