Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

“얼마나 안전하고, 얼마나 편리할까?” 비밀번호 관리 앱의 7가지 장점과 단점

필자는 보안이 중요한 웹사이트와 서비스에 최신 비밀번호를 고려해야 한다는 주제로 글을 써왔다. 또 다시 조언한다면 내용은 다음과 같을 것이다. -    다중 인자 인증(MFA)를 사용하라. -    MFA를 선택할 수 없는 경우 비밀번호 관리 앱을 사용해 각 웹사이트 또는 보안 영역마다 가능한 길고 고유한 무작위 비밀번호를 생성한다. -    비밀번호 관리 앱이 불가능한 경우 길고 단순한 패스프레이즈를 사용한다. -    모든 경우에 보편적인 비밀번호(“password” 또는 “qwerty” 등)를 사용하지 말고 사이트들에서 비밀번호를 재사용하지 않는다. 이 조언은 NIST 특수 문서 800-63 디지털 신원 가이드에 대한 필자의 입장에 반하는 것으로 보일 수 있다. NIST SP 800-63에서는 가능한 경우 비밀번호가 아닌 방식을 사용하도록 권고하며, 매우 길고 복잡한 비밀번호를 사용하는 강제력에는 확실히 반하기는 하지만, 비밀번호 길이나 복잡성에는 제한이 없다. 길고 복잡하며 빈번하게 바뀌는 비밀번호 생성과 사용은 강제한다고 잘 되는 것이 아니다. 여러 웹사이트에서 같은 비밀번호나 약간 다른 비밀번호를 사용하기 때문에 패턴을 파악하기 쉬워지기도 한다. 같은 사람이 MFA 또는 기타 비 기억 인증 방식을 사용하는 경우 반복적인 비밀번호와 패턴 사용의 전반적인 위험이 줄어든다. 그러므로, 기억할 필요가 없는 길고 복잡한 비밀번호를 생성하여 사용하는 비밀번호 관리 앱을 사용할 때는 이 두 가지를 최대한 활용할 수 있다.   비밀번호 관리 앱 앱으로 전향한 이유 지금까지 수 년 동안 비밀번호 관리 앱 앱을 테스트하고 추천했다. 처음에는 코드와 작업의 품질 및 보안이 의심스러웠었다. 초기 버전은 결국 익스플로잇 공격과 해킹 사례가 언론에 보도되고 말았다. 그러나 현재 인기가 많은 비밀번호 관리 앱 앱...

패스워드 비밀번호 비밀번호관리자 2018.12.10

IDG 블로그 | “아이폰이 비밀번호를 대체하게 될까?” 애플, 웹 인증 기술 테스트 시작

온라인 은행, 기업의 인트라넷, 비공개 온라인 데이터 서비스 등 보안이 철저한 웹사이트에 아이폰의 페이스 ID(Face ID)나 터치 ID(Touch ID)를 사용하면 어떨까? 애플이 웹 인증((Web Authentication, WebAuthn)이라는 새로운 보안 표준을 테스트하면서 이를 현실화할 계획이다. 웹 인증이란 무엇인가? 애플은 사파리 테크놀로지 프리뷰 릴리즈 71(Safari Technology Preview Release 71)에서 이 표준의 베타 테스트 지원을 시작했다. 어디까지나 “실험적인 기능”이라고 명시되어 있어 향후 실제로 적용될지는 미지수다. 웹 인증 기술은 웹사이트나 온라인 서비스가 하드웨어 키(보통 USB 디바이스)를 사용해 사용자의 신원을 인증하는 것이다. 이러한 키들은 보통 비밀번호와 2FA(two-factor authentication, 이중인증) 등 보안 장치와 함께 사용해서 이런 서비스들에 액세스할 때 더 강력한 보호를 제공한다. 똑같은 기술은 아니지만, 많은 온라인 은행 소비자들은 은행에서 어디서나 사용할 수 있는 하드웨어나 소프트웨어 형태의 키를 부여받아 사용하고 있다. 정부나 군대에서 사용되기도 한다.   아이폰 인증 웹 인증은 FIDO2라는 표준도 지원한다. 하드웨어 키가 블루투스와 NFC를 사용해 웹 인증 세션에서 인증을 하도록 하는 표준이다. 이론적으로 사용자는 지문인식기, 카메라, USB 키 등 현재의 보안 디바이스를 웹사이트 인증 시스템으로 이용할 수 있다. 애플이 FIDO2를 지원할지는 알려지지 않았지만, 만일 지원한다면 아이폰(애플 워치도)이 생체 보안 기능과 업계를 선도하는 운영체제의 보안성 덕분에 보안 서비스에 액세스하는 데 사용할 하드웨어 키 역할을 할 수 있을 것으로 보인다.  개인의 모바일 디바이스를 PC, 맥, 아이패드와 긴밀히 연결해서 시스템 액세스에 사용하거나 비밀번호 보호를 대체하거나 적어도 보완할 수 있다. 단, 웹 인증이 W3C에...

