본문 바로가기

security/보안 뉴스

[Sophos] 야후 보이스(Yahoo Voice) 해킹으로 드러난 최악의 패스워드



야후 보이스(Yahoo Voice) 해킹으로 드러난 최악의 패스워드

매우 많은 인터넷 사용자들이 패스워드를 선택할 때 어리석은 결정을 하고 있습니다.

우리들은 크랙하기 어렵고, 추측하기 어려운 독창적인 패스워드 선택의 중요성에 대해 재삼 재사 얘기를 했었는데, (여러분이 이용하는 웹페이지가 적절하게 데이터베이스를 활용한다면) 그러한 패스워드들은 패스워드 크랙커들의 삶을 매우 어렵게 할 것입니다.

그럼에도 불구하고, 사람들은 계속해서 (매우 솔직히) 어리석은 패스워드를 사용하고 그러고 나서, 여러 곳에서 그 동일한 패스워드를 사용함으로써 문제를 악화시킵니다.

스칸디나비아의 시큐리티 블로거인 앤더스 닐슨(Anders Nilsson)은 피팔(Pipal) 패스워드 분석툴을 사용하여 야후 보이스에서 해커들에 의해 강탈된 45만개의 평범한 패스워드에 대해 분석을 하며 많은 시간을 보냈습니다.

그런데 그가 발견했던 것은 사용자가 패스워드 시큐리티에 대한 메시지를 얻을 것이라는 많은 믿음을 불러 일으키지는 않습니다.

저를 따라 하세요.

“ ‘password’라는 패스워드는 사실 패스워드가 아닙니다.”

그리고, “123456”이나 “welcome”, “qwerty”도 역시 해커에게 도전할 무언가를 제공할 것입니다.

패스워드 목록이 해킹되어 인터넷에 공개될 때마다 해커들은 다음 번에 어떤 계정에 침입하거나 해시된 패스워드를 크랙하려고 시도하기 위해 그들의 패스워드 크래커를 위한 자신의 데이터베이스에 그 목록들을 추가한다는 것은 사실입니다.

여러분의 패스워드들은 독창적이고 크랙하기 어려운 것이어야 합니다. 그 말은 더 이상 사전에 나오는 단어를 사용하는 것도 아니고, 'qwertyuiop'나 'password1234' 같은 생각을 하는 이 세상 어느 누구나가 상상하는 것이 아닙니다.

보통의 인터넷 사용자들로부터의 전형적인 반응은 “하지만 어떻게 이렇게 다르고, 복잡한 패스워드 모두를 기억하죠?” 입니다.

간단합니다. 적절한 패스워드 관리 프로그램을 사용하세요.

선택할만한 프로그램이 몇 가지 있고, 그들 중 몇 가지는 심지어 무료입니다. 1Password나 KeePass, LastPass와 같은 소프트웨어는 여러분을 대신해서 여러분의 서로 다른 모든 패스워드를 기억할 수도 있고, 안전하게 저장하고, 심지어 여러분이 가입하는 다음 번 웹사이트를 위한 복잡한 패스워드를 생성할 수도 있습니다.

하지만, 분명히 그 책임이 모두 사용자에게 있는 것은 아닙니다.

웹사이트들은 사용자들의 정보를 보호하기 위해 더 많은 관심을 기울여야 할 뿐만 아니라(예를 들어, 평문으로 패스워드를 저장하지 않거나 솔트를 쓰지 않은(unsalted) 해시로 저장하는 등), 사용자들은 반드시 좀 더 까다로운 패스워드를 선택해야 합니다.

나는 일반적으로 사용된 패스워드와 사전단어에 대해서 데이터베이스를 운영함으로써 새로운 사용자들에 의해 선택된 패스워드를 체크하는 더 많은 웹사이트를 보고 싶습니다.

만약 사용자가 입력한 패스워드가 너무 평이하거나 분명한 순서가 있는 것이거나 복잡도나 길이에 대해 민감한 패스워드 규칙을 지키지 않는다면, 거절하고 사용자가 다시 한번 시도하도록 요청해야 합니다.

웹사이트는 보안침입을 야기하는 여러분의 패스워드를 변경하라고 요구할 때도, 역시 크랙하기 어렵고 독창적인 패스워드를 선택하도록 알려줘야 합니다. 그렇지 않으면, 새로운 패스워드가 “abcdefg”가 되는 것을 어떻게 막을 수 있겠습니까?

만약 웹사이트가 사용자에 의해 선택된 패스워드를 감시했다면, 그리고 허술한 패스워드 선택은 내던져버렸다면 더 안전한 세상이 되었을 것입니다.

그리고 단지 사용자만이 강력한 패스워드를 가져야 하는 것은 아닙니다. 웹사이트의 스텝도 역시 현명하고 크랙하기 어려운 패스워드를 가져야 필요가 있습니다.

예를 들어, 2009년 초에 한 해커는 트위터의 관리자 콘솔에 침입했기 때문에 유명인사들이 소유한 트위터 계정들을 해킹할 수 있었습니다.

그 해커는 어떻게 그것을 관리할 수 있었을까요?

트위터 직원은 “Happiness”라는 패스워드를 사용했었습니다.

다음은 크랙하긴 어렵지만 기억하긴 쉬운 패스워드를 어떻게 선택하는지 보여주려고 제가 만든 유투브 동영상입니다. 그것은 또한 1Password와 KeePass, LastPass와 같은 패스워드 관리 소프트웨어가 어떻게 여러분의 서로 다른 패스워드 모두를 기억하도록 도와주는지도 설명해 줍니다.


(동영상은 잘 보셨나요? 소포스 유투브 채널에서 더 많은 자료를 확인해 보세요.)

만약 여러분이 이미 패스워드에 대한 이와 같은 사실을 알고 있다면 훌륭합니다!. 
하지만 훌륭한 사마리아인이 되려면 그 충고를 여러분의 가족과 친구들에게 공유하세요.

우리는 모든 이에게 더 나은 패스워드 보안의 중요성을 이해시킬 필요가 있습니다.

공주들이나 닌자들까지도…