Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

리뷰 | 명불허전···"비밀번호 관리 프로그램의 일인자" 라스트패스

라스트패스는 비밀번호 관리 프로그램의 가장 모범적인 표준이다. 모든 기능을 다 갖춘 최초의 도구이자 비밀번호 조합기능, 폼 채우기, 비밀번호 생성 기능은 모두 비밀번호 관리자 프로그램이 갖춰야 할 필수 기능이다. 라스트패스 브라우저 플러그인을 설치하고 로그인하면, 이후 처음 방문하는 웹 사이트의 로그인 인증서가 라스트패스에 확보된다. 사이트에 재방문하면 작은 아이콘이 로그인 폼에 보이고 숫자로 저장된 아이디 개수를 보여준다. 클릭하면 각 아이디를 선택해 로그인할 수 있다. 계정마다 자동 로그인 설정이 있어 언제든 웹 사이트를 방문할 때마다 자동으로 로그인할 수도 있다. 모든 웹 사이트 계정은 사용자 보관함(Vault)에서 관리한다. 비밀번호가 저장된 웹 사이트는 타일이나 목록 형태로 나열된다. 각각의 타일은 로그인 상세 정보로 연결되는 버튼 역할을 하며, 다른 사용자와 공유하거나 삭제할 수 있다. 솔직히 말하자면, 보관함을 방문하는 이유는 단 하나, 플러그인 메인 기능과 개인 계정에 접속할 수 있기 때문이고, 자주 방문할 일은 없다. 독특하고 복잡한 비밀번호는 보안을 강화할 때 가장 큰 장애물이다. 라스트페스는 대소문자, 숫자, 특수문자로 12자리 암호까지 자동으로 생성하는 강력한 암호 생성 기능으로 사용자의 부담을 줄인다. 쉽게 기억할 수 있도록 비밀번호를 소리 내 발음으로 듣는 설정도 있다. 비밀번호 생성기 아이콘은 웹 사이트에 새로 가입할 때 발견할 수 있고, 보관함이나 브라우저 플러그인에 액세스해 변경할 수도 있다. 그러나 비밀번호는 한번 만들어놓고 잊어버리면 되는 것이 아니다. 그러므로 예방 조치로 자주 비밀번호를 바꾸고 개인 보안을 강화할 수 있다. 라스트패스는 비밀번호 변경 도구 두 가지를 제공하는데, 첫 번째는 자동 암호 변경이다. 수동으로 페이스북이나 아마존 등 80개 사이트의 개인 정보 메뉴에 들어가 비밀번호를 변경하지 않아도 된다. 두 번째는 보안 챌린지 기능으로 취약한 조합으로 만들어진 비밀번호를 탐지한다. ...

비밀번호 보안 라스트패스 2017.07.24

윈도우 10 비밀번호 로그인 제거하는 법

태블릿이 인기를 얻는 이유 가운데에는 윈도우가 로드될 때까지 기다릴 필요가 없으며, 사용할 때마다 비밀번호를 입력할 필요가 없다는 사실이 포함되어 있다. 태블릿이 좋긴 하지만, 때로는 상황에 따라 PC나 노트북만 있어도 된다. 사용자들은 PC나 노트북을 빨리 로드하고 싶어한다. 하지만 너무 많은 걸 바라진 말자. 우선 불필요한 시작 프로그램을 제거해 윈도우의 로드 속도를 높일 수 있다. 그리고 윈도우 비밀번호를 입력해야 하는 추가 단계를 제거하는 것이다. 단, 이 방법은 컴퓨터가 악당의 손에 들어가지 않을 것이라고 확신하는 경우에만 사용해야 한다. 사용자 계정에서 윈도우의 비밀번호 로그인 제거하기  윈도우의 비밀번호 로그인을 제거하는 것은 사용자 계정 설정에서 상자를 선택, 취소하면 된다. 해당 옵션을 접속하는 방법은 다음과 같다. - 시작 메뉴 검색 바에서 'netplwiz'를 입혁한 다음, 상단 결과를 클릭해 명령을 실행하라. - '이 컴퓨터를 사용하려면 사용자 이름과 비밀번호를 입력해야 합니다' 옆의 상자를 클릭하고 '적용'을 클릭하라. - 사용자 이름과 암호를 입력한 다음, 비밀번호를 다시 입력하라. 그리고 확인을 클릭하라. - 변경 내용을 저장하려면 다시한번 확인을 클릭하라. 윈도우 비밀번호 로그인을 다시 활성화하려면, 이 설정 메뉴로 돌아가서 '이 컴퓨터를 사용하려면 사용자 이름과 비밀번호를 입력해야 합니다' 옆의 확인란을 선택하면 된다. editor@itworld.co.kr  