비밀번호 WebAuthn WebAuthentication 2018.12.07

인스타그램, 사용자 비밀번호 노출하는 버그 발견… 비밀번호 변경 권고

인스타그램이 지난 4월에 공개한 ‘내 데이터 다운로드하기’ 기능에 웹 브라우저의 URL에 사용자 비밀번호가 노출되는 버그가 있었던 것으로 알려졌다. 현재 이 버그는 수정된 상태지만, 인스타그램은 문제 예방을 위해 이 기능을 사용했던 사용자들에게 암호를 변경할 것을 권고했다. 이 버그는 GDPR(General Data Protecion Regulation)에 따라 사용자들이 본인의 데이터 전부를 다운로드할 수 있도록 한 기능에 포함되어 있던 것이다. 이 기능을 이용한 일부 사용자들은 인스타그램 계정의 비밀번호가 웹 브라우저에 URL로 표시됐다. 이러한 버그는 때때로 발생하며, 기업들은 보통 문제를 재빨리 바로잡곤 한다. 이 문제의 더 큰 문제는 비밀번호가 평문으로 저장되는 경우에만 가능한 버그라는 점이다. 페이스북이 소유한 이 회사의 데이터베이스에 기대하는 암호화 수준과는 달라 우려된다. 인스타그램은 더 버지(The Verge) 측에 ‘내 데이터 다운로드하기' 도구를 사용한 일부 사용자의 비밀번호가 URL로 노출됐는데 해당 사용자들에게만 보였고, 이 문제가 현재는 수정된 상태라고 전했다. 다시 한번 인스타그램은 이 도구를 사용한 경험이 있는 사람들에게 비밀번호를 변경하라고 권했다. editor@itworld.co.kr  

암호 비밀번호 버그 2018.11.21

글로벌 칼럼 | 긴 비밀번호가 비밀번호 문제의 "해답"일까

자주 변경하는 길고 복잡한 비밀번호를 사용하지 말라는 내용이 포함된 NIST의 새로운 비밀번호 관련 '권고사항(조언)'이 컴퓨터 보안 업계를 흔들고 있다. 그리고 많은 보안 전문가와 실무자들은 NIST의 새로운 권고사항을 믿지 않으려 한다. 이런 사람들의 입장을 이해한다. 수십 년 간 지탱되어 온 기존 권고사항을 뒤집는 것이기 때문이다. 당장 NIST만 하더라도 새로운 권고사항에 정반대되는 과거 권고사항을 받아들이고 믿으라고 말해왔다. 그러나 시대가 변한다. 해킹 방법도 변한다. 과거 가장 빈번했던 공격을 억지하는 데 사용되었던 방법이 더 이상 효과가 없어졌다. 비밀번호가 크랙이 더 힘들어지기 시작하면서, 공격자들이 성공 확률이 높은 다른 방법을 찾아 도입했을 것이라고 예상할 수 있다. Credit: Getty Images Bank 필자가 풀타임으로 일하는 회사인 노우비포(KnowBe4)의 CHO(Chief Hacking Officer) 케빈 미트닉은 길고 복잡한 비밀번호의 허상을 깨뜨린다(링크 동영상 참조).  단 31초 만에 17개 문자의 복잡한 비밀번호를 크랙한 것이다. 이런 이유로, 미트닉은 25개 이상의 문자로 구성된 단순하지만 긴 패스프레이즈(또는 패스센턴스(PassSentences))를 사용하라고 권장한다. 'I like to the beach to get wet'을 예로 들 수 있다. 또한 좋은 비밀번호 관리 도구를 사용, 패스프레이즈를 관리하는 방법을 추천한다. 좋은 '조언'이다. 대부분은 동의한다. 단 한 가지 확신이 들지 않는 부분은 25개 이상의 문자 사용을 요구하는 것이다. 25개 이상의 문자로 구성된 긴 비밀번호를 사용하면 비밀번호 해시 크래킹이나 비밀번호 추측 등을 이용한 비밀번호 크래킹이 더 어려워지지만, 동시에 사용자가 여러 보안 도메인(영역)에서 동일한 비밀번호를 재사용할 확률이 높아지기 때문이다. NIST는 최근 권고사항에서 이 부분을...

패스프레이즈 비밀번호 2018.10.11

글로벌 칼럼 | 최고의 비밀번호에 대한 권장사항 "뜨거운 논쟁"

