웹사이트는 귀하의 비밀번호를 어떻게 보호합니까?

현재 데이터 유출에 대한 소식을 듣는 것은 매우 정상적인 일입니다. Gmail 과 같은 인기 있는 서비스 나 MySpace와 같이 우리 대부분이 잊어버린 소프트웨어 에서 침해가 발생할 수 있습니다 .

해커가 알아낼 수 있는 최악의 정보 중 하나는 비밀번호입니다. 이는 표준 조언에 어긋나고 여러 다른 플랫폼에서 동일한 로그인을 사용하는 경우 특히 그렇습니다. 하지만 비밀번호 보호는 귀하만의 책임이 아닙니다.

그렇다면 웹사이트는 귀하의 비밀번호를 어떻게 저장합니까? 귀하의 로그인 정보를 어떻게 안전하게 유지합니까? 웹사이트에서 귀하의 비밀번호를 추적하는 데 사용할 수 있는 가장 안전한 방법은 무엇입니까?

최악의 시나리오: 비밀번호가 일반 텍스트로 저장됩니다.

다음 상황을 생각해 보십시오. 대규모 웹사이트가 해킹당했습니다. 사이버 범죄자는 웹사이트가 마련한 기본 보안 조치를 우회했으며 사이트 구조의 결함을 악용할 수 있습니다. 당신은 고객입니다. 해당 웹사이트에는 귀하의 세부정보가 저장되어 있습니다. 이 사이트는 귀하의 비밀번호가 안전한지 확인합니다. 하지만 해당 웹사이트가 귀하의 비밀번호를 일반 텍스트로 저장하면 어떻게 될까요?

일반 텍스트로 된 비밀번호는 수익성이 좋은 미끼와 같습니다. 알고리즘을 사용하지 않으므로 읽을 수 없습니다. 해커는 당신이 이 글을 읽는 것처럼 간단하게 비밀번호를 읽을 수 있습니다.

비밀번호가 얼마나 복잡한지는 중요하지 않습니다. 일반 텍스트 데이터베이스는 사용하는 숫자와 추가 문자를 포함하여 명확하게 작성된 모든 사람의 비밀번호 목록입니다.

그리고 해커가 웹사이트를 크랙하지 않더라도 일부 웹사이트 관리자가 귀하의 비밀 로그인 정보를 볼 수 있기를 정말로 원하십니까?

매우 드문 문제라고 생각할 수도 있지만, 전자상거래 사이트의 약 30%가 고객 데이터를 "보호"하기 위해 이 방법을 사용하는 것으로 추정됩니다!

웹사이트가 비밀번호를 일반 텍스트로 저장하는지 확인하는 쉬운 방법은 가입 직후 웹사이트로부터 로그인 세부정보가 나열된 이메일을 받는 것입니다. 이 경우 동일한 비밀번호를 사용하는 다른 사이트를 변경하고 해당 회사에 연락하여 해당 사이트의 보안이 너무 취약하다고 경고할 수 있습니다. 물론 100% 확인하는 것은 불가능하지만 이는 매우 분명한 신호이며 사이트에서는 실제로 그러한 내용을 이메일로 보내서는 안 됩니다.

인코딩: 듣기에는 좋지만 완벽하지는 않습니다.

많은 웹사이트에서는 사용자 비밀번호를 보호하기 위해 암호화를 사용합니다. 암호화 프로세스는 귀하의 정보를 뒤섞어 두 개의 키(귀하가 보유한 키(로그인 정보)와 해당 회사가 보유한 키)가 함께 나타날 때까지 읽을 수 없도록 만듭니다.

당신은 또한 다른 많은 곳에서도 암호화를 사용했습니다. iPhone의 Face ID는 암호화의 한 형태입니다. 비밀번호는 동일합니다. 인터넷은 암호화를 통해 실행됩니다. URL에서 볼 수 있는 HTTPS는 귀하가 방문하는 웹사이트가 연결을 확인하고 데이터를 집계하기 위해 SSL 또는 TLS 프로토콜을 사용한다는 것을 의미합니다. 그러나 실제로 암호화는 완벽하지 않습니다.

암호화를 사용하면 마음의 평화를 얻을 수 있습니다. 그러나 사이트가 자체 비밀번호를 사용하여 귀하의 비밀번호를 보호하는 경우 해커는 사이트의 비밀번호를 훔친 다음 귀하의 비밀번호를 찾아 해독할 수 있습니다. 해커가 귀하의 비밀번호를 알아내는 데는 많은 노력이 필요하지 않습니다. 이것이 바로 주요 데이터베이스가 항상 큰 표적이 되는 이유입니다.

사이트의 키(비밀번호)가 비밀번호와 동일한 서버에 저장되어 있는 경우 비밀번호도 일반 텍스트일 수 있습니다.

• 해커는 어떻게 WiFi 비밀번호를 훔치나요? 이를 방지하는 방법은 무엇입니까?

해시: 놀랍도록 간단합니다(그러나 항상 효과적인 것은 아닙니다).

비밀번호 해싱은 전문 용어��럼 들릴 수 있지만 이는 단순히 보다 안전한 암호화 형태일 뿐입니다.

