아무도 내 비밀번호를 추측하지 않습니다.

아무도 내 비밀번호를 추측하지 않습니다.

좋은 암호를 찾는 것은 어렵고 점점 어려워지고 있습니다. 해커는 왜 사람들의 암호가 안전하지 않은지, 규칙적인 변경조차도 해로울 수 있다고 설명합니다.

"linkedin123"은 안전한 암호가 아니므로 이제 모든 IT 사용자에게 명확해야합니다. 그러나 "311 Zwerg fields"프로페셔널 암호 크래커는 20 자, 숫자, 대문자 및 소문자, 특수 문자 등으로 오랫동안 유지되지 않았습니다. 사실, 인기없는 게임 인 "비밀번호 생각"에서 모든 것이 제대로 이루어졌습니다.

그럼에도 불구하고 Jens Steube 팀의 별명 "atom"은 48 시간 이내에이 암호와 52919 개의 암호를 해독했습니다. 그것은 Defcon Las Vegas 해커 컨퍼런스에서 진행된 "Crack me if you can"경쟁의 정해진 기간이었습니다. Steuble 팀이 그를 이겼습니다. Jens Steube는 가장 빠른 암호 해독 도구 중 하나 인 암호 해독에 대한 권한을 가진 Hashcat의 프로그래머입니다.

Steube는 "경쟁은 인간이 암호를 만드는 데 사용하는 문제가있는 패턴을 입증했습니다. "311ergrave sheet field"와 관련하여 이는 Hashcat 팀이 암호화 된 비밀번호 중 일부가 가상의 농장에서 캡처되었음을 깨달았을 때 크래킹 소프트웨어에 농업 용어를 제공했습니다. 실제 데이터 도둑도 실제로 동일한 작업을 수행합니다.

용어 중에는 닭 품종의 이름 : 난쟁이 시트 필드가있었습니다. "난쟁이 시트 필드는 사용자가 선택한 기본 비밀번호이며 접두사 311은 숫자와주기적인 비밀번호 변경이 필요한 비밀번호 정책으로 인한 추가 패턴입니다"라고 Steube는 말합니다. 비밀번호를 올바르게 변경 한 경우 사용자는 새 비밀번호를 작성하기 위해 숫자를 하나씩 늘려야합니다. 이것은 사양에 해당하지만 확실하지 않습니다.

오류 : 내 비밀번호가 가장 좋습니다

개발자에 따르면, 이러한 패턴은 사람들이 실수로 자신이 만든 패턴을 고유하다고 생각하기 때문에 문제가됩니다. 암호 전문가는 "사람들에게는 반드시 아이디어가있는 것이 아니라 독특한 아이디어가 필요합니다"라고 말합니다. 많은 다른 패턴이 있지만 수십만이 알려져 있습니다. 그러나 Hashcat과 같은 소프트웨어의 경우 이러한 모든 패턴을 고려하여 특수 문자뿐만 아니라 기본 비밀번호와 임의의 숫자 조합을 자동으로 시도해도 아무런 문제가 없습니다. 보편적으로 인기있는 문자 대체-a by @, 1 by! 등등-소프트웨어도 마찬가지입니다. 인간 크래커가 개입하지 않아도됩니다.

최신 암호 크래킹은 그래픽 카드의 특수 기능을 사용하기 때문에 보안 문제가 악화됩니다. 게임에서 가장 현실적인 3D 효과를 담당하는이 카드의 기능은 암호 테스트를 가속화합니다.

또는보다 기술적으로 말하자면 해시 값의 생성, 즉 문자열 "c065aec1bd68cadf52a5c0d0a03e916f"에 대한 "Spiegel Online"과 같은 일반 텍스트 암호의 파생을 가속화합니다. 후자는 암호 대신 응용 프로그램 또는 온라인 서비스의 암호 데이터베이스에 저장됩니다. Hashcat에 의해 생성 된 값이 유출되거나 도난 된 비밀번호 데이터베이스에서 발견 된 해시와 일치하면 일반 텍스트 비밀번호도 일치해야합니다.

예를 들어, 1000 유로 고급 카드는 초당 최대 1,000 억 개의 Windows 암호 해시를 생성합니다. 가능한 한 오래 만들지 만 동시에 단어 묶음으로 기억하기 쉬운 암호에 대한 일반적인 조언은 한계에 부딪칩니다. Hashcat은 비밀번호를 24 시간 내에 일반 텍스트로 제시합니다.

비밀번호를 생각하지 마십시오

사람들이 암호를 생각할 때 패턴에 의존한다는 것은 놀라운 일이 아닙니다. 정책은 종종 어쨌든 기억하기 어려운 복잡하고 긴 암호를 나타냅니다. 주기적 강제 청구서가 추가되면 균열하기 쉬운 패턴을 사용해야합니다. 따라서 Steube는 이러한 변경을 거부합니다. NIST (National Institute for Standards and Technology of the USA) 의 지침 에 따라 Microsoft IT 관리자 는 향후 시간 제어 암호 변경을 요구하는 옵션을 원합니다 .

우리 인간이 암호를 스스로 생각하지 않는다면 상황은 훨씬 덜 문제가 될 것입니다. 암호 전문가는 "임의의 모호한 암호를 모두 사용해야한다면 공격이 그다지 효과적이지 않다"고 설명했다. Steube는 예를 들어 동일한 길이로 비밀번호 관리자가 생성 한 비밀번호가 사람이 생성 한 비밀번호보다 크랙하기 어렵다는 것을 확인합니다. Jens Steube는“비밀번호를 저장할 수 있으므로 온라인 생성기를 사용하지 않는 것이 좋습니다. 자신의 기기에 설치된 비밀번호 관리자를 더 신뢰할 수 있습니다.

Steube 자신도 그러한 응용 프로그램을 사용합니다. 그는 단순히 200 개 이상의 암호를 기억할 수 없습니다. 암호 관리자 나 공급자의 클라우드 저장소는 데이터 도둑의 흥미로운 대상입니다. 응용 프로그램의 장점은이 단점보다 중요합니다. 특히 볼트 잠금을 해제하기위한 마스터 비밀번호가 복잡한 경우. 볼트를 열기 위해 하드웨어 토큰이 필요한 경우 더욱 안전합니다 . Jens Steube는 "모든 암호 크래커는 이빨을 깨뜨립니다"라고 말합니다.