사전 공격은 네트워크 및 플랫폼의 보안을 위협합니다. 일치하는 암호를 생성하여 사용자 계정을 손상시키려고 합니다. 그들이 어떻게 작동하고 어떻게 이길 수 있는지 알아보십시오.
사전 공격
컴퓨터 시스템, 웹 사이트 및 호스팅된 서비스의 사용자 계정은 무단 액세스로부터 보호되어야 합니다. 사용자 인증은 이를 수행하는 가장 일반적인 방법입니다. 사용자에게는 고유한 사용자 ID(온라인 계정의 경우 일반적으로 이메일 주소)와 암호가 제공됩니다. 사용자가 계정에 액세스하려면 이 두 가지 정보를 제공하고 확인하고 확인해야 합니다.
사전 공격은 일반적인 공격 기술을 공유하는 사이버 공격의 제품군입니다. 그들은 단어와 소프트웨어의 긴 목록(때로는 전체 데이터베이스)을 사용합니다. 소프트웨어는 목록에서 각 단어를 차례로 읽고 공격 중인 계정의 암호로 사용하려고 시도합니다. 목록에 있는 단어 중 하나가 실제 암호와 일치하면 계정이 손상됩니다.
이러한 공격은 보다 원시적인 무차별 대입 공격 유형과 다릅니다. 무차별 대입 공격은 우연히 암호를 발견하고 행운을 빕니다. 문자와 문자의 무작위 조합을 시도합니다. 이러한 공격은 비효율적입니다. 시간이 많이 걸리고 계산 집약적입니다.
암호를 해독하는 데 필요한 노력은 암호에 추가 문자를 추가할 때마다 엄청나게 늘어납니다. 5자 암호보다 8자 암호에는 훨씬 더 많은 조합이 있습니다. 무차별 대입 공격이 성공할 것이라는 보장은 없습니다. 그러나 사전 공격의 경우 목록에 있는 항목 중 하나가 암호와 일치하면 공격은 결국 성공합니다.
물론 대부분의 기업 네트워크는 설정된 횟수의 액세스 시도 실패 후 자동 계정 잠금을 시행합니다. 매우 자주 위협 행위자는 액세스 시도에 대한 통제가 덜 엄격한 기업 웹사이트에서 시작합니다. 그리고 웹사이트에 액세스할 수 있는 경우 회사 네트워크에서 해당 자격 증명을 시도할 수 있습니다. 사용자가 동일한 암호를 다시 사용한 경우 위협 행위자는 이제 회사 네트워크에 있습니다. 대부분의 경우 웹사이트나 포털은 실제 대상이 아닙니다. 스테이징 포스트 입니다 도중에 위협 행위자의 실제 보상 – 기업 네트워크
웹사이트에 대한 액세스 권한을 얻으면 위협 행위자가 로그인 시도를 모니터링하고 사용자 ID와 비밀번호를 기록하는 악성 코드를 주입할 수 있습니다. 위협 행위자에게 정보를 보내거나 정보를 수집하기 위해 사이트로 돌아올 때까지 기록합니다.
관련된: Linux 시스템용 명령줄 암호 관리자인 Pass를 사용하는 방법
파일의 단어뿐만 아니라
최초의 사전 공격이 바로 그랬습니다. 그들은 사전의 단어를 사용했습니다. 이것이 “사전 단어를 절대 사용하지 마십시오”가 강력한 암호를 선택하는 지침의 일부인 이유입니다.
이 조언을 무시하고 어쨌든 사전 단어를 선택한 다음 사전에 있는 단어와 일치하지 않도록 숫자를 추가하는 것도 좋지 않습니다. 사전 공격 소프트웨어를 작성하는 위협 행위자는 이에 대해 현명합니다. 그들은 목록의 각 단어를 여러 번 시도하는 새로운 기술을 개발했습니다. 시도할 때마다 단어 끝에 일부 숫자가 추가됩니다. 사람들이 비밀번호를 변경해야 할 때마다 단어를 사용하고 1, 2 등의 숫자를 추가하는 경우가 많기 때문입니다.
때때로 그들은 연도를 나타내기 위해 두 자리 또는 네 자리 숫자를 추가합니다. 생일, 기념일, 팀이 컵에서 우승한 해 또는 기타 중요한 이벤트를 나타낼 수 있습니다. 사람들이 자녀의 이름이나 중요한 타인의 이름을 비밀번호로 사용하기 때문에 사전 목록은 남성과 여성의 이름을 포함하도록 확장되었습니다.