로그인 비밀번호 윈도우10 2017.07.20

"기본만 해도" 피싱 공격 99% 막을 수 있다···기본 보안 수칙 다시 보기

정상적인 이메일이라고 생각하고 클릭했지만, 위험한 링크였던 것으로 판명된 경험을 모두 가지고 있다. IT 실무 사례, 직원 교육과 현명한 SNS 사용법에 대한 필수 기본 수칙을 알아보자. 95~99%의 스피어 피싱 시도를 막을 수 있는 방법 3가지 1. 인바운드 이메일 샌드 박싱 사용자가 이메일 링크를 클릭할 때 연결 안전성을 확인하는 솔루션을 구축하라. 사이버 범죄자들이 시도하는 새로운 전술에 대항할 수 있다. 해커들은 조직의 이메일 보안에 접근하기 위해 이메일에 URL을 첨부한다. 메일을 발송한 후 웹 사이트에 바로 악성 코드를 주입하는 것이다. 이런 URL은 일반적인 표준 스팸 솔루션 대부분을 통과할 수 있다. 2. 실시간 분석 및 웹 트래픽 검사 먼저 악성 URL이 게이트웨이의 사용자 회사 받은 편지함에 접근하는 것 자체를 차단하라. 회사 이메일에서 인바운드 이메일 샌드박스 기술을 쓰더라도, 사용자들이 지메일 등의 개인 이메일에서 링크를 클릭할 수 있다. 이런 경우에는 회사 이메일의 스피어 피싱 보호 기능이 트래픽을 볼 수 없다. 결론은, 웹 보안 게이트웨이가 더욱 지능적이고 실시간 분석적이어야 하며, 맬웨어 차단에 더 효율적이어야 한다는 것이다. 3. 직원의 행동 조직에 있어 인간이라는 요소는 매우 중요하다. 직원 테스트 프로그램을 도입하고 지속적인 훈련 체계를 만들기를 권한다. 직원 프로그램의 목적은 교육인 보안 자각이 아니라 바로 행동 교정이다. 직원 행동 변화시키기 팁 5가지 직원은 조직에 있어 데이터 유출 사고를 막을 수 있는 역량, 스피어 피싱 방어, 성공적인 보안 구축에 가장 중요한 요소다. 직원들을 가장 강력한 보안 정책 지지자로 바꾸어 놓을 방법 5가지를 알아보자. 1. 조직적 펜 테스트 직원들이 새로운 행동을 하게 되는 가장 쉬운 방법은 실수를 하고, 조언을 얻는 것이다. 주요 부서에서 한 사람씩 뽑아서 하나의 그룹을 만들고, 외부 이메일 주소로 타깃 스피어 피싱 이메일을 보내자. 페이스북, 트위터...

SNS 비밀번호 보안 2017.07.10

IDG 블로그 | 오늘 당장, iOS 암호를 강화해야 하는 8가지 이유

모든 기업 IT 관리자들은 섬뜩한 진실을 알고 있다. 어느 시스템에서든 보안이 가장 취약한 부분은 사람이 사용하는 것이라는 사실이다. 암호를 사용하지 않는 10%의 iOS 사용자(안드로이드 사용자 중에서는 30%), 다른 사람들과 똑같은 암호를 쓰는 사용자, 링크의 10가지 암호 중 하나를 이용하는 사용자를 위해 이 기사를 준비했다. 이제 암호를 강화해야만 하는 시기이기 때문이다. 이유는 다음과 같다. 아이폰에는 삶이 들어있다 본인이 어떤 일에 아이폰을 사용하는지 생각해보자. 다른 사람들과의 통화, 소셜 미디어, 이메일, 문자 메시지, 웹 브라우징, 온라인 쇼핑 등 수없이 많다. 암호로 보호되어 있는 쇼핑 사이트나 서비스를 즐겨찾기 해놨을 수도 있다. 아이폰에는 삶이 들어있어서, 아이폰을 보호하지 않는다면, 아이폰을 잃어버린 그 날이 누군가에게는 모든 것을 악용하고 사용자에 대해 모든 것을 알기 시작하는 날이 될 것이다. 보안 위협들은... 아이폰을 암호로 보호하지 않았을 때, 아이폰에 접근할 수 있는 누군가가 알 수 있는 목록은 다음과 같다. • 웹사이트 • 연락처에 저장된 전화 번호 및 주소 등 상세 정보 • 이메일 및 문자 • 위치 기록  • 사진과 동영상 • 결제 정보, 신용카드 번호, 기업 앱, 인트라넷 접속 아이폰에 악성 소프트웨어를 설치할 기회가 된다는 것은 굳이 말하지 않아도 알 것이다. 이러한 위험에도 불구하고, 아직도 많은 iOS(그리고 안드로이드) 사용자들이 암호를 이용하지 않는다는 것이 놀라울 뿐이다. 나만 위험한 것이 아니다 앞서 설명한 것들로도 여전히 아이폰에 암호를 사용해야 할 필요를 느끼지 못한다면, 내가 아는 다른 사람들을 생각해보자. 가족, 친구, 동료들은 이메일 주소나 주고받은 메시지 및 기타 다른 사람과 공유한 개인 데이터를 알지 못하거나 신뢰할 수 없는 누군가에게 알려주고 싶지 않을 것이다. 본인도 아마 남...