짧지만 크랙이 가능한 비밀번호와 길고 복잡해서 재사용할 확률이 높은 비밀번호. 이 둘 가운데 좋은 비밀번호는 무엇일까. 이에 대한 논쟁이 격렬하다. Credit: Getty Images Bank NIST(National Institute of Standards and Technology)는 몇 년 전 리뷰 목적에서 'SP 800-63 디지털 ID 가이드라인(Digital Identity Guidelines)'을 발행했다. 이후 컴퓨터 보안 업계는 이 기관이 새롭게 제안한 비밀번호 관련 정책을 놓고 뜨겁게 논쟁하고 있다. NIST의 비밀번호 정책에 대한 권장 사항이 수십 년 동안 유지된 '권장사항(조언)'과 대척점에 있기 때문이다. 현재 NIST의 권장사항 중 가장 두드러진 내용을 요약하면, NIST는 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 사용자와 기업에 초래하는 위험을 높인다고 주장한다. 비밀번호를 기억하기 어려워 여러 관련 없는 보안 도메인에 중복 사용하고, 그 결과 동일한 비밀번호를 중복 사용한 다른 도메인에 대한 침해가 쉬워진다는 이유에서다. 지난 20년 간 탈취한 로그인 크리덴셜을 이를 중복 사용한 다른 관련 없는 여러 보안 도메인에서도 이용해 발생한 침해 사고들이 있었으며, 이런 사고 사례가 NIST의 주장에 힘을 실어준다. 사용자가 다른 장소에서 사용한 크리덴셜을 다시 사용한 결과로 침해가 발생한 기업과 웹사이트가 아주 많다. 그러나 수십 년 동안 유지된 기존 '베스트 프랙티스'를 뒤집기 힘들다. 특히, 일반적으로 사람들이 사용하기 좋아하는 비밀번호는 며칠 이내로 크랙이 가능한 때가 많지만, 길고 복잡한 비밀번호는 몇 년을 버틸 수 있다. 그리고 현재 기업과 기관에서 비밀번호 변경을 요구하는 90일이라는 기간 내에는 불가능하다. 여기에 더해, HIPAAA와 SOX, PCI-DSS, NERC, CIS 등 주요 컴퓨터 보안 규정/가이드 라인들이 비밀번...

패스프레이즈 비밀번호 Nist 2018.09.21

트위터 "비밀번호 암호화 없이 저장하는 버그 발견", 비밀번호 변경 권장

트위터가 내부 로그에서 저장된 비밀번호가 가려지지 않는 버그를 발견했다. 트위터는 비밀번호 일부가 암호화 없이 내부 컴퓨터 시스템에서 읽을 수 있는 텍스트 형태로 공개돼 즉시 수정했다고 발표하면서 사용자들이 비밀번호를 바꾸기를 권장했다. 이번에 발견된 오류는 즉시 수정되었으나 알려지지 않은 피해가 있을 가능성이 있고, 텍스트 형태의 비밀번호가 악용될 수도 있다. 트위터 등의 소셜 네트워크의 개인 정보가 악용될 경우, 개인의 온라인 평판을 망가뜨리거나 다른 사람으로 가장하는 등의 부작용을 낳을 수 있다. 그러나 가장 중요한 것은 트위터와 같은 비밀번호를 쓰는 다른 계정의 침해다. 그러므로 좀처럼 쉽게 알아낼 수 없는 강력한 비밀번호로 변경하기를 권장한다. 2중 인증을 설정해 SMS로 코드를 전송받아 로그인하는 것도 방법이다. PC나 노트북에서 트위터 비밀번호 변경하기 1. 트위터에 로그인한다. 2. 오른쪽 위 동그란 모양의 사용자의 프로필 사진을 클릭한다. 3. ‘설정과 프라이버시(Setting and Privacy)’ 항목을 선택한다. 4. 왼쪽 메뉴에서 ‘패스워드(Password)’ 항목을 클릭한다. 5. 현재의 비밀번호를 입력한다. 6. 새로운 비밀번호를 입력하고, 다시 한번 확인한다. 7. ‘설정 저장(Save changes)’ 버튼을 클릭한다. 트위터 앱에서 비밀번호 변경하기 1. 스마트폰에서 트위터 앱을 시작한다. 2. 왼쪽 위 동그란 모양의 사용자 프로필 사진을 클릭한다. 3. ‘설정과 프라이버시(Setting and Privacy)’ 항목을 선택한다. 4. ‘계정(Account)’을 선택한다. 5. ‘패스워드(Password)’ 항목을 클릭한다. 6. 현재의 비밀번호를 입력한다. 7. 새로운 비밀번호를 입력하고, 다시 한번 확인한다. 8. ‘비밀번호 변경(Chan...

트위터 비밀번호 HOWTO 2018.05.11

제 3자 데이터 유출로 인한 14억 개의 비밀번호가 갖는 의미

제 3자 데이터 유출로부터 얻은 10억 개 이상의 평문 비밀번호가 인터넷에서 무료로 제공되고 있다. 특히 사람은 여러 서비스에서 비밀번호를 재사용하는 경향이 있으며, 이런 크리덴셜(Credential) 가운데 일부는 수년 동안 사용되었기 때문에 특히 중소규모 기업에 심각한 위협이 되고 있다. 수년 동안 비밀번호 데이터가 범죄자 포럼에서 거래되었지만 지난 6개월 동안 순수한 비밀번호의 양 때문에 가격이 아주 낮은 수준으로 떨어졌다. 2017년, 누군가 이전에 노출된 14억 개의 크리덴셜 모음을 무료로 제공했다. 크리덴셜은 토르(Tor)를 사용하느라 고생할 필요없이 검색 엔진과 토렌트(Torrent) 클라이언트만 사용할 줄 아는 사람이라면 누구나 무료로 확보할 수 있다. B&D(Bits & Digits)의 공동 설립자 J. 테이트는 "역사상 전례 없는 일이다"며, "유출 데이터는 다크넷(Dark Net)에서 찾을 수 있다고 말하곤 했다. 하지만 이제는 공개적으로 원하는 곳에서 찾고 사용할 수 있게 되었다"고 말했다. 이 이야기를 접하면서 본지는 유출된 데이터에서 IDG 뿐만 아니라 IDG의 계열사 전현직 직원들에게 속한 수천 개의 업무용 이메일 주소와 오래된 비밀번호를 발견했다. 본지는 IT 부서와 함께 유출 당시 비밀번호가 맞는지 알아보고 유출된 비밀번호는 재등록한 것을 확인했다. 이 귀중한 데이터에는 경찰, 군사 및 스파이를 포함해 전 세계 여러 정부에서 근무하는 사람들의 이메일 주소와 비밀번호도 포함되어 있다. 미국 NSA(National Security Agency)는 해당 기관은 이렇게 유출된 크리덴셜로 인해 영향을 받지 않을 것이라고 안심시키기는 했지만 @nsa.gov 이메일 계정이 있는 사용자도 이 데이터에 포함되어 있다는 점이 불안한 것이다. 하지만 NSA처럼 위협의 양이나 질을 따지는 조직은 거의 없다. 토르만 나무라지 말자 준법을 중시하는 이는 토르를 비난...

