Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

How To : 윈도우 10에서 다른 사용자 계정의 비밀번호를 바꾸는 법

PC와 노트북에서도 생체 인식이 보편 수단으로 정착되는 최근에도 아직 전통적인 문자 입력 형식의 비밀번호를 선호하는 사용자가 많다. 하지만 만일 전체 기기 액세스의 관문인 문자와 숫자, 특수문자를 조합한 비밀번호를 잊어버리면 어떻게 해야 할까? 다른 사용자와 공유하는 PC라면 방법이 있다. 관리자 권한을 통해 윈도우 10에 등록된 다른 사용자 계정의 비밀번호를 바꾸는 간단한 방법을 알아보자.   윈도우 10에서 다른 사용자 계정의 비밀번호를 바꾸는 방법 일단 시작하기 전에, 이 튜토리얼을 따라하면 EFS 암호화 파일, 개인 인증서, 저장된 기존 비밀번호가 삭제된다는 것을 알아 두어야 한다. EFS 암호화를 사용하는 사람도 적고, 비밀번호도 찾기 기능으로 다시 정할 수 있지만 일단 알고는 있을 필요가 있다. 이 과정은 제어판을 통해 이루어지며, 따라서 윈도우 8과 기본적으로 같다. 1.    관리자 권한으로 로그인한 상태인지 확인한다. 관리자 외의 다른 계정은 다른 사용자의 비밀번호를 바꿀 수 없다. 2.    작업표시줄의 검색 창에서 ‘제어판’을 입력해 앱을 연다. 3.    ‘사용자 계정’ 항목을 선택한다. 4.    하위 메뉴인 ‘사용자 계정’을 한번 더 선택하고, 다음 화면에서 ‘다른 계정 관리’를 클릭한다. 5.    비밀번호를 바꿔야 하는 걔정을 선택한다. 계정 이름 아래에 ‘암호 사용’이라는 설명이 없다면 그 계정은 비밀번호 없이 로그인하는 계정이라는 의미다. 6.    다음 화면은 ‘변경할 사용자 선택’이다. 원하는 계정을 선택하고 화면이 ‘(이름) 계정 변경’으로 바뀌면 ‘암호 변경’ 항목을 클릭한다. 7.    이 옵션이 보이지 않는다면, 마이크로소프트 계정 비밀번호를 재설정해야한다. 8.    2개의 입력 상자에 새로...

윈도우10 계정 비밀번호 2020.08.24

로그인 정보를 보호하기 위한 8가지 대책

평균적인 네트워크 관리자가 가지고 있는 비밀번호는 몇 개나 될까? 평균적인 최종 사용자는? 답은 ‘많다’이다. 이 비밀번호를 보호하려면 어떻게 해야 할까? 인증 정보를 보호하는 것에 관한 사용자 교육의 현황은 어떠한가?    마셔블(Mashable)의 최근 기사에 따르면, 한 공격자는 회사의 슬랙 계정 상에서 몇몇 내부 트위터 시스템에 관한 인증 정보를 알아냈다. 이게 사실이라면(해킹 출처에 관해서는 상충된 보도들이 있다) 이는 네트워크 관리자가 인증 정보를 제대로 관리하지 못한다는 것을 의미한다. 관리자가 그 정도라면 사용자 역시 인증 정보를 제대로 관리하지 않는다고 보아도 무방할 것이다.  네트워크 관리자와 사용자가 인증 정보를 보다 잘 보호하도록 하기 위해 어떤 조치를 취해야 할까? 이는 교육과 인식으로 귀결된다.  소셜 엔지니어링에 대한 저항을 구축한다  네트워크 관리자와 최종 사용자에게 피싱이 주는 영향, 그리고 공격자가 약점을 파고드는 방식을 교육하라. 공격자는 소셜 미디어를 통해 조직 안에서 누가 무슨 역할을 맡고 있고 누구를 추적할 것인지를 파악한다. 유명한 해커인 케빈 미트닉은 한때 CEO와 임원 목록이 담긴 한 워싱턴 주 책자를 이용해 회사에 액세스한 적이 있다. 공공 장소에서 소셜 게시글을 억제해 정보가 공격자에게 노출되는 것을 피하도록 경고한다.   인증을 확인하는 데 쓰이는 정보를 보호한다  소셜 미디어 상에서 설문조사 질문에 답하지 말도록 사용자에게 경고한다. 흔히 이런 ‘무작위 질문’은 전형적인 비밀번호 초기화 질문 내지 비밀번호 검증 프로세스로부터 유래한다. 최초의 직업이나 좋아하는 자동차에 대해 묻는 페이스북 게시글에 답변한다면 공격자는 비밀번호 초기화 답변 데이터베이스를 축적할 수 있다.  사용자가 브랜드 랜딩 페이지를 인식할 수 있도록 교육한다  오피스 365 또는 마이크로소프트 365의 경우 브랜딩을 이용하는 것이 좋다. 이는 사용자...