암호 비밀번호 보안 2017.06.26

“잠금화면도 안전하지 않다” 아이폰 확실히 단속하는 6가지 방법

간단한 암호나 터치 ID로 아이폰을 잠가도 다른 사람의 엿보기나 터치에서까지 안전한 것은 아니다. 텍스트 메시지 알림에서 시리까지, 아이폰 잠금 화면에는 잠금 화면 상태에서도 다른 사람이 엿보고 조작할 수 있는 각종 알림과 기능, 설정이 가득하다. 다행히 iOS에는 잠금 화면을 확실하게 잠글 수 있도록 도움을 주는 설정이 많다. 주의가 필요한 알림을 계속 숨기고, 잃어버린 휴대폰을 에어플레인 모드로 전환하는 스위치를 끄고, 잠금 화면 상태에서 시리에 액세스 하지 못하도록 하는 방법을 알아보자. 잠금 화면 알림 끄기 대다수 사용자가 아마 모르는 사람이 텍스트 메시지와 이메일 받은 편지함을 엿볼 수 있다고는 상상조차 하지 않을 것이다. 그러나 메시지와 메일 같은 앱이 아이폰 잠금 화면에 알림을 보내도록 설정했을 때 실제 일어날 수 있는 일이다. 심지어 잠금 화면에서 텍스트 메시지 답장을 보내거나, 메일을 휴지통으로 삭제할 수 있다. 다른 사람들이 아이폰 잠금 화면에서 사적인 메시지와 메일, 기타 애플리케이션 알림을 확인하는 것이 걱정된다면, 아주 민감한 앱의 잠금 화면 알림 기능을 꺼야 한다. 설정 > 알림 란에서는 iOS 장치에 설치된 앱 목록을 확인할 수 있다. 앱을 선택한 후 ‘잠금 화면 표시(Show on Lock Screen)’를 끄면, 잠금 화면에 앱 알림이 표시되지 않는다. 불행히 한 번에 모든 잠금 화면 알림을 끄는 방법은 없다. 투데이 위젯과 알림 액세스 차단 잠긴 아이폰 화면을 왼쪽에서 오른쪽으로 밀면 투데이 위젯을 볼 수 있다. 즉 사용자가 설치한 위젯에 따라 달라지겠지만, 누구든 캘린더, 메일의 받은 편지함을 엿보고, 즐겨 이용하는 연락처에 전화를 걸 수 있다. 아이폰 잠금 화면에 표시하는 내용을 민감하게 처리하는 앱도 소수 있다. 예를 들어, 액티비티(Activity)와 '내 친구 찾기(Find My Friends)'는 잠금 화면을 풀어야 위젯에 내용이 표시된다. ...

비밀번호 컨트롤센터 설정 2017.05.18

라스트패스, 심각한 비밀번호 유출 취약점 해결

이 결함 가운데 하나는 특정 조건에서 사용자 컴퓨터의 악성코드 실행을 허용할 수도 있다. Credit: Pexels 비밀번호 관리자 라스트패스(LastPass)의 개발자는 공격자가 사용자의 비밀번호를 도용하거나 컴퓨터에서 악성코드를 실행할 수 있는 심각한 취약점을 해결하기 위해 서둘러 해결책을 내놓았다. 이 취약점은 구글 보안연구원인 타비스 오르만디에 의해 발견됐으며, 지난 20일에 보고됐다. 이는 서비스 사용자가 구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지 용으로 설치한 브라우저 확장 프로그램에 영향을 미쳤다. 구글 프로젝트 제로(Google Project Zero) 버그 추적기의 설명에 따르면, 이 취약점으로 인해 공격자는 라스트패스 확장 프로그램 내부 명령에 접속할 수 있었다. 이는 사용자의 안전 금고에 저장된 정보를 사용해 비밀번호를 복사하거나 웹 양식을 채우는 확장 프로그램에 사용하는 명령이다. 오르만디는 버그 추적기에 "확장 프로그램의 바이너리 컴포넌트가 설치되어 있다면, 'openattach' 명령을 사용해 컴퓨터에서 임의의 코드를 실행할 수 있다"고 말했다.  라스트패스 측은 악용을 막기 위해 자사의 서버에서 해결 방법을 배포했으며, 새로운 버전에는 전체 수정 사항으로 포함시킬 계획이다. 3월 21일, 오르만디는 파이어폭스 확장 기능 내 또 다른 취약점을 보고했다. 라스트패스 개발자에 따르면, 이 또한 첫번째 것과 관련이 있다고 말했다. 이 취약점은 22일 발표된 파이어폭스 확장 프로그램의 새로운 버전 4.1.36a에서 수정됐다. 라스트패스 개발자는 블로그에서 "보고된 취약점 가운데 어떤 것도 해커들에게 악용됐다는 증거는 없다. 하지만 이번에 철저한 검토를 통해 확인하고 있다. 현재 사용자들의 비밀번호 변경은 필요하지 않다"고 말했다. editor@itworld.co.kr  

비밀번호 결함 라스트패스 2017.03.23

안전한 온라인 생활을 위한 7가지 보안 팁

외출 전 소등을 가끔씩 깜빡 하는, 또는 전등을 끄기 위해 이불 밖으로 나서기 귀찮은 이들을 위해 더 많은 전등들이 인터넷에 연결되고 있다. 그러나 이처럼 일상의 사물들이 온라인에 연결되고 각종 앱, 온라인 서비스들의 이용 빈도가 확대되는 흐름은 동시에 보안 위협에 대한 노출 가능성을 높이는 요인으로도 작용한다. 이는 디지털 환경의 피할 수 없는 운명이며, 우리에겐 이러한 위협들로부터 스스로를 보호하기 위한 보다 적극적인 자세가 요구된다. 매일 온라인에 접속해 이메일을 확인하고, 선물을 주문하고, 페이스북에 포스팅을 올리고, 청구 요금을 지불하고, 넷플릭스 스트리밍 영상을 즐기고, 잠든 아기를 모니터링하는 이들을 위해 바로니스 시스템즈(Varinis Systems)의 롭 소버즈 이사가 7가지 온라인 신원 보호 팁을 소개했다. editor@itworld.co.kr 