패스워드 비밀번호 데이터유출 2018.03.30

비밀번호를 잊어버린 안드로이드 휴대전화, 잠금 해제하는 방법

휴대전화의 비밀번호를 잊어버렸다고 해서 당황할 필요는 없다. 패턴이나 핀 또는 비밀번호를 잊어버려 휴대전화 잠금을 해제할 수 없다고 걱정할 필요는 없다. 잠금 화면은 의도적으로 풀기 어렵게 설계가 되어있지만 이를 해제하는 방법은 2가지가 있다. 안드로이드 디바이스 관리자를 통한 잠금 해제 가장 먼저 생각해야 할 즉각적인 해결책은 안드로이드 디바이스 관리자를 사용하는 것이다. 이를 위해서는 구글 계정에 로그인해야 하는데, 이를 통해 원하는 기기에 접속할 수 있다. 물론 최신 기기에서만 작동한다. 이 서비스를 자신의 기기에 가져온 경우 "잠금 버튼"을 클릭하면 휴대전화의 현재 잠금 방법을 대체할 새로운 비밀번호를 입력하라는 메시지가 표시된다. 새 코드를 확인하려면 잠금 버튼을 다시 누르면 된다. 디바이스 관리자가 기기를 선택하지 못하면 페이지를 몇 번정도 새로 고침을 한다. 결국 이를 통해 기기에 도달해야 한다. 하드 리프레시(Ctrl + F5)를 통해 캐시를 지울 수도 있다. 잊어버린 패턴 기능을 통한 잠금 해제 안드로이드 4.4 이전 버전을 사용하는 경우, '잊어버린 패턴(Forgot Pattern)' 기능을 사용할 수 있다. 휴대 전화 잠금 해제를 5번 실패하면 메시지 팝업이 표시된다. 그리고 화면 오른쪽 하단에 잊어버린 패턴 버튼이 표시된다. 이를 누르자. 그런 다음 구글 계정 세부 정보를 입력하면 구글은 새로운 잠금 해제 코드가 있는 이메일을 사용자에게 보낸다. 삼성의 '휴대 전화 찾기' 서비스 삼성 스마트폰을 갖고 있다면 좋은 옵션이 있다. 하지만 이 방법은 미리 삼성 계정을 설정하지 않았다면 작동하지 않는다. 디바이스 관리자와 마찬가지로 화면 왼쪽에 '화면 잠금 버튼'이 있다. 필드 상단에 새 핀을 입력한 다음, 화면 하단의 잠금 버튼을 누른다. 잠시 후 비밀번호가 변경되고 방금 설정한 핀으로 접속할 수 있다. ...

비밀번호 잠금해제 2018.03.15

2017년에 사용된 최악의 비밀번호 TOP 25

스플래시데이터(SplashData)는 2017년 가장 많이 사용되고 위험한 비밀번호 TOP 100 목록을 발표했다. 이 목록은 2017년에 유출된 500만 건의 비밀번호를 검토한 결과로, 가장 최근에 발표한 자료다. 지금까지 알려져 있던 최악의 비밀번호 목록은 2016년의 것이었다. 언제나 그랬듯이 가장 최악의 비밀번호를 구성하는 요소는 여전했지만, 일부 순위가 변경되고 새로운 비밀번호가 올라왔다. 예를 들어, '123456'과 'password'는 가장 많이 사용되는 최상위 비밀번호로 여전히 남아 있지만, 'starwars'는 새롭게 목록에 등장했다. 스플래시데이터 CEO 모건 슬레인은 "유감스럽게도 스타워즈 시리즈의 최신 에피소드가 좋은 비밀번호를 제공할 기회일 수 있지만, 사용하기에는 위험한 비밀번호"라며, "해커들은 많은 사람이 기억하기 쉬운 팝 문화와 스포츠의 공통된 용어를 사용하고 있다는 것을 알고 있기 때문에 온라인 계정에 침입할 수 있다"고 말했다. 또한 숫자 "0"을 문자 "O"로 바꿔 넣는 방식은 비밀번호를 변경하는 것으로 좋을 지 모르지만, 이 수법은 그리 좋지 않다고 지적했다. 올해 목록에는 최악의 비밀번호인 '123456'과 'password'의 변형으로 알파벳 "O"로 숫자 "0"을 대체하거나 숫자 문자열에 여분의 숫자를 추가한 형태의 6가지 비밀번호가 등록됐다. 슬레인은 "해커들은 사용자의 속임수를 알고 있다. 쉽게 추측할 수 있는 비밀번호를 조정한다고 해서 이것이 안전하지는 않다"고 말했다. 스플래시데이터는 약 10%의 사용자가 올해 TOP 25 목록에 있는 최악의 비밀번호 가운데 하나를 사용했으며, 거의 3%의 사용자가 최악의 비밀번호인 '123456'을 사용했다고 추정했다. &...

