비밀번호를 강력하고 길게 만듭니다

수백만 또는 수십억 개의 암호를 노출시키는 데이터 유출에 대한 소식 없이는 일주일이 지나지 않습니다. 대부분의 경우 실제로 노출되는 것은 비밀번호 자체가 아니라 해싱 알고리즘을 통해 실행 된 비밀번호 버전입니다. Trustwave의 최신 보고서에 따르면 사용자가 어리석은 암호를 만들 때 해싱이 도움이되지 않으며 암호의 복잡성보다 길이가 더 중요합니다.

해커는 StatelyPlumpBuckMulligan 또는 ItWasTheBestOfTimes를 크랙하기 전에 @ u8vRj & R3 * 4h를 크래킹합니다.

해싱

해싱의 기본 개념은 보안 웹 사이트가 사용자의 암호를 저장하지 않는다는 것입니다. 대신 해싱 알고리즘을 통해 비밀번호를 실행 한 결과를 저장합니다. 해싱은 일종의 단방향 암호화입니다. 동일한 입력이 항상 동일한 결과를 생성하지만 결과에서 원래 비밀번호로 되돌아 갈 방법은 없습니다. 로그인하면 서버 측 소프트웨어가 입력 한 내용을 해시합니다. 저장된 해시와 일치하면 들어갑니다.

이 접근법의 문제점은 나쁜 사람들도 해싱 알고리즘에 액세스 할 수 있다는 것입니다. 알고리즘을 통해 지정된 비밀번호 길이에 대해 모든 문자 조합을 실행할 수 있으며 도난 된 해시 비밀번호 목록과 결과를 일치시킬 수 있습니다. 일치하는 각 해시마다 하나의 비밀번호를 해독했습니다.

Trustwave 연구원들은 2013 년과 2014 년 초 수천 개의 네트워크 침투 테스트 과정에서 600, 000 개가 넘는 해시 암호를 수집했습니다. 강력한 GPU에서 해시 크래킹 코드를 실행하면 몇 분 만에 암호의 절반 이상이 깨졌습니다. 시험은 한 달 동안 계속되었고, 이 때 그들은 샘플의 90 % 이상을 균열시켰다.

암호 - 잘못하고 있습니다

대문자, 소문자, 숫자 및 문장 부호가 포함 된 암호는 해독하기 어렵다는 것이 일반적입니다. 그것은 전적으로 사실이 아닙니다. 그렇습니다. 수컷 요소가 N ^ a & $ 1nG와 같은 암호를 추측 하기는 쉽지 않지만 Trustwave에 따르면 공격자는 4 일 이내에 암호를 해독 할 수 있습니다. 반대로 GoodLuckGuessingThisPassword와 같이 긴 암호를 해독하려면 거의 18 년의 처리가 필요합니다.

많은 IT 부서에는 대문자, 소문자 및 숫자를 포함하여 8 자 이상의 암호가 필요합니다. 이 보고서는 슬프게도 "Password1"이 이러한 요구 사항을 충족한다고 지적합니다. 우연히도, Password1은 연구중인 컬렉션에서 가장 일반적인 단일 암호였습니다.

TrustWave의 연구원은 또한 사용자가 더 이상 자신이 원하는 것을 정확하게 수행 할 수 있다는 것을 발견했습니다. 암호 수집 길이를 세분화하면 거의 절반이 정확히 8 자임을 알 수있었습니다.

그들을 길게

우리는 이것을 전에 말했지만 반복됩니다. 암호 (또는 암호)가 길수록 해커가 암호를 해독하기가 더 어려워집니다. 좋아하는 인용문이나 문장을 입력하고 공백을 생략하면 괜찮은 암호가 있습니다.

예, 다른 유형의 크래킹 공격이 있습니다. 사전 공격은 문자의 모든 단일 조합을 해시하는 대신 알려진 단어의 조합을 해시하여 검색 범위를 크게 좁 힙니다. 그러나 암호가 충분히 길면 무차별 대입 균열은 여전히 ​​몇 세기가 걸릴 것입니다.

전체 보고서는 다양한 방식으로 데이터를 슬라이스하고 깍습니다. 예를 들어, 크랙 된 암호 중 100, 000 개 이상이 monkey12와 같이 6 개의 소문자와 2 자리로 구성되었습니다. 비밀번호 정책을 관리하거나 자신을 위해 더 나은 비밀번호를 만드는 데 관심이 있다면 반드시 읽어 볼 가치가 있습니다.