로그인 비밀번호 인증 2020.08.13

비밀번호 해독기, '해시캣'이 필요한 이유

'해시캣(Hashcat)은 침투 테스터와 시스템 관리자가 비밀번호 강도를 확인하기 위한 필수 도구다.    해시캣이란 무엇인가? 해시캣은 범죄자와 스파이뿐만 아니라 침투 테스터와 시스템 관리자 모두가 널리 사용하는 인기있고 효과적인 비밀번호 해독기(password cracker)다.    비밀번호를 해독하다는 것은 일반적으로 웹 사이트 로그인시 몇번의 시도만으로 계정을 잠그는 것과는 다르다. 암호화한 비밀번호(encrypted passwords, 해시(hashes))가 있는 시스템에 액세스한 누군가는 종종 해시를 해독해 해당 비밀번호를 알아내려고 시도한다.  비밀번호는 더 이상 일반 텍스트로 저장되지 않으며, 그렇게 저장해서도 안된다. 대신 비밀번호는 해시라는 단방향 암호화를 사용한다. 해시가 아닌 평문 ‘Password1’과 같은 비밀번호를 계산하는 것은 빛처럼 빠르다. 하지만 해시가 있다면 무차별 대입 공격(Brute Force Attack)을 시도하더라도 비밀번호를 복구하는 것은 사실상 불가능할 수 있다.   이처럼 무차별 대입 공격으로 해시를 해독하는 것은 불가능하지만 원래 비밀번호를 복구하기 위해 해시를 되돌리는 방법은 많다. 바로 해시캣이다. 사람이 만든 비밀번호는 예측할 수 있기 때문에 해시캣은 종종 비밀번호를 복구할 수 있다.  해시캣 사용하기 비밀번호를 해독하는 것은 명백한 범죄 활동이나 간첩 행위 외에도 많은 합법적인 용도가 있다. 시스템 관리자는 사용자 비밀번호의 보안 상태를 미리 점검할 수 있다. 만약 해시캣이 이를 해독할 수 있다면 공격자도 이들을 공격할 수 있다.  침투 테스터는 네트워크 내에서 권한을 확장하거나 관리자 권한을 획득하기 위한 도난당한 비밀번호 해시를 자주 검색한다. 침투 테스터는 계약에 따라 보안 허점을 찾는 것이기 때문에 이 역시 완벽하게 합법적인 사용사례다.  실제 상황에서는 불법 공격자와 합법적인 방어자 모두가 해...

비밀번호 해시캣 Hashcat 2020.05.28

2019년 최악의 비밀번호 25종과 비밀번호 보안을 높이는 8가지 방법

2013년 이후로 매년 가장 많이 사용하고, 가장 안전하지 못한 비밀번호는 무엇일까? ‘password’라고 생각했다면 거의 맞췄다. ‘Qwerty’도 크게 다르지 않지만 승자는 가장 기본적이고 생각할 수 있는 확실한 비밀번호인 ‘123456’이다.   그렇다. 스플래시데이터에 따르면, 많은 사람이 여전히 ‘123456’을 비밀번호로 사용하고 있다고 밝혔다. ‘123456’은 2011년과 2012년에 2위를 차지했다가 2013년부터 2019년까지 매년 1위를 차지했다. 스플래시데이터의 최악의 비밀번호 목록은 인터넷상에서 유출된 수백만 개의 비밀번호에 대한 분석에 기반하고 있다. 이 외에도 스플래시데이터의 연례 불명예의 전당에 올라간 안전하지 못한 기타 비밀번호로는 앞서 언급한 ‘password’(항상 상위 5위권, 2011년과 2012년 1위), ‘qwerty’(항상 상위 10위권), 1위보다 조금 더 긴 변종인 ‘12345678’(항상 상위 6위권) 등이 있다. 스플래시데이터 CEO 모건 슬레인은 “실망스럽게도 최신 최악의 비밀번호 목록과 올해의 목록은 크게 다르지 않다”라고 말했다. 왜냐하면 목록의 비밀번호는 대부분 단순하고 기억하기 쉬워서 훨씬 쉽게 해킹 당할 수 있는 비밀번호를 고수하는 소비자들이 생성하기 때문이다.   2019년 최악의 비밀번호 스플래시데이터의 2019년 가장 인기 있으면서 가장 안전하지 못한 비밀번호는 다음과 같다. 1. 123456 2. 123456789 3. qwerty 4. password 5. 1234567 6. 12345678 7. 12345 8. iloveyou 9. 111111 10. 123123 노드패스(NordPass)와 영국의 국립 사이버보안 센터(National Cyber Security Center, NSSC)의 목록도 스플래시데이터의 발견사항과 대부분 일치한다. 그리고 스플래시데이터의 2018년 목록과 비교해봐도 매년 크게 변하지 않는다.    또한 사이버보안 ...