비밀번호 123456 2017년 2017.12.20

"우리는 항상 찾을 것이다" 사용자가 보안 대책을 회피하는 이유와 방식 5가지

직원들에게 지나치게 많은 보안 대책을 강요한다면 일반적으로 직원들은 '보안' 대신 '편리함'을 선택한다. 그러나 보안이 강화될 수 있도록, 보안과 편리함을 적절히 균형 잡는 방법이 있다. Credit: Getty Images Bank 사이버보안 전문가인 리차드 화이트는 "나쁜 사람들의 수중에 들어가지 않도록 민감한 데이터를 잠그는 것이 중요하다. 하지만 한편으로는 기업들의 제약이 지나치다"고 말했다. 과도한 제한이 직원들이 효율적으로 업무를 처리할 수 없도록 만드는 등 방해를 하면, 오히려 문제가 커질 수 있기 때문이다. 이렇게 되면, 직원들은 보안을 회피할 '편법'을 찾는다. 또한 생산성이 저하되면서, 아이러니하게 데이터에 위험이 초래되는 상황이 전개되는 것이다. 화이트는 한 사무소에서 직접 관찰한 사례 하나를 소개했다. 한 직원이 컴퓨터 화면에 표시된 보안 정보를 스마트폰으로 사진을 찍었다. 집에 가서 해야 할 일을 끝내기 위해서였다. 옥스포드 솔루션스(Oxford Solutions) 상무이자 <사이버 범죄: 공격 기법 이면의 광기(Cybercrime: The Madness Behind the Method)>라는 책을 쓴 화이트는 "보안 대책이 지나치게 복잡할 때, 사용자가 가장 먼저 하는 일은 이를 우회할 방법을 찾는 것이다. 그러면 보안 대책이 무용지물이 되어버린다. 사이버보안 담당자는 실제 보안 위험을 토대로 정책과 절차, 기술을 고려해 맞춤화시켜야 한다. 즉 사용자 목적에 부합하도록 보안 대책을 합리적으로 균형을 맞춰야 한다"고 강조했다. 화이트를 비롯한 여러 보안 전문가에 따르면, 운영을 대대적으로 바꾸지 않고도 보안 대책과 유용성(편리함)을 더 균형있게 만들 수 있다. 직원들이 보안 대신 생산성을 선택하는 경향이 있는 일부분을 개선하는 것을 출발점으로 삼을 수 있다. 복잡한 비밀번호 요구 비밀번호는 아주 중요한 보안...

사용자 비밀번호 보안 2017.12.05

비밀번호 해킹에 당할 수밖에 없는 이유와 안전한 비밀번호 만들기

전문가들은 이제 더 이상 기업들이 전통적인 비밀번호에만 보안을 맡겨선 안 된다고 입을 모은다. 이제는 다중 인증(multi-factor authentication, FTA), 생체 인식 및 싱글 사인온(Single Sign-On, SSO) 기술로 옮겨갈 때가 됐다는 것이다. 버라이즌이 최근 내놓은 데이터 유출 조사 보고서에 따르면, 해킹과 관련된 데이터 유출 사건의 81%는 허술한 비밀번호나 유출된 비밀번호와 관련이 있었다. 우선, 비밀번호 해킹 기술에 대한 이야기부터 나눠보자. 해킹 방식은 타깃이 기업인지, 개인인지, 혹은 일반 대중인지에 따라 달라질 지 몰라도, 결과는 언제나 같다. 해커의 승리로 끝나는 것이다. 비밀번호 해시 파일 유출을 통한 비밀번호 해독 만일 기업의 모든 비밀번호가 한 번에 털리는 사건이 발생한다면, 이는 십중 팔구 비밀번호 파일이 유출되었기 때문이다. 비밀번호를 그냥 글자 그대로 기록해 텍스트 파일 형태로 보관하는 기업이 있는가 하면, 좀 더 보안에 민감한 기업들은 비밀번호 파일에 해시를 설정해 두기도 한다. 버로딘(Verodin)의 CISO 브라이언 콘토스는 해시 파일을 사용하면 도메인 컨트롤러나 LDAP, 액티브 디렉토리 같은 기업 인증 플랫폼의 비밀번호를 보호할 수 있다고 말했다. 그런데 해시조차도 더 이상 안전하지 않다. 해시는 비밀번호를 뒤섞어 놓는다. 비밀번호가 정확한지 확인하기 위해 로그인 시스템에서는 사용자가 입력한 비밀번호를 뒤섞은 후 이를 기존에 파일이 존재하는 해시 처리된 비밀번호와 비교한다. 이런 해시 비밀번호 파일을 공략하는 공격자들은 간단한 검색 작업을 통해 해시를 해독할 수 있는 "레인보우 테이블(rainbow table)"을 사용한다. 이들은 또 비밀번호 크래킹에 특화된 하드웨어를 구매하거나, 아마존, 마이크로소프트와 같은 퍼블릭 클라우드 공간을 대여하거나, 프로세싱 작업을 위한 봇넷을 제작 또는 대여하기도 한다. 설령 공격자가 비밀번호 크래킹 전문가가 아니라...