온라인 비밀번호 피싱 2017.03.09

How-To : 비밀번호 관리 3대 기본수칙

비밀번호는 아주 불편한 필수 도구다. 강력한 비밀번호를 만들기도, 잘 관리하기도 까다롭기 때문이다. 그럼에도 계정과 기기를 안전하게 유지하려면 꼭 필요한 존재다. 생체 인식 인증 등 발전한 여러 가지 기술이 등장하면 마치 금방이라도 숫자나 문자로 이루어진 비밀번호의 종말이 다가올 것 같은 요즘이지만, 단 하나의 보안 방법으로는 완전할 수 없다. 가까운 미래에 생체 인식과 비밀번호의 조합이 보편화할 가능성도 있다. 사실 비밀번호가 골칫거리가 될지, 그렇지 않을지는 선택의 문제다. 생각보다 쉽게 비밀번호를 관리할 수 있기 때문이다. 강력한 암호 만들기 비밀번호를 만드는 법에 대한 여러 가지 제안이 있지만, 기본 개념은 알아내기 어려워야 한다는 것이다. 옆자리에 앉은 사람이 비밀번호를 알아내는 차원이 아니라, 일반적인 비밀번호 사전을 통해 컴퓨터가 무작위 사용자의 방어벽을 뚫을 수 없게 하는 것이 목표다. 즉, 가장 바람직한 것은 일반적인 단어나 문구가 없는 문자, 숫자, 기호가 혼합된 비밀번호다. 특수 기호를 허용하지 않는 서비스도 있으므로 각 사이트별 제한 사항에 유의해야 한다. 표준 추천안은 8자지만 10자 이상이 더 안전하다. 강력한 무작위 비밀번호를 생성하는 가장 쉬운 방법은 원패스워드(1Password), 라스트패스, 대시레인(Dashlane) 등의 암호 관리자 서비스를 사용하는 것이다. 이 세 가지 모두 복잡하고 긴 새로운 비밀번호를 만드는 기능이 있다. 또, 컴퓨터 프로그램은 사람보다 복잡한 비밀번호를 잘 기억한다. 과거 여러 번 최악의 비밀번호로 꼽힌 ‘123456’, ‘password’, ‘qwerty’ 등은 절대로 사용해서는 안 된다. 기억하기 어려운 무작위 비밀번호를 생성하는 것이 왜 쉬운지 궁금한 사용자들도 있겠지만, 추측하기 어려운 암호는 안전을 확신할 수 있기 때문에 복잡한 상황을 훨씬 간단하게 만들 수 있다. 다음 단계와 결합해 생각해보자....

암호 비밀번호 라스트패스 2017.03.06

미국 국토부 장관, "비자 신청하려면 SNS 비밀번호 제출해야"

미국 정부가 비자 신청자 일부에 소셜 미디어 계정의 비밀번호를 요구할 수 있다는 가안이 등장해 많은 보안 및 프라이버시 전문가의 주목을 끌고 있다. 화요일, 미국 의회 청문회에서 비자 신청자의 소셜 미디어 활동을 조사하려는 목적으로 국토안보부가 무엇을 하는지에 대한 질문을 받자, 존 켈리 국토안보부(US Department of Homeland) 장관은 신청자의 소셜 미디어 계정 비밀번호에 대한 안을 언급했다. 또, “정보 제공을 원하지 않으면 오지 않으면 된다”고까지 덧붙였다. 켈리는 트럼프 행정부가 내린 여행 금지 행정명령 대상인 7개 무슬림 국가 출신의 비자 신청자를 “면밀히 심사하는 것이 매우 어려웠다”고 말했다. 이 7개 국가 중 상당수가 내부 인프라가 구축되지 않은 상태였기 때문이다. 켈리는 비자 심사 과정에서 어떤 소셜 미디어 서비스를 사용하는지 파악하고, 비밀번호를 제출하는 것을 심사의 일부로 포함할 수 있다는 의견을 밝혔다. 이 아이디어가 구체화된 상태는 아니고, 켈리에 따르면 단지 “고려 중”인 단계다. 그러나 이미 지난해 12월 미국 세관 및 국경 보호청(Customs and Border Protection, CBP)은 비자 면제 프로그램으로 미국에 입국해 여행하는 외국인 방문객에게 선택 사항으로 소셜 미디어 계정을 요청하기 시작했다는 것에 주목할 필요가 있다. 이 같은 움직임은 미국 당국이 일명 국가에 해를 끼치는 ‘위험한 행위’를 사전에 적발하기 위해 계획되었다. 그러나 프라이버시나 표현의 자유를 옹호하는 사람들은 미국이 이 같은 정보를 부당하게 특정 여행객의 입국을 차단하기 위한 목적으로 악용할 수 있다고 우려하고 있다. 미국시민자유연합(American Civil Liberties Union)의 워싱턴 의회 지부의 마이클 맥클라드 볼은 미국이 정치적 이데올로기에 기반한 입국 기준을 적용하고 있다고 지적했다. 맥클라드 볼...

