여는 글
개인과 조직의 정보를 보호하기 위한 가장 기본적인 안전장치는 패스워드 입니다.
이전 글에서 패스워드 유출과
패스워드, 안전하게 사용하기
목 차1. 여는 글2. 설명3. 방법4. 맺음 글5. 관련 글 여는 글 당신의 패스워드는 안전하신가요?개인과 조직의 정보를 보호하기 위한 가장 기본적인 안전장치는 패스워드입니다.패스워드가 뚫리면
jaeminsg.tistory.com
패스워드가 얼마만에 크랙이 되는지, 그리고 안전한 조합과 자리수에 대해 경우의 수를 계산해 보았습니다.
패스워드, 안전하게 사용하기 - 내 패스워드는 얼마나 안전할까?
패스워드, 안전하게 사용하기 (2) - 내 패스워드는 얼마나 안전할까?
목 차1. 여는 글2. 설명3. 방법4. 맺음 글 여는 글 개인과 조직의 정보를 보호하기 위한 가장 기본적인 안전장치는 패스워드입니다.이전 글에서 어떤 방식으로 패스워드가 유출되는지를 확인했습
jaeminsg.tistory.com
이번 글에서는 패스워드를 안전하게 작성하는 법에 대해 알아보겠습니다.
설명
위에서 우리는 보통 사용하는 영소 + 숫자 + 특수기호의 3가지 조합에서 11자리 이상은 사용해야 함을 확인했습니다.
이것 만으로 안전하다고 할 수 있을까요?
어떤 문제가 있을까요?
첫번째 문제 - 기억할 수 있는가?
첫번째는 11자릿수 이상의 패스워드를 기억하는데 문제가 있습니다. 자주 잊어버릴 수가 있으니까요.
주기적으로 패스워드를 변경하는 경우는 더 어렵습니다.
두번째 문제 - 하나의 패스워드로만 사용하기
두번째는 한개의 패스워드로만 사용하는 것입니다.
우리는 기억도 못할 정도로 많은 웹사이트나 시스템에 회원가입 해왔습니다. 대부분 현재는 사용하지 않는 사이트에도 가입했지만,굳이 탈퇴 하지도 않고 있습니다.
오래전에 가입한 허술한 사이트에 대해 걱정 해본 적이 없으실 겁니다. 대부분 그러니까요.
저는 홈페이지 등의 웹 사이트를 10여년 동안 점검했습니다. 요즘에는 대부분 시큐어코딩을 기본적으로 하고 있어서 심하게 취약하지는 않습니다. 다만, 4~5년 전까지만해도 다양한 웹 취약점으로 통해서 회원정보가 노출되는 경우가 상당히 많았습니다.
SQL인젝션이나 다운로드취약점, 웹쉘 업로드 등으로 해킹이 가능한 경우가 많았고, 회원정보를 가져올 수 있는 경우도 많았습니다.
그 당시 해커들이 많은 개인정보를 가져갔다고 생각됩니다. 기사에 나온 개인정보 유출 건수를 다 더하면 우리나라 국민 수의 2~3배 가 되었으니까요.
문제는 사이트 별로 패스워드를 다르게 사용하지 않고, 하나의 패스워드로 여러 사이트를 사용하는 경우입니다.
제대로 관리되지 않는 사이트에서 해킹이 발생하게 되면, 같은 패스워드로 사용하고 있는 다른 사이트 역시 문제가 발생합니다.
방법
첫번째 긴 패스워드를 기억하기 위한 방법
패스워드를 단어 형태가 아닌, 길지만 외우기 쉬운 문장 형태로 만듭니다.
복잡하지만 짧은 비밀번호는 기억하기만 힘듭니다.
그 보다는 길지만 의미를 갖는 구나 문장 형태의 비밀번호를 사용하는 것이 좋습니다.
예) Godsaveyou!
Yoyomadrinkscoffee
Fred And Wilma Like To Have Ham And Eggs For Dinner => F&WL2HH&E4D
특히 단어를 사용할 경우, 사전 파일과 같이 단어가 등록된 파일을 이용하여, 단어에 전화번호나, 생년월일 등 의미있는 숫자를 앞,뒤에 섞어 대입해서 시도하므로 단어로만 만들 경우 크랙이 쉬워집니다.
두번째 여러 사이트에 각각의 패스워드 사용하기
첫번째에서 문장으로 긴 패스워드를 만들었다면, 그 패스워드를 기준으로 각각의 사이트에 맞게 바꿔줍니다.
예) 패스워드가 Godsaveyou! 라고 가정
www.daum.net 에 가입한다면 GodsaveDayou! 와 같이 적당한 위치에 사이트의 글자를 집어 넣는 방법입니다.
한글자든 두글자든 세글자든 상관없이 규칙을 정해서 사이트 이름 일부를 정해진 위치에 넣으면 각각의 패스워드를 만들 수 있습니다.
기타
영어로 된 구나 문장이 어렵다면, 우리말로 된 구문이나 문장을 사용하여 영타로 치는 방법도 나쁘지 않습니다.
예) 진인사대천명! => wlsdlstkeocjsaud!
좀 더 어렵게 하려면 알파벳 e를 2로 바꾸거나, a 를 @ 로 바꾸는 식으로 문자의 일부를 치환해서 사용해도 좋습니다.
예) SecureSaveYou! ==> S2cur2S@v2Y0u1
맺음 글
자릿수가 작으면 Brute Force(전수공격)으로, 단어로 이루어진 패스워드는 Dictionary Attack(사전 공격)으로 크랙이 쉬워집니다.
길이가 긴 문장형태의 패스워드를 사용하면 절대 크랙이 쉽지 않습니다.
이 기본 패스워드를 만들고, 나만의 규칙에 따라 사이트마다 다르게 패스워드를 만들면, 100배 이상 안전하게 쓸 수 있다고 장담합니다.
더해서 한글로 된 구문을 영타로 치고, 일부를 치환해서 사용하면, 암호로 저장된 패스워드가 유출이 되어도 걱정할 필요가 없습니다.
다만 내가 엄청나게 중요한 인물이라 팀을 이룬 해커가 나를 타겟으로 삼는 다면, 다른 어떤 방법으로든 당하겠지만, 우리 대부분은 그럴 일은 없잖아요? 다 비용대비 얻을게 많아야 하는 것이니까요..
이상 패스워드를 쉽고 안전하게 사용할 수 있는 방법을 말씀드렸습니다.
관련 글
패스워드, 안전하게 사용하기 (3) - 패스워드 안전하게 작성하는 법
'보안 (Security)' 카테고리의 다른 글
| 피싱 - 낚이지 마세요! 피싱 사기꾼들이 던진 미끼의 정체 (0) | 2025.03.25 |
|---|---|
| 패스워드, 안전하게 사용하기 (2) - 내 패스워드는 얼마나 안전할까? (0) | 2025.03.25 |
| 패스워드, 안전하게 사용하기 (0) | 2025.03.24 |
| 중소기업정보보호-사장님이 정보보호에 관심이 있으신가요? (0) | 2025.03.13 |
| 웹 취약점 진단을 위한 버프스위트(Burp Suite) 사용법(III) - 설정하기 (0) | 2025.01.24 |