해커가 온라인 계정을 폭로하기 위해 사용하는 암호 크래킹 기술을 이해하는 것은 이러한 일이 발생하지 않도록 하는 좋은 방법입니다.
확실히 항상 비밀번호를 변경해야 하며 때로는 생각보다 더 긴급하게 변경해야 하지만 도난을 방지하는 것은 계정 보안을 최상으로 유지하는 좋은 방법입니다. 항상 www.haveibeenpwned.com으로 가서 자신이 위험에 처해 있는지 확인할 수 있지만, 단순히 비밀번호가 해킹당하지 않을 만큼 안전하다고 생각하는 것은 나쁜 생각입니다.
따라서 해커가 보안 여부에 관계없이 비밀번호를 얻는 방법을 이해하는 데 도움이 되도록 해커가 사용하는 상위 10가지 비밀번호 크래킹 기술 목록을 작성했습니다. 아래 방법 중 일부는 확실히 구식이지만 아직 사용되지 않는다는 의미는 아닙니다. 주의 깊게 읽고 완화해야 할 사항에 대해 알아보십시오.
해커가 사용하는 상위 10가지 암호 크래킹 기술
1. 사전 공격
사전 공격은 사전에서 찾을 수 있는 단어를 포함하는 간단한 파일을 사용하므로 이름이 다소 간단합니다. 즉, 이 공격은 많은 사람들이 비밀번호로 사용하는 단어를 정확히 사용합니다.
"letmein" 또는 "superadministratorguy"와 같은 단어를 함께 영리하게 그룹화해도 암호가 이러한 방식으로 크랙되는 것을 방지할 수 없습니다.
2. 무차별 대입 공격
사전 공격과 유사하게 무차별 대입 공격에는 해커에게 추가 보너스가 제공됩니다. 단순히 단어를 사용하는 대신 무차별 대입 공격을 통해 aaa1에서 zzz10까지 가능한 모든 영숫자 조합을 통해 사전이 아닌 단어를 감지할 수 있습니다.
비밀번호가 몇 자 이상이라면 빠르지 않지만 결국 비밀번호를 알아낼 것입니다. 무차별 대입 공격은 비디오 카드 GPU의 성능을 활용하는 것을 포함하여 처리 능력과 온라인 비트코인 광부와 같은 분산 컴퓨팅 모델을 사용하는 것과 같은 기계 번호 측면에서 추가적인 컴퓨팅 마력을 던지면 단축될 수 있습니다.
3. 레인보우 테이블 공격
레인보우 테이블은 이름에서 알 수 있듯이 화려하지 않지만 해커의 경우 암호가 끝에 있을 수 있습니다. 가장 간단한 방법으로 레인보우 테이블을 미리 계산된 해시 목록으로 요약할 수 있습니다. 즉, 암호를 암호화할 때 사용되는 숫자 값입니다. 이 테이블에는 주어진 해시 알고리즘에 대해 가능한 모든 암호 조합의 해시가 포함되어 있습니다. 레인보우 테이블은 단순히 목록에서 무언가를 찾는 것으로 암호 해시를 해독하는 데 필요한 시간을 줄여주기 때문에 매력적입니다.
그러나 레인보우 테이블은 거대하고 다루기 힘든 것입니다. 실행하려면 심각한 컴퓨팅 성능이 필요하며, 찾으려는 해시가 알고리즘을 해시하기 전에 암호에 임의의 문자를 추가하여 "소금"된 경우 테이블이 무용지물이 됩니다.
소금에 절인 레인보우 테이블이 존재한다는 이야기가 있지만 실제로 사용하기 어려울 정도로 크기가 큽니다. 테이블의 크기가 국가 수준의 해커에게도 금지되기 때문에 사전 정의된 "임의의 문자" 세트 및 12자 미만의 암호 문자열로만 작동할 가능성이 높습니다.
4. 피싱
해킹하는 쉬운 방법이 있습니다. 사용자에게 비밀번호를 물어보세요. 피싱 이메일은 순진한 독자를 해커가 액세스하려는 서비스와 관련된 스푸핑된 로그인 페이지로 안내합니다. 일반적으로 사용자에게 보안 문제를 바로잡도록 요청합니다. 그런 다음 해당 페이지에서 암호를 훑어보고 해커가 자신의 목적을 위해 암호를 사용할 수 있습니다.
어쨌든 사용자가 기꺼이 암호를 제공할 때 암호를 해독하는 수고를 들인 이유는 무엇입니까?