SNS 프라이버시 암호 2017.02.09

"비밀번호 없이 음성과 행동양식을 통해 신원을 증명한다"…패스워드-프리 보안

뉘앙스 커뮤니케이션즈(Nuance Communications)가 제안하는 음성 기반의 계정 보안 기법이 전통적인 비밀번호 방식에 지친 사용자들에게 새로운 대안으로 주목받고 있다. 뉘앙스의 음성 인증 기술은 전통적인, 그리고 종종 취약점을 드러내는 비밀번호 인증 시스템을 대체할 차세대 기술 가운데 하나다. 뉘앙스 측은 이것이 기존의 비밀번호가 지닌 해킹의 가능성에서 좀더 자유로운 솔루션이라고 설명한다. Credit: Nuance Communications 뉘앙스의 제품 전략 책임자 브렛 버라넥은 "사용자의 음성 검증을 위해 우리는 음성에 대한 100가지 이상의 특성을 분석한다"고 설명했다. 비밀번호의 한계 해커들의 비밀번호 도용이 일상화되며 이를 넘어선 인증 방법론을 개발하는 것은 시급한 과제로 대두되고 있다. 지난해만 해도 야후, 링크드인, 드롭박스 등 시장의 주요 IT 기업들이 이메일 계정, 해시화된 비밀번호가 담긴 계정 정보을 대규모로 유출한 바 있다. 이런 정보는 해커들이 이메일 계정을 통해 정보를 약탈하는데 이용될 수 있다. 지난해 미국 대선 기간에는 러시아의 사이버 스파이 집단이 이런 방식으로 정치인들의 정보를 유출해 논란이 되기도 했다. 보안 업체로서 뉘앙스는 이런 상황을 바꿀 방법을 고민해왔다. 이미 은행, 금융 업체들이 뉘앙스의 음성 인식 기술을 사용자 신원 확인에 이용하고 있다. 뉘앙스의 베라넥은 "이 방식은 비밀번호보다 안전하다. 도입한 기업에 따르면 이 솔루션을 도입한 이후 PIN, 비밀번호를 이용하던 때와 비교해 보안 사고가 유의미하게 감소한 것으로 확인됐다"고 말했다. 뉘앙스의 기술은 2001년 고객 콜센터를 첫 고객으로 삼아 시장에 진출한 후 금융 관련 모바일 앱, 기업용 보안 PC 등 그 지원 영역을 넓혀가고 있다. 베라넥에 따르면, 모든 인간은 자신의 후두, 비강, 치열 형태에 따라 각각의 고유한 목소리를 가지고 있다. 음조나 발화 리듬 등 역시 음성...

비밀번호 패스워드프리 패스워드리스 2017.02.03

비교적 알려지지 않은 4가지 와이파이 보안 위협과 대처 방법

가정용 와이파이 네트워크를 보호하는 최선의 방법이 강력한 비밀번호라는 것은 이제 상식이다. 강력한 비밀번호를 사용해 승인되지 않은 사용자의 접근을 차단하고 네트워크를 보호하고 도청을 방지할 수 있다. 또한 과거 WEP(Wired Equivalent Privacy)의 보안은 너무 취약해 손쉽게 해킹이 가능하다는 것도 10여 년 전부터 잘 알려진 사실이다. WPA2(Wi-Fi Protected Access 2)를 사용해 네트워크를 보호하는 것 외에 대처해야 할 4가지 다른 취약점 시나리오를 소개한다. 기본 무선 설정 변경하기 일부 모뎀/라우터(공유기) 제조업체와 ISP는 기본 비밀번호를 사용해 와이파이 암호화를 구성한 상태로 장비를 출하한다. 기기를 상자에서 꺼낸 즉시 무선 네트워크를 보호할 수 있도록 기기 자체의 레이블 또는 포장지에 기본 비밀번호가 인쇄된 경우가 많다. 과연 좋은 방법일까? 와이파이 비밀번호를 손쉽게 찾을 수 있다면 좋은 방법이 될 수 없다. 여러 기업들이 사용하는 안전하지 않은 기본 설정 방법 가운데 하나는 기기의 MAC 주소나 기본 SSID(네트워크 이름)의 일부를 와이파이 비밀번호에 포함하는 것이다. 예를 들어 타임 워너 케이블(Time Warner Cable)이 제공한 필자의 ARRIS 게이트웨이의 기본 SSID는 2.4GHz 네트워크가 TG1672G02, 5GHz 네트워크가 TG1672G02-5G다. 두 네트워크 모두 TG1672G1E1F02라는 기본 비밀번호를 사용한다. 얼핏 보면 문자와 숫자가 조합된 이 비밀번호는 꽤 안전한 것 같지만 사실은 게이트웨이 모델 번호의 일부(TG1672G)와 MAC 주소(D4:05:98:1E:1F:02)의 일부를 조합한 것이다. 기본 설정을 그대로 두면 SSID를 통해 게이트웨이의 정확한 모델명을 사방에 광고하게 되는 격이다. 해커라면 손쉽게 해당 모델의 알려진 보안 취약점을 알아볼 수 있다. 또한 기본 비밀번호의 나머지 부분은 게이트웨이 레이블에 CMAC이라고 표시...

