웹&컴퓨팅

패스워드 만드는 비법 6가지...보안 첫걸음

x2chi 2008. 2. 19. 17:18
반응형
사용자 삽입 이미지


이상적인 암호는 충분히 길면서 여러 종류의 기호가 포함된 것



지난 4일 국내 최대 경매사이트인 옥션 사이트가 크래커에 의해 개인정보가 유출되었을 수도 있다는 정확이 포착돼 경찰이 수사를 진행하고 있다. 또 게임 사이트들은 게임 계정을 노리는 크래커들과 한판 전쟁을 펼치고 있다. 한편 중국의 사이트들에는 한국인들의 주민등록번호가 널려있고 악성 해커들은 이들을 이용해 ID와 패스워드를 알아내 이를 악용하고 있는 것이 현실이다.

이런 상황에 허술하게 만들어진 패스워드는 간단한 개인정보의 조합으로 쉽게 크래커에게 노출될 수 있기 때문에 주의해야 한다.

그렇다면 강력한 패스워드를 만들기 위해서는 어떤 전략을 사용해야 할까.

정보보호 전문가들은 “강력한 암호는 공격자에게 의미와 순서가 없는 문자열로 보여야 한다. 다음과 같은 기준에 따르면 그러한 암호를 만들 수 있다”며 “충분히 길게 만들어야 한다. 암호에 추가하는 문자 수가 늘어날수록 해당 암호로 제공되는 보호 수준이 높아진다. 암호는 8자 이상이어야 하고 14자가 넘으면 이상적이다”라고 말하고 있다.

또한 많은 시스템에서 공백을 암호에 사용할 수 있도록 지원하므로 많은 단어로 이루어진 구문(암호 구문)을 만들 수 있다. 암호 구문이 단순 암호보다 더 길고 추측하기 어려울 뿐 아니라 더 기억하기 쉬운 경우가 있는 것이다.

또 문자, 숫자 및 기호를 조합해야 한다. 암호에 포함된 문자가 다양할수록 추측하기 더 어렵기 때문이다. 기타 중요한 사항에는 다음과 같은 것들이 있다.

◇암호에 포함된 문자의 종류가 적을 수록 길이는 더 길어야 한다. 의미와 순서가 없는 문자와 숫자로 이루어진 15자 암호는 전체 키보드에 있는 문자로 이루어진 8자 암호보다 33,000배 정도 더 강력하다. 기호가 포함된 암호를 만들 수 없는 경우 동일한 보호 수준을 달성하려면 상당히 길게 만들어야 한다. 이상적인 암호는 충분히 길면서 여러 종류의 기호가 포함된 것이다.

◇너무 흔한 문자만 사용하지 말고 전체 키보드를 사용하라. Shift 키를 누른 채로 숫자를 입력하는 방식으로 입력된 기호는 매우 일반적으로 암호에 사용된다. 키보드 상단에 없는 문장 부호와 해당 언어에서만 사용하는 기호를 포함하여 키보드의 모든 기호에서 선택하면 암호가 훨씬 더 강력해질 수 있다.

◇자신은 기억하기 쉽지만 다른 사람이 추측하기는 어려운 단어와 구문을 사용하라. 암호와 구문을 기억하는 가장 쉬운 방법은 적어 두는 것이다. 통상적인 믿음과는 반대로 암호는 적어 두더라도 별 잘못이 없지만 충분히 보호해야 안전하고 유효한 상태로 유지될 수 있다.

일반적으로 종이에 적어 둔 암호는 암호 관리자, 웹 사이트 또는 다른 소프트웨어 기반 저장 도구(암호 관리 프로그램)보다 인터넷으로 유출되기가 더 어렵다.

전문가들은 강력하고 기억하기 쉬운 암호를 만드는 6단계 과정을 다음과 같이 말하고 있다.

<강력한 패스워드를 만드는 6단계 비법>

1. 기억할 수 있는 문장을 생각해 낸다. 이 문장은 강력한 암호나 암호 구문의 재료가 된다. “My son Aiden is three years old”와 같이 기억하기 쉬운 문장을 사용한다.

2. 컴퓨터나 온라인 시스템에서 암호 구문을 지원하는지 확인한다. 컴퓨터나 온라인 시스템에서 문자 간에 공백이 있는 통과 구문을 사용할 수 있으면 사용한다.

3. 컴퓨터나 온라인 시스템에서 암호 구문을 지원하지 않으면 암호로 변환한다. 위에서 만든 문장에 있는 각 단어의 첫 글자를 따서 의미 없는 새 단어를 만든다. 위의 예제에서는 ‘msaityo’라는 단어가 만들어진다.

4. 대소문자와 숫자를 조합하여 더 복잡하게 만든다. 일부 글자를 서로 바꾸거나 틀린 철자를 사용하는 것이 유용할 수 있다. 예를 들어 위의 암호 구문에서 Aiden이라는 이름의 철자를 틀리게 쓰거나 ‘three’를 3이라는 숫자로 대체해 보자. 대체어가 많고 문장이 길수록 암호는 복잡해질 수 있다. 위의 예제에서는 “My SoN Ayd3N is 3 yeeRs old”라는 통과 구문이 만들어진다. 컴퓨터나 온라인 시스템에서 암호 구문을 지원하지 않으면 더 짧은 암호에 동일한 방법을 사용한다. 그러면 ‘MsAy3yo’ 같은 암호를 얻을 수 있다.

5. 마지막으로 일부 특수 문자를 대체한다. 글자처럼 보이는 기호를 사용하고 단어를 조합하거나 공백을 제거하며 암호를 더 복잡하게 만드는 다른 방법을 사용할 수 있다. 이러한 요령을 따르면 “MySoN 8N i$ 3 yeeR$ old”라는 암호 구문이나 각 단어의 첫 글자를 사용하여 ‘M$8ni3y0’이라는 암호가 만들어진다.

6. 암호 검사기로 새 암호를 테스트한다. 암호 검사기는 사용자가 암호를 입력할 때 해당 암호의 강도를 확인하는 데 유용한 도구이며 암호는 기록하지 않는다.@

길민권 기자

http://www.boannews.com/media/view.asp?idx=8811&kind=1

[보안뉴스 2008-02-07]
반응형