웹사이트는 비밀번호를 일반 텍스트로 저장하는 대신 MD5, SHA(Secure Hashing Algorithm)-1 또는 SHA-256과 같은 해시 기능을 통해 비밀번호를 실행하여 비밀번호를 완전히 다른 숫자 집합으로 변환합니다. 숫자, 문자 또는 기타 문자가 될 수 있습니다.

귀하의 비밀번호는 IH3artMU0일 수 있습니다 . 이는 7dVq$@ihT 로 바뀔 수 있으며 해커가 데이터베이스에 침입하면 그가 볼 수 있는 전부입니다. 해커는 원래 비밀번호를 다시 해독할 수 없습니다.

불행하게도 상황은 당신이 생각하는 것만큼 안전하지 않습니다. 이 방법은 일반 텍스트보다 낫지만 여전히 사이버 범죄자에게는 문제가 되지 않습니다.

중요한 것은 특정 비밀번호가 특정 해시를 생성한다는 것입니다. 그 이유는 다음과 같습니다: IH3artMU0 비밀번호로 로그인할 때마다 자동으로 해당 해시를 통과하고, 해당 해시와 사이트 데이터베이스에 있는 해시가 존재하는 경우 사이트에서 액세스를 허용합니다.

이에 대응하여 해커들은 치트 시트와 유사한 레인보우 테이블을 개발했습니다. 이는 이미 다른 사람들이 비밀번호로 사용하고 있는 해시 목록으로, 무차별 대입 공격 처럼 정교한 시스템이 신속하게 실행할 수 있습니다 .

매우 형편없는 비밀번호를 선택했다면 그 비밀번호는 무지개 테이블에 올라가 쉽게 해독될 수 있습니다. 복잡한 비밀번호는 시간이 더 오래 걸립니다.

현재 최고: 솔팅(Salting) 및 슬로우 해시(Slow Hash)

솔팅(Salting)은 가장 안전한 웹사이트에서 구현되는 가장 강력한 기술 중 하나입니다.

뚫을 수 없는 것은 없습니다. 해커는 항상 새로운 보안 시스템을 해독하기 위해 적극적으로 노력하고 있습니다. 현재 가장 안전한 웹사이트에는 더 강력한 기술이 구현되어 있습니다. 그것은 스마트 해시 함수입니다.

솔티드 해시는 각 개별 비밀번호에 대해 생성된 무작위 데이터 세트인 암호화 임시값을 기반으로 하며, 이는 종종 매우 길고 복잡합니다.

이러한 추가 숫자는 해시 함수를 통과하기 전에 비밀번호(또는 이메일 - 비밀번호 조합)의 시작이나 끝 부분에 추가되어 레인보우 테이블을 사용한 시도를 방어합니다.

일반적으로 솔트가 해시와 동일한 서버에 저장되면 문제가 없습니다 . 해커가 일련의 비밀번호를 해독하는 데는 많은 시간이 걸릴 수 있으며, 비밀번호가 복잡하면 더욱 어렵습니다.

그렇기 때문에 웹사이트 보안에 아무리 확신하더라도 항상 강력한 비밀번호를 사용해야 합니다.

웹사이트에서는 추가 조치로 느린 해시도 사용합니다. 가장 유명한 해시 함수(MD5, SHA-1 및 SHA-256)는 비교적 구현하기 쉽기 때문에 한동안 사용되어 왔으며 널리 사용됩니다.

솔트(salt)는 여전히 적용되지만 느린 해시는 속도에 의존하는 모든 공격을 방어하는 데 훨씬 더 좋습니다. 해커가 초당 시도할 수 있는 횟수를 크게 제한하면 해킹하는 데 더 오랜 시간이 걸리므로 시도의 가치가 낮아지고 성공률도 낮아집니다.

사이버범죄자들은 ​​시간이 오래 걸리는 느린 해시 시스템과 "빠른 수정"을 공격할 가치가 있는지 판단해야 합니다. 예를 들어, 의료 기관은 보안이 낮은 경우가 많기 때문에 해당 기관에서 얻은 데이터는 여전히 놀라운 금액에 판매될 수 있습니다.

시스템이 "스트레스" 상태에 있으면 속도가 훨씬 더 느려질 수 있습니다. 전 Microsoft 소프트웨어 개발자인 Coda Hale은 MD5를 가장 주목할만한 느린 해시 함수인 bcrypt(다른 기능에는 PBKDF-2 및 scrypt가 포함됨)와 비교합니다.

"MD5처럼 40초마다 비밀번호를 해독하는 대신 12년마다(시스템이 bcrypt를 사용하는 경우) 비밀번호를 해독합니다. 귀하의 비밀번호에는 아마도 그런 종류의 보안이 필요하지 않으며 더 빠른 비교 알고리즘이 필요할 수도 있습니다. , 그러나 bcrypt를 사용하면 속도와 보안 사이의 균형을 선택할 수 있습니다."

그리고 느린 해시는 1초 이내에 수행될 수 있으므로 사용자는 영향을 받지 않습니다.