비밀번호 2017.12.01

"강력한 비밀번호를 원한다면"…비밀번호 규칙 제대로 알기 4가지

비밀번호 보안에 대해 지속적으로 거론하는 이유는 비밀번호가 사람들이 제대로 얘기하지 않고 공론화하지 않는 분야이지만 여전히 중요하기 때문이다. 비밀번호는 악의적인 무언가에 대해 전자 메일이나 소셜 미디어, 온라인 뱅킹, 게임, 교육 애플리케이션 또는 온라인 서비스와 같은 사용자 데이터를 유지하는 수단으로 사용된다. 사용자가 더 나은 비밀번호를 사용하지 않는다면 공격자는 은행 계좌를 약탈하고 온라인 서비스 계정을 탈취할 것이다. 사용자들은 모두 비밀번호의 기본 사항에 대해서는 충분히 알고 있다. ▲비밀번호에 "비밀번호(Password)"를 사용하지 말고 ▲같은 비밀번호를 다른 계정에 반복해서는 안된다. ▲가능하다면 온라인 계정에서는 이중 인증을 사용하라. ▲SMS 메시지를 통한 일회용 비밀번호가 아무 것도 하지않는 것보다 낫다. ▲비밀번호 관리자를 사용해 모든 비밀번호를 추적하라. 많은 비밀번호 조언이 합리적으로 들리지만, 이를 실천하기에는 도움이 필요하다. 다음은 비밀번호에 대해 알아야 할 4가지다. 비밀번호 알기 1. 비밀번호에는 대소문자, 숫자와 특수 문자가 필요하다 - 진실 : 복잡한 보안 비밀번호가 얼마나 많은 보안을 제공할 수 있는 지는 한계가 있다. 예를 들어, 'letmein'은 좋지않은 비밀번호이지만 대소문자와 숫자가 혼합되어 있는 'Password1', 'Abc123', 'Passw0rd' 등이 더 나은 비밀번호는 아니다. 사전에 있는 단어를 기반으로 비밀번호를 만드는 것은 나쁜 생각이다. 숫자나 기호를 문자로 대체하는 것 또한 영리하거나 독특한 생각이 아니다. 비밀번호 크래커는 자체 색인 표에 "vuln3rabl3" 또는 "trustno1"과 같은 단어를 포함하고 있다. 후자의 비밀번호는 2014년 스플래시데이터(SplashData)가 밝힌 가장 보편적으로 사용되는 비밀번호 가운데 상위 25위를 차...

패스워드 비밀번호 2017.10.12

이스트소프트, 13만 3,800건 고객 정보 유출

안티바이러스 소프트웨어인 알약으로 유명한 이스트소프트의 알툴즈 계정 정보 13만 3,800건이 유출됐다. 특히 이번에 유출된 계정 정보에는 비밀번호가 포함되어 있어 2차 피해가 발생할 가능성이 높은 것으로 알려졌다. 이스트소프트는 지난 1일 17시 경 사이버 공격자로부터 일부 고객 개인정보를 볼모로 한 협박성 이메일을 확인한 결과, 자사 고객의 정보와 일치했다고 9월 5일 밝혔다. 이스트소프트는 방송통신위원회에 사고 신고를 접수하고 이메일, SMS, 홈페이지 공지, 보도자료 등 다양한 창구를 통해 개인정보 침해 가능성에 대한 고객 안내를 준비했다. 이스트소프트의 개인정보 유출신고를 받은 방송통신위원회는 9월 2일 오후부터 관련 조사를 진행중이라고 밝혔다. 이스트소프트 측에서 유출 신고한 개인정보 항목과 규모는 '알툴즈 사용자 아이디 및 비밀번호 13만 3,800건'과 '알툴즈 프로그램 중 알패스(ALPass)에 등록된 웹사이트 명단, 아이디, 비밀번호'였다. 방통위는 이번 개인정보 유출 건은 웹사이트 접속 비밀번호가 공격자에게 직접 유출되어 이용자 2차 피해가 우려됨에 따라, 해당 사용자들은 즉시 비밀번호 변경 등의 조치를 취할 것을 당부했다. 또한 이스트소프트의 알툴즈 프로그램 사용자가 알패스에 등록해 관리하던 아이디와 비밀번호에 대해서도 개인정보 유출사실을 해당 업체에 통보해 비밀번호 변경 등을 안내하도록 조치를 취하고 있다. 알패스는 웹사이트에서 사용하는 아이디와 비밀번호를 기억했다가, 해당 사이트를 재방문할 때 그 정보를 기억하고 로그인 창에 아이디와 비밀번호를 자동으로 입력시켜주는 프로그램이다. 방통위는 이번 개인정보 유출건과 관련해 엄정한 조사를 통해 정확한 유출 규모 및 유출 경위 등을 파악할 예정이며, 정보통신망법 위반사항 발견 시 과태료, 과징금 등 행정처분을 할 계획이다. 한편 이스트소프트는 홈페이지에 사과문과 사건 발생 경위서를 게시하면서 지금까지 확인한 내용과 분석 ...