비밀번호 password QWERTY 2020.02.18

제대로 해야 하는 9가지 윈도우 서버 보안 설정

윈도우 서버(Windows Server) 보안 기능의 권장 구성은 최근 몇 년 사이 변했다. 최근 (공식적으로) 윈도우 서버 2008 R2의 수명이 종료됐지만 지원 기간이 3년이 채 남지 않은 서버 2012 R2에도 작별을 고할 준비를 해야 한다. 이와 같은 오래된 서버에서는 코드 서명 인증서 스푸핑(spoofing)이나 변조(tampering)를 통해 액세스 권한을 획득하는 등의 최신 위협에 대처하기가 어렵다   사용 중인 서버나 클라우드 플랫폼에 따라 더 이상 예전과 같은 효과가 없을 수도 있는 보안 설정 9가지와, 이런 설정을 대신하거나 보완해서 사용해야 할 설정 또는 정책을 알아보자. 1. 과거의 조언: 관리자 계정 이름 바꾸기 한때 관리자 계정의 이름을 바꾸는 것이 중요한 지침이었다. 일부 서버 플랫폼에서는 마법사 프로세스에 이 과정이 포함되기까지 했다. 몇 년 전에는 계정 이름을 알아내려는 공격자가 있었고, 관리자 계정의 이름을 바꿔 공격자가 이름을 알아내기 어렵도록 한 것이다. 이제는 관리자 계정 이름을 바꾸는 방법은 별 효과가 없다. 공격자는 피싱을 사용하거나 시스템에 방치된 인증 정보를 수집해서 시스템에 침투할 발판을 마련할 수 있기 때문이다. - 새 조언: 다양한 관리자 비밀번호를 사용하라 대신 네트워크 전체에서 동일한 로컬 관리자 비밀번호를 사용하지 말 것을 권한다. 랜섬웨어 공격자가 네트워크에서 손쉽게 횡적 이동을 하도록 허용하려면 각 워크스테이션에 동일한 비밀번호를 사용하면 된다. 로컬 관리자 비밀번호 솔루션(LAPS)을 배포해서 무작위의 비밀번호가 할당되도록 해야 한다. 배포하면서 잊지 말아야 할 것은 “모든 확장된 권한”을 가진 사용자, 즉 LAPS가 활성화된 모든 컴퓨터와 비밀번호를 볼 수 있는 사용자를 공격자가 노린다는 점이다.  로컬 관리자 계정이 네트워크를 통해 인증되지 않도록 그룹 정책을 구성한다. 다음 그룹 정책 개체(GPO)를 권장한다. 네트워크에서 이 컴퓨터에 대한 액세스 거부: 로컬 계정...

비밀번호 윈도우서버 보안설정 2020.01.30

아이폰·아이패드에서 안전하게 와이파이 비밀번호를 공유하는 법

무료이거나 공공 네트워크의 복잡한 와이파이 비밀번호를 일일이 입력하는 것은 귀찮은 일이다. 친구나 동료의 집에 놀러갔을 때도 마찬가지다. 그러나 IOS 11 이상의 아이폰이나 아이패드에는 근처에 있는 사람과 와이파이 비밀번호를 공유하는 기능이 있다. 다만 다음의 6가지 조건이 맞아떨어져야 한다. 까다로워 보이지만 각각의 조건은 명확하다. -    두 기기가 모두 IOS 11 또는 맥OS 10.13 하이 시에라 이상의 운영체제를 설치해야 한다. -    두 기기가 모두 블루투스와 와이파이를 활성화해야 한다. -    상대방의 애플ID가 연락처 목록에 등록되어 있어야 한다. -    기기가 잠겨 있지 않아야 한다. -    네트워크가 단순한 WPA2(비밀번호만) 네트워킹을 사용해야 하고, WAP2 엔터프라이즈에 활용되는 이름/비밀번호 형식이 아니어야 한다. -    한쪽 기기가 공유하려는 와이파이 네트워크에 연결되어 있어야 한다. 이 조건을 만족했다면 이제 비밀번호를 공유하는 방법을 알아보자. 1.    아이폰, 아이패드에서 사용할 와이파이 네트워크를 선택한다. 2.    근처에 있는 동료, 가족, 친구가 “와이파이 네트워크의 암호를 공유하시겠습니까?”라는 메시지를 받으면 ‘암호 공유’ 버튼을 눌러 요청을 수락한다. 3.    비밀번호가 암호화되어 기기에 전송되고, 와이파이를 사용할 수 있게 된다. editor@itworld.co.kr 