5. 사회공학
사회 공학은 피싱이 고수하는 경향이 있는 받은 편지함 외부에서 실제 세계로 전체 "사용자에게 묻기" 개념을 가져옵니다.
소셜 엔지니어가 가장 좋아하는 것은 IT 보안 기술자로 가장하여 사무실에 전화를 걸어 네트워크 액세스 암호를 묻는 것입니다. 이것이 얼마나 자주 작동하는지 놀랄 것입니다. 어떤 사람들은 비즈니스에 들어가기 전에 접수원에게 얼굴을 맞대고 같은 질문을 하기 위해 정장과 명찰을 착용하는 데 필요한 생식선을 가지고 있기도 합니다.
6. 악성코드
키로거 또는 스크린 스크레이퍼는 사용자가 입력하는 모든 내용을 기록하거나 로그인 프로세스 동안 스크린샷을 찍은 다음 이 파일의 복사본을 해커 센터로 전달하는 멀웨어에 의해 설치될 수 있습니다.
일부 맬웨어는 웹 브라우저 클라이언트 비밀번호 파일의 존재를 찾아 이를 복사합니다. 제대로 암호화되지 않은 경우 사용자의 검색 기록에서 쉽게 액세스할 수 있는 저장된 비밀번호가 포함됩니다.
7. 오프라인 크래킹
암호를 보호하는 시스템이 3~4번의 잘못된 추측 후에 사용자를 잠그고 자동화된 추측 응용 프로그램을 차단할 때 암호가 안전하다고 상상하기 쉽습니다. 대부분의 암호 해킹이 손상된 시스템에서 '얻은' 암호 파일의 해시 집합을 사용하여 오프라인에서 발생한다는 사실이 아니라면 사실입니다.
종종 문제의 대상은 시스템 서버와 가장 중요한 사용자 암호 해시 파일에 대한 액세스를 제공하는 제3자의 해킹을 통해 손상되었습니다. 암호 크래커는 대상 시스템이나 개별 사용자에게 경고하지 않고 코드를 해독하려고 시도하는 데 필요한 시간만큼 오래 걸릴 수 있습니다.
8. 숄더 서핑
사회 공학의 또 다른 형태인 숄더 서핑은 의미하는 바와 같이 자격 증명, 암호 등을 입력하는 동안 사람의 어깨 너머로 엿보기를 수반합니다. 이 개념은 매우 낮은 수준의 기술이지만 얼마나 많은 암호와 민감한 정보가 있는지 놀랄 것입니다. 이런 식으로 도난 당하므로 이동 중에 은행 계좌 등에 액세스할 때는 주변에 주의하십시오.
가장 자신 있는 해커는 택배 택배, 에어컨 서비스 기술자 또는 사무실 건물에 접근할 수 있는 모든 것으로 가장할 것입니다. 그들이 들어가면 서비스 직원 "유니폼"은 방해받지 않고 돌아 다니며 진정한 직원이 입력하는 암호를 기록해 두는 일종의 자유 통행권을 제공합니다. 또한 로그인이 휘갈겨진 LCD 화면 전면에 붙어 있는 포스트잇 메모를 모두 볼 수 있는 좋은 기회를 제공합니다.
9. 스파이더링
정통한 해커는 많은 기업 암호가 비즈니스 자체와 연결된 단어로 구성되어 있다는 것을 깨달았습니다. 기업 문헌, 웹사이트 판매 자료, 심지어 경쟁업체 및 상장된 고객의 웹사이트를 연구하면 무차별 대입 공격에 사용할 맞춤형 단어 목록을 구축할 수 있습니다.
정말 능숙한 해커가 프로세스를 자동화하고 주요 검색 엔진이 키워드를 식별하는 데 사용하는 웹 크롤러와 유사한 스파이더링 응용 프로그램이 키워드 목록을 수집 및 대조하도록 했습니다.
10. 추측
물론 암호 크래커의 가장 친한 친구는 사용자의 예측 가능성입니다. 작업 전용 소프트웨어를 사용하여 진정으로 임의의 암호를 생성하지 않는 한 사용자가 생성한 '무작위' 암호는 그런 종류의 것이 아닐 것입니다.
대신, 우리가 좋아하는 것에 대한 뇌의 감정적 애착 덕분에 이러한 무작위 암호가 우리의 관심사, 취미, 애완동물, 가족 등에 기반할 가능성이 있습니다. 사실, 비밀번호는 우리가 소셜 네트워크에서 채팅하고 심지어 프로필에 포함하고 싶어하는 모든 것을 기반으로 하는 경향이 있습니다. 암호 크래커는 사전이나 무차별 대입 공격에 의존하지 않고 소비자 수준 암호를 해독하려고 할 때 이 정보를 보고 몇 가지(종종 정확한) 추측을 할 가능성이 매우 높습니다.
