Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

패스프레이즈

글로벌 칼럼 | 긴 비밀번호가 비밀번호 문제의 "해답"일까

자주 변경하는 길고 복잡한 비밀번호를 사용하지 말라는 내용이 포함된 NIST의 새로운 비밀번호 관련 '권고사항(조언)'이 컴퓨터 보안 업계를 흔들고 있다. 그리고 많은 보안 전문가와 실무자들은 NIST의 새로운 권고사항을 믿지 않으려 한다. 이런 사람들의 입장을 이해한다. 수십 년 간 지탱되어 온 기존 권고사항을 뒤집는 것이기 때문이다. 당장 NIST만 하더라도 새로운 권고사항에 정반대되는 과거 권고사항을 받아들이고 믿으라고 말해왔다. 그러나 시대가 변한다. 해킹 방법도 변한다. 과거 가장 빈번했던 공격을 억지하는 데 사용되었던 방법이 더 이상 효과가 없어졌다. 비밀번호가 크랙이 더 힘들어지기 시작하면서, 공격자들이 성공 확률이 높은 다른 방법을 찾아 도입했을 것이라고 예상할 수 있다. Credit: Getty Images Bank 필자가 풀타임으로 일하는 회사인 노우비포(KnowBe4)의 CHO(Chief Hacking Officer) 케빈 미트닉은 길고 복잡한 비밀번호의 허상을 깨뜨린다(링크 동영상 참조).  단 31초 만에 17개 문자의 복잡한 비밀번호를 크랙한 것이다. 이런 이유로, 미트닉은 25개 이상의 문자로 구성된 단순하지만 긴 패스프레이즈(또는 패스센턴스(PassSentences))를 사용하라고 권장한다. 'I like to the beach to get wet'을 예로 들 수 있다. 또한 좋은 비밀번호 관리 도구를 사용, 패스프레이즈를 관리하는 방법을 추천한다. 좋은 '조언'이다. 대부분은 동의한다. 단 한 가지 확신이 들지 않는 부분은 25개 이상의 문자 사용을 요구하는 것이다. 25개 이상의 문자로 구성된 긴 비밀번호를 사용하면 비밀번호 해시 크래킹이나 비밀번호 추측 등을 이용한 비밀번호 크래킹이 더 어려워지지만, 동시에 사용자가 여러 보안 도메인(영역)에서 동일한 비밀번호를 재사용할 확률이 높아지기 때문이다. NIST는 최근 권고사항에서 이 부분을...

패스프레이즈 비밀번호 2018.10.11

글로벌 칼럼 | 최고의 비밀번호에 대한 권장사항 "뜨거운 논쟁"

짧지만 크랙이 가능한 비밀번호와 길고 복잡해서 재사용할 확률이 높은 비밀번호. 이 둘 가운데 좋은 비밀번호는 무엇일까. 이에 대한 논쟁이 격렬하다. Credit: Getty Images Bank NIST(National Institute of Standards and Technology)는 몇 년 전 리뷰 목적에서 'SP 800-63 디지털 ID 가이드라인(Digital Identity Guidelines)'을 발행했다. 이후 컴퓨터 보안 업계는 이 기관이 새롭게 제안한 비밀번호 관련 정책을 놓고 뜨겁게 논쟁하고 있다. NIST의 비밀번호 정책에 대한 권장 사항이 수십 년 동안 유지된 '권장사항(조언)'과 대척점에 있기 때문이다. 현재 NIST의 권장사항 중 가장 두드러진 내용을 요약하면, NIST는 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 사용자와 기업에 초래하는 위험을 높인다고 주장한다. 비밀번호를 기억하기 어려워 여러 관련 없는 보안 도메인에 중복 사용하고, 그 결과 동일한 비밀번호를 중복 사용한 다른 도메인에 대한 침해가 쉬워진다는 이유에서다. 지난 20년 간 탈취한 로그인 크리덴셜을 이를 중복 사용한 다른 관련 없는 여러 보안 도메인에서도 이용해 발생한 침해 사고들이 있었으며, 이런 사고 사례가 NIST의 주장에 힘을 실어준다. 사용자가 다른 장소에서 사용한 크리덴셜을 다시 사용한 결과로 침해가 발생한 기업과 웹사이트가 아주 많다. 그러나 수십 년 동안 유지된 기존 '베스트 프랙티스'를 뒤집기 힘들다. 특히, 일반적으로 사람들이 사용하기 좋아하는 비밀번호는 며칠 이내로 크랙이 가능한 때가 많지만, 길고 복잡한 비밀번호는 몇 년을 버틸 수 있다. 그리고 현재 기업과 기관에서 비밀번호 변경을 요구하는 90일이라는 기간 내에는 불가능하다. 여기에 더해, HIPAAA와 SOX, PCI-DSS, NERC, CIS 등 주요 컴퓨터 보안 규정/가이드 라인들이 비밀번...

패스프레이즈 비밀번호 Nist 2018.09.21

“이젠 비밀번호가 아닌 ‘비밀문장’의 시대”

지난 6월 25일 IT 컨퍼런스인 ITEC에서 이제 패스워드를 사용하는 시대는 지났다는 주장이 제기된 바 있다. 애플리케이션 개발 및 컨설팅업체 핀스트라이프의 CEO인 댄 콜비(Dan Colby)는 문자 및 단어의 단순 조합만으로 구성된 기존의 패스워드가 문장 및 문구로 이루어진 ‘패스프레이즈(Passphrase)로 대체될 것이라고 말했다. 이와 관련한 자세한 설명을 댄 콜비에게 들어봤다. 댄 콜비는 패스프레이즈가 그 동안 패스워드로 보안이 유지되어온 데스크톱, 노트북 컴퓨터 등 모든 사용자 기기에 새로운 대안을 제시했다고 보았다. 패스프레이즈의 개념은 다음과 같이 간단히 설명될 수 있다. ‘!PS12Na#’와 같이 문자, 숫자 및 기호로 된 복잡한 암호보다는 ‘Let the force be with you’ 등의 특정 문구가 외우기도 더 쉬우며 보안유지에도 더 도움이 된다는 것이다. 또한 문구의 길이가 길면 길수록 보안성이 높아진다고 전했다. 댄 콜비는 ‘사용자 기기’ 라는 명칭을 사용했지만, 이러한 패스프레이즈의 활용이 데스크톱 및 노트북 컴퓨터처럼 일정 수준 이상의 키보드를 갖춘 기기에만 해당된다는 의견도 제기되고 있다. 물론 스마트폰도 키보드를 갖추고 있는 경우가 있겠지만, 회사의 보안유지를 위해 직원들의 조그마한 휴대용 기기에까지 패스워드 사용을 요구할만한 업체는 예상하기 힘든 것이 사실이며, 패스프레이즈가 여기에 사용될 가능성은 더더욱 희박해 보이기 때문이다. 보안전문가 역시 패스프레이즈의 유용성에 대해서는 댄 콜비와 같은 생각이다. 즉, 암호문구가 길면 길수록 이를 해킹하는 데에는 더 많은 시간과 컴퓨터의 전력이 소요된다는 설명이다. 대개 기업들은 암호의 보안수준을 높이기 위해 ‘‘!PS12Na#’와 같은 난해한 문자조합을 요구한다. 하지만 실제 현실은 댄 콜비가 지적하듯 사무실 직원들이 패스워드가 적힌 포스트잇 메모지를 컴퓨터 모니터에 부착해 업무를 보고 있는 것이 실정이다. 좀 더 나은 경우의 예를 들자면, 컴퓨터 모니터...

패스워드 패스프레이즈 댄콜비 2008.07.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.