와이파이 암호 비밀번호 2020.01.02

디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워

두려운 제목의 기사가 등장했다. “디즈니+ 계정 수천 개가 이미 해킹 포럼에서 판매되고 있다”는 ZD넷의 지난주 기사를 필두로, 18일 오전에는 BBC가 “수천 개의 계정이 해킹된 후 아무런 답변을 듣지 못한 디즈니+ 팬들”이라는 제목으로 보도를 냈다.  디즈니+ 해킹에 대처하는 한가지 방법이 있는데, 아마 전에도 들었던 이야기일 것이다. 여러 서비스와 웹사이트에 같은 암호를 사용하지 말라는 것이다. 두 매체 모두 다크 웹에서 디즈니+에 로그인 가능한 계정 ‘수 천개’를 찾아 냈다고 보도했는데, BBC의 경우는 약 4,000개라고 전했다. 각 매체가 피해자들과 대화를 나눠본 결과, 일부 사용자들은 디즈니+에 다른 웹사이트와 같은 암호를 사용했다고 인정했고, 일부는 부인했다. 하지만 락페이퍼샷건(RockPaperShotgun)의 공동 창업자 존 워커가 지적한 것처럼, 이미 1,000만 명 이상이 가입한 디즈니+에서 몇천 건의 계정이 해킹됐다는 것은 디즈니의 책임 소재보다는 암호의 보안이 약한 탓일 가능성이 더 커 보인다. 데이터 유출은 요즘 아주 흔한 일이다. 여러 사이트와 서비스에 같은 크리덴셜을 사용하고 있다면 해커가 계정 하나만 탈취해도 모든 계정에 액세스할 수 있다고 봐도 무방하다. 사이버인트(CyberInt)의 연구원인 세이즌 힐은 BBC 측에 다크 웹에서 판매되는 디즈니+ 크리덴셜이 바로 이런 케이스로 보인다고 지적했다. 이 계정들이 해킹된 것이 아니라 사용자들이 스스로를 위험에 빠트렸다는 것이다. 요즘 같은 시대에 각 서비스의 암호를 따로 기억하는 것도 결코 쉬운 일이 아니다. 하지만 비밀번호 관리자를 사용하면 모든 로그인 정보를 관리하고, 암호를 각 사이트별로 무작위로 만들어 사용할 수도 있다. 또, 비밀번호 관리자 대부분은 매우 저렴하고, 사용 중인 디바이스가 몇 개 되지 않으면 무료로도 사용할 수 있다.    2017년 최고의 비밀번호 관리자는 “얼마나 안전하고, 얼마나 편리할까?” 비밀번호 관리 앱의...

비밀번호 해킹 디즈니+ 2019.11.19

IBM Security: 아이덴티티의 미래 - 전세계 설문조사 결과

적절한 ID를 기반으로 사용자에게 디지털 액세스 권한을 부여한다는 개념은 1980년대 대중적 인터넷이 출현한 이래로 온라인 서비스 액세스 방식의 핵심을 구성했습니다.  IBM Security는 비밀번호 및 생체 인증부터 다중요소 인증 방식까지 현재의 인증 방법에 대한 소비자의 생각과 이러한 방법의 채택률 및 기능과 보안에 대한 우려 사항을 알아보기 위해 전 세계를 대상으로 하는 조사를 의뢰했습니다. 이번 IBM Security 조사의 주요 결과는 응답자들이 현재 사용되는 여러 가지 인증 방법에 이미 상당히 익숙한 상태라는 점을 보여줍니다. 응답자들은 보안 문제를 인식하고 있으며 편리함을 선호하는 경우에도 보호할 만한 가치가 가장 크다고 여기는 데이터 유형을 이해하고 있었습니다. 주요 내용  - 편리함보다 중요한 보안 - 보안 우려가 여전히 존재하는 생체 인증 - 비밀번호를 둘러싼 세대 차이 - 지역별 비교: 문화에 따른 관점의 차이 - IBM Security 소개 

비밀번호 생체인증 아이덴티티 2019.11.07

2020년 상반기 윈도우 10 참가자 프로그램, 비밀번호 없애고 PIN에 집중

비밀번호를 좋아하는 사람은 없다. 다행히 마이크로소프트도 그런 것 같다. 최신 윈도우 10 참가자 프로그램에서 비밀번호 입력 과정이 사라졌다. 패스트링으로 배포되는 20H1 버전인 윈도우 10 참가자 프로그램 18936에서 주목할 만한 변화는 3가지다. PC 비밀번호 입력 과정 삭제, 캘린더 팝업에서 새로운 이벤트 추가, 마이크로소프트 서피스 제품군 안에서의 ‘사용자 휴대폰’ 앱 지원 확대다. 하지만 2020년 4월에야 출시된다는 점을 기억해야 한다. 비밀번호가 완전히 사라진 것은 아니다. 온라인 계정 관리 등 특정 상황에서는 비밀번호 입력이 필요할 때가 있다. 그러나 PC 안에서는 이야기가 달라진다.   20H1 빌드에서 설정 > 계정 > 로그인 옵션을 선택한 후, ‘기기를 비밀번호 없음으로 설정(Make your device passwordless)’을 선택한다. 이제 PIN 번호나 지문, 얼굴 인식으로 로그인하는 옵션만 남겨두는 것이다. 그러나 참가자 프로그램 안에서도 이 기능 업데이트를 받은 사람은 소수다. 마이크로소프트에 따르면 지금 이 기능이 업데이트되지 않았다면 1, 2주 더 기다려보라고 권고한다. PIN보다는 비밀번호가 더 안전하지 않을까 고민하는 사람에게 마이크로소프트는 비밀번호는 서버에서 도난당할 수 있지만, PIN과 PC의 TPM 칩에서는 그럴 염려가 없다고 답한다. 또, 캘린더 팝업 창에서 바로 일정을 입력할 수 있다. 작업 표시줄의 액션 센터 아이콘을 클릭하면 캘린더 팝업 창이 나타나 작은 텍스트 상자로 바로 일정을 입력할 수 있다.   마지막으로 ‘사용자 휴대폰’ 앱이 최신 서피스 기기 지원 폭을 넓혔다. 기존에 지원되던 서피스 고 외에 서피스 랩톱, 서피스 랩톱 2, 서피스 프로 4, 서피스 프로 5, 서피스 프로 6, 서피스 프로, 서피스 북이 추가됐다. 최신 드라이버에서 블루투스 LEPR(Low Energy Peripheral Rol) 지원을 추가했다. 스마트폰 화면을 업무용으로 미러링할...