라우터 비밀번호 WPS 2017.01.31

페이스북, 오픈소스 비밀번호 복구 프로토콜 공개

페이스북이 비밀번호를 잊어버렸을 때의 새로운 복구 방법을 제안했다. 서드파티 웹 사이트에서 계정을 복구할 때 페이스북을 활용하는 오픈소스 프로토콜을 공개한 것이다. 일반적으로는 웹 사이트 로그인에 필요한 비밀번호를 잊어버리면 검증용 질문에 알맞은 답을 제출하거나 이메일로 비밀번호 리셋을 요청한다. 그러나 페이스북 보안 엔지니어 브래드 힐은 USENIX 이니그마 2017 보안 컨퍼런스에서 이런 계정 복구 방법이 해킹에 매우 취약하다고 말했다. 힐은 온라인 금융권 계정에 접근 허가를 받은 때를 회상했다. 이때 힐은 비밀번호 리셋 질문을 이용했다. 월요일 컨퍼런스에서 힐은 “가장 좋아하는 색깔을 물어보는 질문이었는데, 몇 번이고 다시 대답할 수 있었다”고 말했다. 대다수 계정 복구 방식은 사용자가 등록한 이메일 주소에 확인 메일을 보내는 방법으로 진행된다. 그러나 많은 사용자들이 이메일 계정에 어려운 비밀번호를 설정하지 않고, 2단계 인증 방식을 적용하지도 않아 이메일 계정이 뚫릴 경우 해커는 손쉽게 다른 서드파티 계정의 정보도 알아낼 수 있다. 페이스북의 경우 계정 복구 방식에서 별도의 옵션을 제안한다. 방식은 이렇다. 사용자는 페이스북 계정을 서드파티 웹 사이트에 연결할 수 있고, 만일 웹 사이트에서 비밀번호를 복구해야 할 경우에는 페이스북 사이트를 통해 인증을 받는 것이다. 페이스북 프로토콜은 HTTPS 기반 웹 브라우저에서 동작하며, 여타의 다른 플러그인은 필요하지 않다. 오픈소스 프로젝트 저장소인 기트허브가 처음으로 페이스북 보안 프로토콜을 채택했다. 화요일 기트허브는 페이스북을 이중 인증 방식으로 추가해 기트허브 비밀번호를 페이스북 인증으로 복구할 수 있게 했다. 페이스북이 모든 웹 사이트나 앱의 비밀번호 허브가 되는 상황은 한편으로는 우려할 만한 지점이기도 한데, 힐은 이 프로토콜이 페이스북에만 국한되는 것이 아니라고 강조했다. 힐은 “사용자가 페이스북을 신뢰하는 것도 중요하지만,...

페이스북 비밀번호 프로토콜 2017.01.31

IDG 블로그 | 2016년 가장 많이 사용된 비밀번호와 해킹에 걸린 시간은?

스플래시데이터(SplashData)의 연례 “최악의 비밀번호” 목록이 나올 시기가 됐으나, 올해는 키퍼 시큐리티(Keeper Security)라는 업체에서 웹에 공개된 1,000만 개의 비밀번호를 분석해 2016년 가장 많이 사용된 비밀번호 25개를 공개했다. 키퍼는 복잡한 비밀번호를 요구하지 않는 웹사이트를 비난했으나, 웹사이트가 복잡한 비밀번호를 요구하지 않더라도 사용자들은 상식적으로 생각할 수 있다. 이런 점에서 사용자의 17%가 여전히 “123456”이라는 비밀번호를 사용한다는 점이 놀랍다. 또한 “password” 역시 이 목록에 포함되어 있으며, “qwerty”와 “123456789” 같은 비밀번호도 존재한다. 흥미롭게도 키퍼 시큐리티는 그냥 흔한 비밀번호 목록만 공개한 것이 아니라, 이 비밀번호가 뚫리는 데 걸리는 추정 시간도 함께 공개했다. 추정 시간은 비밀번호 해킹 시간 추정 서비스인 랜덤 아이즈(Random ize)와 베터바이스(BetterBuys)의 결과가 표시되어 있다. 목록에 있는 것 중 무작위로 보이는 비밀번호들은 지난 6월 미디어 회사 버티컬스코프(VerticalScope)가 해킹당한 뒤 리크드소스(LeakedSource)에 나타난 것들이다. 이 데이터베이스에는 1,100개 웹사이트 및 커뮤니티에 포함된 약 4,500만 개의 기록이 포함되어 있었다. 해당 데이터베이스 속에 포함되어 있는 “18atcskd2w”, “3rjs1la7qe”, “q0tsrbv488” 등은 봇으로 생성된 것으로 추정되며, 포럼 등에 스팸을 올리기 위해 만들어진 계정일 가능성이 있다. 위 목록에 포함된 비밀번호를 해킹에 걸리는 시간은 2016년이 기준이지만, 매년 해킹 기술이 진화하면서 해커들의 수익은 좋아지고 비밀번호는 점점 더 뚫리기 쉬워지고 있다. 예를 들어,...