이스트소프트 정보유출 비밀번호 2017.09.06

글로벌 칼럼 | "자신의 비밀번호는 얼마나 안전한가" 기업이 따라야 할 실전 규칙

미국 국립표준기술연구소(NIST)가 비밀번호 지침을 바꾼 것은 늦었지만 반가운 조치였다. 기존 지침은 숫자, 문자, 특수 문자를 섞어 주기적으로 바꾸라고 권장했는데 보안 연구원들은 이를 비판했다.  Credit: Ben Patterson / IDG 새로 나온 지침을 검토해 본 결과, 매우 흔한 공격에 대한 설명이 없다는 점이 특징이다. 간단히 말하면 NIST 지침은 대부분의 계정 인증을 비밀번호에만 의존하는 사람들을 더욱 취약하게 만들고 있다. NIST 지침의 대부분은 비밀번호가 아닌 토큰 인증과 같은 다른 인증 방식에 집중하고 있다. 인증에 비밀번호만 사용하는 것은 낮은 수준의 계정에서만 허용된다. 이것은 보통 위험에 따른 결정이지만 현실은 대부분의 계정이 비밀번호만 사용하는 인증에 의존하고 있다. 비밀번호 강도 비밀번호 관련해서 바뀌지 않은 것은 사전 등재 단어와 같이 짐작하기 쉬운 비밀번호는 허용되지 않는다는 점이다. 아무 비밀번호나 짐작해서 무차별적으로 시도하는 사람들을 차단하기 위해 로그온 시도 속도에 제한을 둬야 한다고 명시되어 있기는 하다. 그러나 이는 가장 짜증스러운 비밀번호 보안 기능 가운데 하나이며 공격을 멈추기보다는 합법적인 사용자를 차단하는 경우가 훨씬 많다. 누구나 반길 만한 중요한 변화는 비밀번호가 짐작하기 쉬운 단어가 아닌 한 특수 문자를 의무적으로 사용할 필요가 없다는 점이다. 새 지침에 따르면 주기적인 비밀번호 변경을 의무화하지 않을 것도 권장된다. 비밀번호를 자주 바꿀 필요가 없다는 점에서 괜찮아 보이기는 한다. 개인적으로는 특수 문자가 없는 것은 몰라도 추가적인 인증 방식이 없는 상태에서 비밀번호 변경마저 없는 것은 좀 아쉽다. 비밀번호 풀기 그렇다면 이 새로운 지침 중에서 얼마나 많은 부분이 기업의 비밀번호 정책에 적절할까? 이 질문에 답을 하기 위해서 먼저 계정이 대개 어떤 식으로 침해되는 살펴보자. 대부분의 인증 공격은 피싱 공격이나 탈취한 비밀번호 파일을 재...

암호 비밀번호 Nist 2017.09.05

지금 당장 해야 하는 윈도우 그룹 정책 설정 10가지

마이크로소프트 윈도우 운영체제를 사용하는 사무실을 구성하는 가장 일반적인 방법 가운데 하나는 그룹 정책을 사용하는 방법이다. 그룹 정책은 컴퓨터의 레지스트리에 등록되어 보안 설정과 기타 작업과 관련된 동작을 구성하는 데 사용된다. 그룹 정책은 액티브 디렉터리에서 가져오거나(클라이언트에서 가져옴) 로컬로 구성이 가능하다. 필자는 1990년대부터 윈도우 컴퓨터 보안 일을 해오면서 많은 그룹 정책을 다뤘다. 고객과 함께 일할 때는 우선 각 그룹 정책 개체 내의 각 그룹 정책 설정을 면밀히 검토한다. 예를 들어 윈도우 8.1과 윈도우 서버 2012 R2에는 운영체제 하나에만 3,700개 이상의 설정이 있다. 비밀을 하나 알려주자면 그 가운데 필자가 신경쓰는 설정은 딱 10개뿐이다. 이 10가지만 보면 된다는 말은 아니다. 각 그룹 정책 설정을 올바르게 구성하면 그만큼 위험은 낮아진다. 다만 필자가 하고자 하는 말은 10가지 설정이 위험의 대부분을 좌우하며 나머지는 모두 부차적이라는 것이다. 새 그룹 정책을 볼 때 필자가 가장 먼저 하는 일은 이 10가지 설정을 살피는 것이다. 이 10가지 올바르게 설정되어 있다면 고객이 일을 제대로 한다는 뜻이고 필자의 일도 한결 쉬워진다. 이 10가지 설정을 제대로 하면 윈도우 환경을 더욱 안전하게 보호할 수 있다. 각각의 설정은 '컴퓨터 구성\윈도우 설정\보안 설정'에 위치한다. 1. 로컬 관리자 계정 이름 바꾸기 관리자 계정의 이름을 모를 경우 해킹하기가 훨씬 더 어렵다. 관리자 계정의 이름 변경은 자동으로 되지 않으므로 직접 해야 한다. 2. 게스트 계정 비활성화 게스트 계정을 활성화하는 것은 가장 좋지 않은 행동 가운데 하나다. 게스트 계정은 윈도우 컴퓨터에 대한 상당한 수준의 접근 권한을 부여하며 비밀번호도 없다. 다행히 기본적으로 비활성화된다. 3. LM 및 NTML v1 비활성화 LM(LAN Manager)와 LTLMv1 인증 프로토콜에는 취약점이 있다. NTLM...