그리고 소프트웨어는 다시 진화했습니다. “i”는 1, “e”는 3, “s”는 5와 같이 문자를 숫자로 대체하는 구성은 암호를 크게 복잡하게 만들지 않습니다. 소프트웨어는 규칙을 알고 이러한 조합을 통해 작동합니다.
오늘날 이러한 모든 기술은 표준 사전 단어를 보유하지 않는 다른 목록과 함께 여전히 사용됩니다. 여기에는 실제 암호가 포함되어 있습니다.
암호 목록의 출처
잘 알려진 Have I Been Pwned 웹사이트는 검색 가능한 100억 개 이상의 손상된 계정 모음을 저장합니다. 데이터 유출이 있을 때마다 사이트 관리자는 데이터를 얻으려고 시도합니다. 그들이 그것을 얻을 수 있다면 그들은 그것을 그들의 데이터베이스에 추가합니다.
이메일 주소 데이터베이스를 자유롭게 검색할 수 있습니다. 이메일 주소가 데이터베이스에서 발견되면 어떤 데이터 위반이 귀하의 정보를 유출했는지 알려줍니다. 예를 들어, 내 이전 이메일 주소 중 하나를 찾았습니다. 내가 전화를 받았습니까? 데이터 베이스. 2016년 링크드인 웹사이트 침해로 유출되었습니다. 즉, 해당 사이트의 비밀번호도 유출되었을 것입니다. 하지만 모든 비밀번호가 고유하기 때문에 해당 사이트의 비밀번호를 변경하기만 하면 되었습니다.
내가 전화를 받았습니까? 암호에 대한 별도의 데이터베이스가 있습니다. 이메일 주소를 비밀번호와 일치시킬 수 없습니다. 내가 전화를 받았습니까? 명백한 이유로 사이트. 비밀번호를 검색하여 목록에서 찾았다고 해서 반드시 해당 비밀번호가 귀하의 계정 중 하나에서 왔다는 의미는 아닙니다. 100억 개의 계정이 침해되면 중복된 항목이 있을 것입니다. 흥미로운 점은 해당 비밀번호가 얼마나 인기가 있는지 알려준다는 것입니다. 암호가 고유하다고 생각했습니까? 아마 그렇지 않을 것입니다.
그러나 데이터베이스의 비밀번호가 귀하의 계정 중 하나에서 나온 것인지 여부 내가 전화를 받았습니까? 웹사이트는 위협 행위자의 공격 소프트웨어가 사용하는 비밀번호 목록이 될 것입니다. 비밀번호가 얼마나 비밀스럽거나 모호한지는 중요하지 않습니다. 암호 목록에 있으면 신뢰할 수 없으므로 즉시 변경하십시오.
관련된: 해킹을 당했습니까? 예라고 말하는 10가지 지표
암호 추측 공격의 변형
사전 공격과 같은 상대적으로 낮은 수준의 공격에도 공격자는 몇 가지 간단한 조사를 통해 소프트웨어의 작업을 더 쉽게 만들 수 있습니다.
예를 들어, 공격하려는 사이트에 가입하거나 부분적으로 가입할 수 있습니다. 그러면 해당 사이트에 대한 암호 복잡성 규칙을 볼 수 있습니다. 최소 길이가 8자이면 소프트웨어는 8자 문자열에서 시작하도록 설정할 수 있습니다. 4개, 5개, 6개 및 7개의 문자열을 모두 테스트하는 것은 의미가 없습니다. 허용되지 않는 문자가 있는 경우 소프트웨어에서 사용할 수 있는 “알파벳”에서 제거할 수 있습니다.
다음은 다양한 유형의 목록 기반 공격에 대한 간략한 설명입니다.
- 전통적인 무차별 대입 공격: 사실, 이것은 목록 기반 공격이 아닙니다. 전용 소프트웨어 패키지는 문자, 숫자 및 구두점 및 기호와 같은 기타 문자의 모든 조합을 점진적으로 더 긴 문자열로 생성합니다. 공격받는 계정의 비밀번호로 각각을 시도합니다. 공격을 받는 계정의 암호와 일치하는 문자 조합을 생성하는 경우 해당 계정이 손상됩니다.
- 사전 공격: 목적에 맞게 작성된 전용 소프트웨어 패키지는 사전 단어 목록에서 한 번에 한 단어를 가져와 공격 대상 계정에 대한 암호로 시도합니다. 변환은 사전 단어에 숫자를 추가하고 문자를 숫자로 대체하는 것과 같이 사전 단어에 적용할 수 있습니다.