해킹 패스워드 비밀번호 2017.01.20

중고 아이팟 구입하기 전, 이것만은 확인하자 "애플 ID 기기 삭제"

아이폰, 아이패드, 아이팟 터치 등 애플 IOS 제품군은 활성화 잠금 기능을 제공하고 있다. 기기를 도난 당하거나 잃어버렸을 때 다른 사람이 데이터에 접근하기 어렵도록 원격에서 제어하는 기능이다. 도난 방지 기능으로 위력을 발휘하고 있지만, 기기 소유자가 바뀌었을 경우 과거 기록을 지우기가 까다롭다는 단점이 있다. 예를 들어 다른 사람이 사용하던 중고 애플 기기를 사용할 때는 아이튠즈를 실행하면 계속해서 전 주인의 애플 아이디가 나타나는 경험을 할 수 있다. 아이폰 설정에서 ‘내 아이폰/아이팟 찾기’ 기능이 활성화 되어 있을 경우(아이폰 활성화 잠금 기능의 일부), 애플은 기기의 시리얼 넘버와 사용자 애플 ID를 데이터베이스에 저장한다. 클린 재설치 후에도 애플 데이터베이스에 기기가 등록된다. 애플 스토어에서는 이 과정을 우회할 수 있지만, 사용자가 기기 소유자임을 명확히 증명해야만 한다. 가장 좋은 해결책은 기기 소유자가 애플 ID 관리에서 기기 등록을 삭제하는 것이다. 활성화 잠금 화면에 비밀번호를 입력하거나 아이클라우드에 접속해서 관리할 수 있다. 아이클라우드 재설정하는 방법은 다음과 같다. 1. 아이클라우드에 로그인 한다. 2. iPhone찾기 메뉴를 클릭한다. 3. 메뉴 상단의 ‘모든 기기’를 클릭해서 자신의 아이디에 등록된 기기 목록을 확인한다. 4. 기기를 선택하고 ‘iPhone 지우기’를 클릭한다. 이전 소유자가 기기를 삭제한 후 재설정을 위해 아이폰을 껐다가 다시 켠다. 그러나 이전 소유자와 연락이 닿지 않아 이 과정을 거칠 수 없다면, 실질적으로 이 기기는 분실물, 또는 도난품인 상태나 다름 없다. 때문에 오래되어 안 쓰는 애플 기기를 다른 사람에게 넘길 때는 꼭 애플 아이디에 등록한 기기를 해제하는 과정을 밟아야만 한다. editor@itworld.co.kr  

비밀번호 중고 아이클라우드 2016.12.07

안드로이드 폰에서 와이파이 비밀번호 보는 방법

다음은 한 독자의 질문이다. "자신의 와이파이 비밀번호를 기억하지 못하는 친구가 있습니다. 그녀는 비밀번호를 어디에 적어두지도 않았습니다. 다행히 저의 안드로이드 폰 갤럭시 S2에 그 비밀번호가 저장되어 있습니다. 그런데 제가 그 비밀번호를 확인했을 때 볼 수 있는 것은 텍스트로 된 비밀번호가 아니라 별표(***********)뿐이었습니다. 실제 비밀번호를 알 수 있는 방법이 있습니까?" Credit: Derek Walter 자신의 폰을 루팅했거나 혹은 루팅할 의사가 있다면 아스트로(ASTRO) 프로그램 또는 루트 브라우저(Root Browser)와 같은 파일 관리자를 통해 찾을 수 있다. 파일 관리자를 사용해 data/ misc/ file 폴더를 찾은 다음, wpa_supplicant.conf를 찾아라. WPA 대신 WEP를 사용해 네트워크를 보호하는 경우 wep_supplicant.conf가 될 수 있다. 그런 다음, 파일 관리자 애플리케이션에 내장된 텍스트 편집기를 사용해 .conf 파일을 연다. 그렇지 않은 경우, 쇼핑 목록에 하나를 추가하고 구글 플레이 스토어로 이동하라. 이 시점에서 일반 텍스트로 비밀번호를 읽을 수 있어야 한다. 이 상황에서 볼 수 없거나 자신의 폰을 루팅하기 싫다면, 비밀번호를 재설정하면 된다. 주의할 점은 자신의 안드로이드 기기를 루팅하는 것은 자칫 위험할 수 있다. 해당 라우터에 액세스할 수 없다면 와이파이애브리웨어(WifiAnywhere)와 같은 앱으로 시도할 수 있다. 와이파이애브리웨어는 낯선 장소에서 와이파이에 액세스하려는 경우 편리한 앱이다. 해당 장소에서 이 기능을 사용하면 라우터에 로그인할 수 있으며, 일부 라우터는 기본 설정으로 되어 있기 때문에 매우 유용하다. 또는 친구의 와이파이 네트워크에 연결되어 있는 경우, 라우터 설정에 액세스하고 와이파이 보안 상태에서 비밀번호를 확인할 수 있다. 지금까지 모든 방법으로 문제가 해결되지 않으면 서비스 제공업...