비밀번호 PIN 윈도우10 2019.07.12

구글 G 스위트 "2005년부터 비밀번호 평문으로 저장한 오류 발견"

구글 클라우드 블로그가 화요일 포스트를 통해 2005년에 사용자 비밀번호를 해시 버전으로 스크램블해 저장하지 않고 실제 복사본을 저장해온 오류를 발견했다고 밝혔다. 당연히 외부 공격을 통해 실사용 가능한 비밀번호에 접근하는 것도 가능했다. 구글은 현재는 문제가 수정되었고 “외부에서 오용된 비밀번호나 부적절한 액세스의 증거는 발견하지 못했다”고 발표했다. 구글은 비밀번호가 계속 안전하게 암호화된 인프라에 저장되어 있다고 주장해 외부에서의 공격 가능성은 높지 않아 보인다. 구글은 이번 사태의 원인을 기존 기능이라고 주장한다. 2005년 G 스위트 도메인 관리자가 자사 사용자를 위해 클라이언트에서 암호를 설정하고 복구할 수 있는 권한이 생겼는데, 그래서 해시되지 않은 암호 액세스가 필요하게 됐다. 그래서 구글은 이 기능을 폐기하고, 지메일처럼 모든 G 스위트 비밀번호의 재설정을 요구하고 있다. 또한, 별도의 문제를 지난 1월에 발견해 해시되지 않은 비밀번호가 최장 14일까지만 저장하게 수정했다고밝혔다. 이 문제도 다른 문제와 마찬가지로 수정되었고 외부에서의 침입과 비밀번호 오용의 증거를 발견하지 못했다고 했다. 그래서 구글은 영향권 내에 있는 모든 가입 업체에 영향받은 비밀번호를 바꾸고, 수동으로 바뀌지 않는 비밀번호는 초기화하라고 알리고 있다. 사과와 함께 향후에는 더 나은 모습을 보일 것을 약속했다. 이번 문제는 지메일 사용자(즉, G 스위트 구독자 외부의)에게는 영향이 없지만, 핵심적인 웹 사이트나 서비스에 강력하고 흔하지 않은 비밀번호를 사용해야 하는 원칙에 대한 주의를 환기할 것이다. 아직 비밀번호 관리자 서비스를 사용하지 않는다면 고려하는 것이 좋다. editor@itworld.co.kr 

비밀번호 구글 비밀번호관리자 2019.05.23

세계 비밀번호의 날을 기념하는 놀라운 사실 5가지

올해 5월 2일(5월 첫째주 목요일)은 세계 비밀번호의 날이었다. 이 날은 보안 업체가 게으르고 부주의한 사람들에게 비밀번호 습관을 개선하라고 호소하는 날이기도 하다. 보안소프트웨어 업체 아비라(Avira)는 비밀번호 보안 보고서를 발표했다.    이 업체가 비밀번호 관리자를 판매하는 것은 우연이 아니다. 보고서 작성 동기와는 관계없이 이 보고서는 비밀번호가 계속해서 인간 존재를 괴롭히고 중요한 데이터를 유출시키는 방법을 보여준다. 이번 보고서에서 나온 놀라운 사실은 다음과 같다.   1. 데이터 유출 사고가 갈수록 자주 발생한다. 2019년에 이미 4차례의 대형 데이터 유출 사건이 발생했다.   2. 데이터 유출이 악화되고 있다. 최악의 사태 가운데 하나는 올해 초 발생했는데, 27억 개의 이메일과 비밀번호가 유출됐다.  3. 최악의 데이터 유출로 알려진 야후 계정 30억 건의 해킹 사건은 2013년에 발생했지만 2016년까지 밝혀지지 않았다. 즉, 해커는 훔친 데이터를 3년동안이나 악용할 수 있었다는 의미다.  4. 보유한 온라인 계정이 많을수록 취약성은 커진다. 아비라는 온라인 계정이 6~10개 정도라면 9%의 데이터 유출 가능성이 있음을 나타낸다고 밝혔다. 이는 그렇게 나쁜 수치는 아니다. 100개 이상의 온라인 계정이 있는 경우, 유출 확률은 30%로 증가한다.  이는 계정이 많을수록 노출 확률이 올라가는 단순한 수학이 아니다. 계정이 많을수록 해커가 악용할 수 있는 가장 흔한 최악의 습관인 사용자 이름이나 비밀번호를 재사용할 가능성이 높아지기 때문이다.  5. 사실 많은 이가 나쁜 비밀번호 습관을 버리지 못한다. 2,519명이 응답한 아비라의 온라인 설문 조사에 따르면, 잘못된 비밀번호 습관은 지속되고 있다. 잘못된 습관 가운데 가장 많은 것은 브라우저에 비밀번호를 저장하는 것(36%), 가능한 한 많은 기기를 인터넷을 통해 동기화하는 것(35%)이었다. 5...