- 비밀번호 조회 공격: 사전 공격과 유사하지만 단어 목록에 실제 암호가 포함되어 있습니다. 자동화된 소프트웨어는 데이터 침해로부터 수집된 방대한 암호 목록에서 한 번에 암호를 읽습니다.
- 지능형 비밀번호 조회 공격: 비밀번호 공격과 비슷하지만 “네이키드” 비밀번호와 마찬가지로 각 비밀번호의 변형을 시도합니다. 변환은 숫자를 모음으로 대체하는 것과 같이 일반적으로 사용되는 암호 트릭을 에뮬레이트합니다.
- API 공격참고: 이러한 공격은 사용자 계정을 해독하는 대신 소프트웨어를 사용하여 응용 프로그래밍 인터페이스에 대한 사용자 키와 일치하기를 바라는 문자열을 생성합니다. API에 액세스할 수 있는 경우 민감한 정보나 지적 저작권을 유출하기 위해 API를 악용할 수 있습니다.
암호에 대한 한마디
암호는 강력하고 고유해야 하며 어린이 이름과 같이 귀하에 대해 발견되거나 추론될 수 있는 모든 것과 관련이 없어야 합니다. 암호는 암호보다 낫습니다. 일부 구두점으로 연결된 3개의 관련 없는 단어는 암호에 대한 매우 강력한 템플릿입니다. 직관적이지 않지만 암호 문구는 일반적으로 사전 단어를 사용하며 우리는 항상 암호에 사전 단어를 사용하지 말라는 경고를 받았습니다. 그러나 이러한 방식으로 이들을 결합하면 공격 소프트웨어가 해결하기 매우 어려운 문제가 발생합니다.
How Secure Is my Password 웹사이트를 사용하여 비밀번호의 강도를 테스트할 수 있습니다.
- 클라우드 사비잇: 예상 크랙 시간: 3주.
- cl0uds4vvy1t: 예상 크랙 시간: 3년.
- 삼십.깃털.거더: 예상 크랙 시간: 41조년!
그리고 황금률을 잊지 마십시오. 비밀번호는 한 시스템이나 웹사이트에서만 사용해야 합니다. 그들은 한 곳 이상에서 사용되어서는 안됩니다. 둘 이상의 시스템에서 암호를 사용하고 해당 시스템 중 하나가 침해되면 암호가 위협 행위자의 손과 암호 목록에 있기 때문에 해당 암호를 사용한 모든 사이트와 시스템이 위험합니다. . 암호가 해독되는 데 41,000조 년이 걸리든 그렇지 않든 암호 목록에 있다면 암호 해독 시간은 전혀 관련이 없습니다.
기억할 암호가 너무 많으면 암호 관리자를 사용하십시오.
관련된: 암호 관리자를 사용해야 하는 이유 및 시작하는 방법
무차별 대입 공격으로부터 보호하는 방법
계층화된 방어 전략이 항상 최선입니다. 단일 방어 조치로 사전 공격에 면역이 되지는 않지만 서로를 보완하고 이러한 공격에 취약할 위험을 크게 줄이는 여러 조치를 고려할 수 있습니다.
- 다단계 인증 사용 가능한 곳. 이것은 사용자가 소유하고 있는 물리적인 것(예: 휴대 전화, USB 키 또는 FOB)을 방정식으로 가져옵니다. 휴대전화의 앱으로 전송되는 정보 또는 FOB 또는 USB 키의 정보는 인증 프로세스에 통합됩니다. 사용자 ID와 비밀번호만으로는 시스템에 액세스할 수 없습니다.
- 강력한 암호 및 암호 사용 고유하고 암호화된 형식으로 안전하게 저장됩니다.
- 비밀번호 정책 생성 및 출시 암호의 사용, 보호 및 허용 가능한 공식화를 관리합니다. 전 직원에게 소개하고 의무화합니다.
- 로그인 시도 제한 낮은 숫자로. 실패한 시도 횟수에 도달하면 계정을 잠그거나 잠그십시오. 그리고 비밀번호 변경을 강제합니다.
- 보안 문자 사용 또는 기타 2차, 이미지 기반 인증 단계. 이는 사람이 이미지를 해석해야 하므로 봇 및 암호 소프트웨어를 중지하기 위한 것입니다.
- 암호 관리자 사용 고려. 암호 관리자는 복잡한 암호를 생성할 수 있습니다. 어떤 암호가 어떤 계정에 사용되는지 기억하므로 필요하지 않습니다. 암호 관리자는 추적해야 하는 모든 단일 계정에 대해 고유한 암호를 사용하는 가장 쉬운 방법입니다.
관련된: 2FA를 사용 중이신가요? 엄청난. 그러나 그것은 틀림이 없다