비밀번호 설정 윈도우 2017.08.09

리뷰 | 명불허전···"비밀번호 관리 프로그램의 일인자" 라스트패스

라스트패스는 비밀번호 관리 프로그램의 가장 모범적인 표준이다. 모든 기능을 다 갖춘 최초의 도구이자 비밀번호 조합기능, 폼 채우기, 비밀번호 생성 기능은 모두 비밀번호 관리자 프로그램이 갖춰야 할 필수 기능이다. 라스트패스 브라우저 플러그인을 설치하고 로그인하면, 이후 처음 방문하는 웹 사이트의 로그인 인증서가 라스트패스에 확보된다. 사이트에 재방문하면 작은 아이콘이 로그인 폼에 보이고 숫자로 저장된 아이디 개수를 보여준다. 클릭하면 각 아이디를 선택해 로그인할 수 있다. 계정마다 자동 로그인 설정이 있어 언제든 웹 사이트를 방문할 때마다 자동으로 로그인할 수도 있다. 모든 웹 사이트 계정은 사용자 보관함(Vault)에서 관리한다. 비밀번호가 저장된 웹 사이트는 타일이나 목록 형태로 나열된다. 각각의 타일은 로그인 상세 정보로 연결되는 버튼 역할을 하며, 다른 사용자와 공유하거나 삭제할 수 있다. 솔직히 말하자면, 보관함을 방문하는 이유는 단 하나, 플러그인 메인 기능과 개인 계정에 접속할 수 있기 때문이고, 자주 방문할 일은 없다. 독특하고 복잡한 비밀번호는 보안을 강화할 때 가장 큰 장애물이다. 라스트페스는 대소문자, 숫자, 특수문자로 12자리 암호까지 자동으로 생성하는 강력한 암호 생성 기능으로 사용자의 부담을 줄인다. 쉽게 기억할 수 있도록 비밀번호를 소리 내 발음으로 듣는 설정도 있다. 비밀번호 생성기 아이콘은 웹 사이트에 새로 가입할 때 발견할 수 있고, 보관함이나 브라우저 플러그인에 액세스해 변경할 수도 있다. 그러나 비밀번호는 한번 만들어놓고 잊어버리면 되는 것이 아니다. 그러므로 예방 조치로 자주 비밀번호를 바꾸고 개인 보안을 강화할 수 있다. 라스트패스는 비밀번호 변경 도구 두 가지를 제공하는데, 첫 번째는 자동 암호 변경이다. 수동으로 페이스북이나 아마존 등 80개 사이트의 개인 정보 메뉴에 들어가 비밀번호를 변경하지 않아도 된다. 두 번째는 보안 챌린지 기능으로 취약한 조합으로 만들어진 비밀번호를 탐지한다. ...

비밀번호 보안 라스트패스 2017.07.24

윈도우 10 비밀번호 로그인 제거하는 법

태블릿이 인기를 얻는 이유 가운데에는 윈도우가 로드될 때까지 기다릴 필요가 없으며, 사용할 때마다 비밀번호를 입력할 필요가 없다는 사실이 포함되어 있다. 태블릿이 좋긴 하지만, 때로는 상황에 따라 PC나 노트북만 있어도 된다. 사용자들은 PC나 노트북을 빨리 로드하고 싶어한다. 하지만 너무 많은 걸 바라진 말자. 우선 불필요한 시작 프로그램을 제거해 윈도우의 로드 속도를 높일 수 있다. 그리고 윈도우 비밀번호를 입력해야 하는 추가 단계를 제거하는 것이다. 단, 이 방법은 컴퓨터가 악당의 손에 들어가지 않을 것이라고 확신하는 경우에만 사용해야 한다. 사용자 계정에서 윈도우의 비밀번호 로그인 제거하기  윈도우의 비밀번호 로그인을 제거하는 것은 사용자 계정 설정에서 상자를 선택, 취소하면 된다. 해당 옵션을 접속하는 방법은 다음과 같다. - 시작 메뉴 검색 바에서 'netplwiz'를 입혁한 다음, 상단 결과를 클릭해 명령을 실행하라. - '이 컴퓨터를 사용하려면 사용자 이름과 비밀번호를 입력해야 합니다' 옆의 상자를 클릭하고 '적용'을 클릭하라. - 사용자 이름과 암호를 입력한 다음, 비밀번호를 다시 입력하라. 그리고 확인을 클릭하라. - 변경 내용을 저장하려면 다시한번 확인을 클릭하라. 윈도우 비밀번호 로그인을 다시 활성화하려면, 이 설정 메뉴로 돌아가서 '이 컴퓨터를 사용하려면 사용자 이름과 비밀번호를 입력해야 합니다' 옆의 확인란을 선택하면 된다. editor@itworld.co.kr  

로그인 비밀번호 윈도우10 2017.07.20

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.