비밀번호 세계비밀번호의날 2019.05.03

업데이트 : 페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출

페이스북 직원들이 사용자 수억 명의 비밀번호를 열람할 수 있었던 것으로 밝혀졌다. 페이스북은 이 사실을 인지하고 있으며 관련된 문제를 수정했고, 비밀번호가 노출된 사용자에게 비밀번호 변경 안내문이 나갔다고 전했다.    페이스북의 이같은 발표는 연구원 브라이언 크렙스가 이 문제에 대해 직접 공개한 직후에 이뤄졌다. 흥미롭게도 페이스북의 발표에는 이 문제를 별 것 아닌 것으로 보이게 하려는 노력이 드러났다. 페이스북의 보안 및 프라이버시 엔지니어링 부사장인 페드로 카나후아티는 성명 앞부분에서 “일부” 사용자의 비밀번호에 페이스북 직원들이 액세스할 수 있었다고 밝혔다. 하지만 이후 문단에서 그는 수억 명의 페이스북 라이트(Facebook Lite) 사용자와 수백만 명의 페이스북 사용자, 그리고 수만 명의 인스타그램 사용자”에게 이 문제에 대한 알림이 갔다고 설명했다. 지난 4월 18일 페이스북은 인스타그램 계정의 비밀번호도 보안 위험에 노출됐다고 확인했다. 페이스북은 "현재 수백만 명의 인스타그램 사용자가 영향을 받은 것으로 추산한다. 페이스북의 경우처럼 영향 받은 사용자에게는 개별적으로 알릴 것이며, 저장된 비밀번호가 내부적으로 악용되거나 부적절하게 액세스된 경우는 발견하지 못했다"고 밝혔다. 참고로 페이스북 라이트는 2009년 출시된 것으로, 처음에는 미국과 인도에서 초고속 인터넷 서비스를 사용하지 못하는 사용자들을 위한 간소화된 버전의 페이스북이다. 현재는 여러 국가에서 서비스되고 있다. 페이스북의 설명에 따르면 이 문제는 내부에서만 일어난 것이다. 카나후아티는 “분명히 말하면, 이 비밀번호들은 페이스북 외부인 누구도 볼 수 없었으며, 현재까지 내부의 누구도 비밀번호를 남용하거나 부적절하게 액세스한 경우가 없었다”고 말했다. 또한, 페이스북은 비밀번호가 이렇게 저장되게 된 경로를 파악하고 문제를 수정했다고 전했다. 카나후아티는 “우리에겐 사용자의 정...

페이스북 유출 비밀번호 2019.03.22

글로벌 칼럼 | "NIST 지침과는 무관한" 최고의 비밀번호 조언

미국 국립표준기술연구소(NIST)가 디지털 신원 가이드라인, 특별판 800-63-3(Digital Identity Guidelines, Special Publication 800-63-3)에서 발표한 통념을 거스르는 비밀번호 정책 권고안은 많은 논란을 불러일으켰다. 이 가이드라인에는 논란의 여지가 없는 인증 정보가 다수 포함되어 있지만, 새 권고안이 심하게 틀렸다고 생각하는 사람도 많다. 필자는 NIST의 비밀번호 정책에 대해 생각하는 바가 변한 것은 사실이다. 그러나 이를 다루기 전에 필자가 최고의 비밀번호 정책 조언이라고 믿는 것을 설명한다.    올바른 비밀번호 정책 방향  컴플라이언스 우려를 가지고 있지 않다면, 일반적인 비밀번호 정책은 다음과 같을 것이다.  - 가급적 다중 인증(Multi-Factor Authentication, MFA)을 이용할 것 - MFA가 가능하지 않은 경우, 특히 보안 도메인 별로 유일하고, 길고, 무작위 비밀번호를 생성한다면, 가급적 비밀번호 관리자(password managers)를 이용할 것  - 비밀번호 관리자가 가능하지 않을 경우, 길고 단순한 패스프레이즈(passphrases)을 사용할 것 - 어떠한 경우라도, 평범한 비밀번호를 사용하지 말 것(예. 'password', 'qwerty' 등). 그리고 다른 사이트에서 비밀번호를 재사용하지 말 것  이 조언에 있어서 문제라면 MFA와 비밀번호 관리자가 모든 사이트에서, 그리고 모든 기기에 걸쳐 사용할 수 있는 것은 아니라는 점이다. 따라서 사용자는 어쩔 수 없이 비밀번호를 사용해야 할 경우가 있다. 비밀번호 관리자가 무작위의 길고 복잡한 비밀번호를 선택한다면, 그리고 일부 기기에서만 유효하고 다른 기기에서 유효하지 않다면, 이는 길고 복잡한 비밀번호를 기억하거나 기록해둬야 한다는 의미다.   NIST가 비밀번호 정책을 바꾼 이유  어찌됐든 사용자는 스스로 ...

