안녕하세요 리틴입니다.
오늘은 안전한 패스워드를 선정하는 방법에 대해서 이야기할까 합니다.
내 패스워드 얼마나 안전할까?
아직도 웹 서비스 업체의 패스워드 관리 정책에는 개선할 부분이 많은 것으로 알고 있습니다. 업체가 아닌 개인 사이트라면 말할 것도 없습니다. 사용자의 패스워드가 노출되면 사용자의 금융정보, 개인 메일, 메신저 정보 등이 타인에게 유출될 수 있습니다. 그렇기 때문에 사용자는 힝상 안전한 패스워드를 선정하고 이용해야 합니다.
조금 더 넓게 보자면 점점 강력해지는 PC 성능 과 자동화된 패스워드 크랙 프로그램의 등장으로 아이디와 패스워드의 일대일 매칭으로 인한 크래킹도 생각해 봐야합니다.
사용자들이 피해야하는 패스워드는 다음과 같습니다.
1. 7자리 이하 혹은 두가지 종류 이하의 문자구성으로 이루어진 8자리 이하 패스워드
2. 특정 패턴을 갖는 패스워드로 fffsss, 123456 등
3. 키보드 상에서 연속한 위치에 존재하는 문자들의 집합 zxcvbn, qwerty 등
4. 숫자가 맨앞 혹은 맨뒤에 위치하는 패스워드 password1, 1password 등
2. 특정 패턴을 갖는 패스워드로 fffsss, 123456 등
3. 키보드 상에서 연속한 위치에 존재하는 문자들의 집합 zxcvbn, qwerty 등
4. 숫자가 맨앞 혹은 맨뒤에 위치하는 패스워드 password1, 1password 등
위에서 언급한 4가지 종류의 패스워드는 패스워드 크랙 프로그램이 최우선적으로 대입하는 패스워드이기 때문에 가장 피해야 하는 패스워드 입니다.
대부분의 사용자들은 ‘영소문자+숫자’와 같이 2가지 문자 종류로 구성된 패스워드를 사용할 것입니다. 그리고 대다수가 7자리 내외일 것입니다. 아래의 표는 오래되긴 했지만 KISA가 발표한 자료로 펜티엄4 3.0GHz CPU, 2GB 메모리를 가진 컴퓨터에 자동화된 프로그램을 설치해 실험한 결과입니다. 07년도 자료이기 때문에 컴퓨터 사양이 많이 낮기 때문에 요즘에 출시되는 쿼드코어 이상의 PC에서 실행한다면 시간은 더욱 단축될 것입니다.
| 패스워드 | 7자리 | 8자리 |
| 영문 소문자 | 45분 | 20시간 |
| 영문 소문자+숫자 | 8시간 | 13일 |
| 영문 대·소문자+숫자 | 25일 | 4년 6게월 |
| 영문 대·소문자+숫자+특수문자 | 437일 | 114년 |
안전한 패스워드 선정방법
결과적으로 사용자들은 공격자가 추측하기 어렵고 자신은 기억하기 쉬운 패스워드를 선정해야합니다. 가장 추천해 드리는 방법은 패스프레이즈(Passphrase)입니다. "four score and seven years ago" 라는 문장에서 적당히 따와 FSa7Yago 라는 패스워드를 만드는 방식입니다. 제가 즉석에서 하나의 패스워드를 만들어보자면..
제 블로그 이름인 "리틴블로그"와 개인적으로 좋아하는 WWE를 사용해보겠습니다.
우선 문자열을 추가해야 되니 WWE를 WW2!로 정한 뒤 제 이름의 홀수만 불러와서 리블그(flqmffl) + WW2!가 되는데
이 문자열을 추가로 짝수 대신 넣어보는 겁니다. 그러면 fWqWf2l!가 완성됩니다..
이런 방식으로 자신만의 문자열과 로직만 만들어 놓으면 각 사이트별로 각기 다른 패스워드를 잊어버리지 않고 안전하게 패스워드를 사용할 수 있습니다.