비밀번호 루팅 안드로이드 2016.11.24

라스트패스, 무료 사용자 혜택 확대 "기기 대수 제한 없이 사용"

비밀번호 관리자 라스트패스가 무료 사용자 끌어안기 전략을 내놨다. 라스트패스는 지난해 PC 우선 정책을 포기했고, 1년 후인 지금 멀티 디바이스 사용 요금을 무료로 전환하는 결정을 내렸다. 과거 라스트패스는 PC 사용자에게만 무료로 서비스를 제공했고, 모바일 기기를 추가하려면 프리미엄 요금제에 가입해야 했다. 이 정책은 2015년 8월, 사용자들이 임의로 PC나 스마트폰, 태블릿 중에서 기기 한 대를 무료로 등록할 수 있게 변경됐다. 라스트패스 기존 무료 사용자들은 모바일 앱이나 브라우저 확장 기능을 통해 서비스에 접속할 수 있다. 라스트패스는 대상 기기의 종류와 상관없이 비밀번호 양식 채우기, 사이트 별 비밀번호 저장, 비밀번호 생성기나 안전 메모, 2단계 인증 등의 서비스를 같은 방식으로 제공한다. 프리미엄 요금제 사용자가 새로 얻을 수 있는 혜택은 크지 않다. 원래 연간 12달러를 지불하는 이유가 기기 종류나 개수에 구애 받지 않고 비밀번호 관리 서비스를 사용하는 것이기 때문이다. 이제 이 기능이 무료로 전환된 것이다. 그럼에도 라스트패스는 기술 우선 지원, 다른 사용자 5명과 폴더 공유 기능, 암호화 파일 저장 용량 1GB, 유비키(YubiKey) 등 하드웨어 형태의 2단계 인증, 데스크톱 애플리케이션 비밀번호 저장 등 프리미엄 서비스에만 제공되는 기능이 유료 사용자에게 충분한 유인으로 작용할 것이라고 판단한다. 광고도 보이지 않아 더 쾌적한 사용자 경험을 누릴 수 있다는 장점도 있다. 라스트패스 프리미엄 요금제 기존 사용자라면 다시 한 번 기능과 편의성을 점검하고 연 12달러를 계속 지불할 것인지 결정하는 편이 좋다. 연 12달러가 아주 큰 금액인 것은 아니지만, 유료 요금제에만 제공되는 기능을 거의 사용하지 않는다면 낼 필요가 없는 요금이기 때문이다. 멀티 디바이스 지원 기능만 필요로 한다면 이제부터는 라스트패스를 무료로 사용할 수 있다. editor@itworld.co.kr 

비밀번호 라스트패스 비밀번호관리자 2016.11.03

미라이 IoT 봇넷에서 활용한 61가지 비밀번호

미라이는 이번 DDoS 공격에 이용된 2개의 봇넷 가운데 하나다. 이 봇넷은 기본 사용자명과 비밀번호를 가진 IoT 기기를 공략해 좀비 기기로 만들어 공격한다. Credit: Stephen Lawson 기본 사용자명과 비밀번호는 IT에서 항상 초대형 문제를 일으킨다. 이는 이번에 사물인터넷(Internet of Things, IoT)을 뒤덮은 문제를 더욱 커지게 만들었다. 무시하거나 일부 사람에게는 변경하기가 너무 어려운 기본 자격증명은 역사상 가장 큰 DDoS 공격의 일부를 장식한 봇넷 성장의 배후가 됐다. 해당 사용자명과 비밀번호는 미라이 봇넷(Mirai botnet)에서 사용됐다. 미라이 봇넷은 브라이언 크렙스(Brian Krebs)를 620Gbps 크기의 DDoS 공격을 감행했다. 그러나 사상 최대의 DDoS 공격은 프랑스 호스팅업체 OVH에 대한 DDoS 공격으로 799Gbps를 기록한 바 있다. 미라이는 텔넷을 스캔한 뒤, 카메라, DVR, 라우터 또는 다른 연결형 하드웨어 등의 기기에 대해 무차별 대입(brute-force) 접속을 시도해 자격 증명을 획득했다. 이 비밀번호는 지난주 제작자에 의해 공개된 봇넷의 소스코드로부터 나왔다. 이 소스코드에는 비밀번호 복제본이 있었다. 스캐너.c는 62개 비밀번호 조합으로 살피는데, 그들 가운데 61개 만이 독특한 조합으로 되어 있었다 이 봇넷은 최소 2개가 있어야 한다. 그러나 미라이 제작자는 2개의 VPS 계정, 하나의 C&C 서버, 추가적인 로드밸런싱을 추가하기 위한 3개의 서버를 호스트했다고 말했다. 미라이는 텔넷 스캐닝으로 거의 40만 대에 가까운 기기가 연결됐다. 브라이언 크렙스를 공격한 이후, ISP의 방어로 인해 규모는 약 30만 대로 줄어들었다. 미라이 제작자는 봇넷 소스코드를 공개하는 것과 함께 상세 구성과 설정 내역을 공개해 유사한 봇넷이 나타나는 데에는 오랜 시간이 걸리지 않을 것으로 보인다. editor@itworld.c...

봇넷 비밀번호 DDos 2016.10.04

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.