비밀번호 NIST 2019.03.08

"취약점 분명히 존재"···'그럼에도 불구하고' 암호 관리 앱을 써야 하는 이유

최근 일부 유명 암호 관리 도구에서 취약점을 발견한 조사 연구가 여럿 발표됐다. 공격자는 취약점을 악용해 컴퓨터에 액세스해 메모리로부터 암호를 수집할 수 있다. 그 밖에도 메모리 안의 비밀 정보를 보호하는 것은 소프트웨어 업계에서 계속되어 온 문제이고, 전문가들은 암호를 훔치는 더 쉬운 방법도 많다고 지적해왔다. 소프트웨어 취약점 발견에서 지금까지 양호한 성적을 거둔 보안 컨설팅 업체인 인디펜던트 시큐리티 이벨류에이터(Independent Security Evaluators, ISE) 지난 주 보고서를 통해 보안 업계에서 논란을 불렀다. ISE는 데스크톱 버전의 라스트패스(LastPass), 대시레인(Dashlane), 원패스워드 버전 4(1Password version 4), 원패스워드 버전 7(1Password version 7), 키패스(KeePass)를 테스트하였다. ISE는 이들 앱을 암호 볼트가 잠긴 채 실행되지 않음, 암호 볼트가 풀린 채 실행됨, 암호 볼트가 잠긴 채 실행되는 각 3가지 상태를 시험하면서 앱이 얼마나 강력한 보안을 제공하는지 조사했다고 밝혔다.   해커가 메모리에서 암호를 찾을 수 있는 이유  암호 관리자는 사용자의 마스터 암호에서 유래한 키에 의해 암호 데이터베이스를 암호화한다. 사용자가 마스터 패스워드를 입력하면 키가 프로그램 메모리로 로드 되고 볼트가 해제된다. 또한 볼트에 저장된 일부 또는 전체 개별 암호는 이용되는 동안 프로그램의 메모리에 일시적으로 복사될 수 있다. ISE는 앱이 비밀 정보를 메모리에서 얼마나 잘 제거하는지 관찰했고, 일부 앱이 ‘잔여 버퍼’를 잔류시키는 것을 발견하였다. 이 버퍼는 앱이 실행 중이면서 암호 볼트는 닫힌 상태인 동안 마스터 암호나 개별 사용자 암호의 복구를 허용할 수 있다. 사용자가 의도적으로 잠그거나 로그아웃했기 때문이다. 그러나, 테스트 대상 앱은 모두 앱이 실행되지 않을 때 패스워드 데이터베이스를 충분히 안전하게 보호했다. 데이터베이스가 ...

패스워드 암호 비밀번호 2019.02.28

비밀번호 탈취 여부 확인해주는 구글 크롬 플러그인 ‘패스워드 체크업’

데이터 유출 사고가 흔해지면서 개인 정보가 노출되었을 가능성도 더욱 높아지고 있다. 하지만 어떻게 알 수 있을까? 지난 5일 구글은 로그인 정보의 탈취 여부를 알 수 있는 크롬 플러그인을 공개했다. 구글의 패스워드 체크업(Password Checkup) 플러그인은 과거에 데이터가 유출됐던 사이트에 방문하기 전까지는 아무것도 탐지하지 않는다. 하지만 최근에 공개된 ‘컬렉션(Collection)’에 포함된 계정 및 비밀번호로 로그인할 경우 정보가 탈취됐다는 경고 팝업창이 나타난다. 구글은 탈취된 크리덴셜 40억 개를 수집한 것으로 알려졌다. 웹에서 수동으로 본인의 로그인 정보가 유출되었는지도 확인할 수 있다. 하소 플래트너 인스티튜트(Hasso Plattner Institute)의 아이덴티티 리크 체커(Identity Leak Checker)나 HaveIBeenPwned 및 유사한 신뢰할 수 있는 데이터베이스를 활용하면 된다. 크리덴셜이 탈취되어 웹에 공개됐음이 확인되면, 패스워드 체크업은 비밀번호를 변경할 수 있는 팝업창을 띄운다. 크롬은 이미 자동 비밀번호 생성기를 제공하고 있으며, 새로운 비밀번호를 비밀번호 크리덴셜 파일에 자동으로 저장해준다. 그리고 원한다면 향후 해당 사이트를 방문했을 때 자동으로 로그인할 수 있다. 한편, 구글은 5일을 ‘더 안전한 인터넷의 날(Safer Internet Day)로 지정하고, 크로스 어카운트 프로텍션(Cross Account Protecion)이라는 기술을 공개했다. 구글 계정으로 로그인하는 서드파티에 보호막을 하나 더 제공하는 것이다. 사용자의 작업이 필요한 것은 아니다. 구글은 IETF(Internet Engineering Task Force)와 오픈ID 재단(OpenID Foundation), 그리고 어도비와 같은 주요 기술 회사와 협력해 크로스 어카운트 프로텍션을 사용해 뒤에서 계정을 보호하는 것이라고 설명했다.  만일 구글이 구글 계정이 유출된 것...