주의해야 할 기타 공격
해커에게 부족한 것이 있다면 그것은 창의성이 아닙니다. 다양한 기술을 사용하고 끊임없이 변화하는 보안 프로토콜에 적응함으로써 이러한 침입자는 계속해서 성공합니다.
예를 들어 소셜 미디어에 있는 사람이라면 누구나 첫 차, 가장 좋아하는 음식, 14번째 생일의 1위 노래에 대해 이야기하도록 요청하는 재미있는 퀴즈와 템플릿을 보았을 것입니다. 이러한 게임은 무해한 것처럼 보이고 게시하는 것이 확실히 재미있지만 실제로는 보안 질문 및 계정 액세스 확인 답변을 위한 개방형 템플릿입니다.
계정을 설정할 때 실제로 귀하와 관련이 없지만 쉽게 기억할 수 있는 답변을 사용해 보십시오. “당신의 첫 차는 무엇이었습니까?” 사실대로 대답하는 대신 드림카를 타세요. 그렇지 않으면 온라인에 보안 답변을 게시하지 마십시오.
액세스 권한을 얻는 또 다른 방법은 단순히 암호를 재설정하는 것입니다. 침입자가 비밀번호를 재설정하는 것을 막는 가장 좋은 방법은 자주 확인하는 이메일 주소를 사용하고 연락처 정보를 최신 상태로 유지하는 것입니다. 가능한 경우 항상 2단계 인증을 활성화하십시오. 해커가 귀하의 비밀번호를 알아도 고유 인증 코드가 없으면 계정에 액세스할 수 없습니다.
자주 묻는 질문
사이트마다 다른 비밀번호가 필요한 이유는 무엇입니까?
비밀번호를 알려주면 안 되며 익숙하지 않은 콘텐츠를 다운로드해서는 안 된다는 것을 알고 계실 것입니다. 하지만 매일 로그인하는 계정은 어떻습니까? Grammarly와 같은 임의의 계정에 사용하는 것과 동일한 비밀번호를 은행 계좌에 사용한다고 가정합니다. Grammarly가 해킹된 경우 사용자는 귀하의 은행 비밀번호도 알고 있습니다(또한 이메일을 통해 귀하의 모든 재정 자원에 더 쉽게 액세스할 수 있음).
내 계정을 보호하려면 어떻게 해야 합니까?
이 기능을 제공하는 모든 계정에서 2FA를 사용하고, 각 계정에 고유한 비밀번호를 사용하고, 문자와 기호를 혼합하여 사용하는 것이 해커에 대한 최선의 방어선입니다. 이전에 언급했듯이 해커가 계정에 액세스하는 방법에는 여러 가지가 있으므로 정기적으로 수행해야 하는 다른 작업은 소프트웨어와 앱을 최신 상태(보안 패치용)로 유지하는 것입니다. 익숙하지 않은 다운로드를 피하십시오.
비밀번호를 가장 안전하게 보관하는 방법은 무엇입니까?
독특하고 이상한 몇 가지 암호를 유지하는 것은 매우 어려울 수 있습니다. 계정이 손상되는 것보다 비밀번호 재설정 프로세스를 거치는 것이 훨씬 낫지만 시간이 많이 걸립니다. 비밀번호를 안전하게 유지하기 위해 Last Pass 또는 KeePass와 같은 서비스를 사용하여 모든 계정 비밀번호를 저장할 수 있습니다.
또한 고유한 알고리즘을 사용하여 암호를 기억하기 쉽게 유지하면서 암호를 유지할 수 있습니다. 예를 들어 PayPal은 hwpp+c832와 같을 수 있습니다. 기본적으로 이 비밀번호는 URL(//www.paypal.com)에서 각 구분의 첫 글자이며 집에 있는 모든 사람의 출생 연도 마지막 숫자입니다(예를 들어). 계정에 로그인할 때 이 비밀번호의 처음 몇 글자를 제공하는 URL을 확인하십시오.
암호를 해킹하기 어렵게 만드는 기호를 추가하되 기억하기 쉽도록 구성하십시오. 예를 들어 "+" 기호는 엔터테인먼트와 관련된 모든 계정에 사용할 수 있고 "!" 금융 계정에 사용할 수 있습니다.