브라우저 프라이버시 암호 2019.02.07

"콜렉션 #1에 이어 이번에는 6억 건 이상"...이메일·비밀번호 잇단 유출

‘콜렉션’ 데이터 유출의 후속편처럼, 콜렉션 #2-#5가 보고됐다. 전편보다 훨씬 많은 21억 9,000만 개의 이메일 주소와 비밀번호가 유출된 것으로 알려졌다. 하소 플래트너 인스티튜트 연구원들은 콜렉션 #2-5에 있는 6억 1,100만 개의 자격 증명이 콜렉션 #1 데이터베이스에는 포함되어 있지 않다는 사실을 발견했다. 그래서 피해 데이터는 총 21억 9,000만 개에 달하게 됐고 Heise.de의 보도에 따르면 이 중 일부 정보가 다른 곳에 유통되고 있는지 여부는 아직 확실하게 알 수 없다. 분명한 점은 20억 개가 넘는 이메일 주소와 비밀번호가 노출되었기 때문에 개인 사용자도 위험하다. 사용자의 비밀번호나 이메일 정보가 공격자의 손에 들어가 있을 것이 거의 확실해진 것이다. 필자의 경우 외부에 공유한 적이 거의 없는 이메일 주소는 무사헀지만, 사용된 적이 있는 공개 이메일 주소는 여러 데이터 베이스에서 발견됐다.   개인 사용자의 대처 방법 HaveIBeenPwned 웹 사이트 소유자이기도 한 트로이 헌트(Troy Hunt) 연구소는 이전의 콜렉션 #1 데이터베이스를 추가했다. 나머지 콜렉션은 아직 추가되지 않았다. 이와 달리 하소 플래트너 인스티튜트는 자체적인 ID 유출 확인 프로그램(Identity Leak Checker)를 돌리고 있는데, 여기서는 데이터베이스에 추가됐다. ID 유출 확인 프로그램은 사용자의 이메일만을 확인용으로 요구하고, 이 이메일 주소를 사용해 인터넷 다른 곳에 유출된 사용자 이름, IP 주소, 비밀번호(해당될 경우) 등이 포함된 정보 목록을 생성한다. ID 유출 확인 프로그램은 이메일 주소와 비밀번호가 매치되는지 여부를 알려준다. 그러나 그 비밀번호가 얼마나 최근의 것인지는 알 수 없다. 영향 받은 이메일 주소와 비밀번호를 더 어려운 것으로 바꾸는 것도 좋은 방법이다. 가능하다면 이메일 주소에 이중 인증이 활성화되어 있는지를 다시 한번 확인해보자. 특히 이메일 주소는 사용자가 접근할 수 있...

유출 이메일 암호 2019.02.01

이메일·비밀번호 27억 건 유출… “내 데이터 유출 확인 방법은?”

데이터 유출은 점점 흔해지고 있지만, 이번 사건은 충격적이다. 약 11억 개의 고유 이메일 주소와 비밀번호 조합, 7억 7,300만 개의 이메일 주소, 2,000만 개의 비밀번호가 포함된 총 27억 개의 데이터가 ‘컬렉션 #1(Collection #1)’이란 이름으로 유출된 것.   컬렉션 #1은 클라우드 스토리지 서비스인 MEGA에 공개되어 트로이 헌트가 처음으로 공개했다. 헌트는 본인의 이메일 정보가 유출됐는지 검색할 수 있는 사이트인 HaveIBeenPwned를 운영하고 있으며, 컬렉션 #1에 포함된 데이터 중 고유한 이메일 주소 7억 7,300만 개를 본인 사이트 데이터베이스에 업데이트했다. 그는 이번에 유출된 데이터가 본인 사이트에 업로드된 이메일 주소 중 최대 규모라고 전했다. 하지만 컬렉션 #1에는 이 외에 2,122만 2,975개의 고유 비밀번호도 평문으로 저장되어 있다. 11억 6,025만 3,228개의 고유한 이메일 주소와 비밀번호의 조합 데이터가 실제로 연결되어 있는 것인지는 불분명하다. 데이터가 정제되어 있지 않기 때문. 하지만 27억 개의 사용자명과 비밀번호 목록이라고 언급한 것으로 보아 그럴 가능성이 높다. 하지만 핵심은 이것이 아니다. 헌트의 데이터베이스로 본인의 이메일 주소가 최근 데이터 유출에 포함되어 있는지 확인할 수 있다. 또한, 비밀번호도 확인할 수 있다. 만일 둘 다 유출된 것으로 확인된다면 누군가 본인의 이메일에 접근할 수 있다고 추정해야 한다. 구글과 같은 일부 온라인 서비스들은 서드파티 웹사이트 비밀번호를 서비스 안에 저장하도록 한다. 이 경우엔 공격자들은 마스터격인 지메일 비밀번호로 서드파티 웹사이트에도 접근할 수 있다. 특히, 여러 사이트에서 같은 이메일 주소와 같은 비밀번호를 사용하는 경우가 위험하다. 크리덴셜 스터핑(credential stuffing) 공격에 매우 취약한데, 피해자가 여러 사이트에 같은 이메일 주소와 비밀번호를 사용한다는 것을 알면 이들은 은행, 회사, ...

유출 이메일 암호 2019.01.18

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.