사전 공격

이 글은 검증을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : "사전 공격"– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2018년 2월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

암호 및 컴퓨터 보안에서 사전 공격은 키 공간의 제한된 서브셋을 사용하여 암호 또는 인증 메커니즘을 해독하는 공격입니다. 암호 키 또는 패스프레이즈를 확인하려고 시도합니다. 때로는 과거 보안 위반 목록에서 ^[2]얻을 수 있는 수천 또는 수백만 개의 가능성을 시도하기도 합니다.

기술.

사전 공격은 사전 설정된 목록에 있는 모든 문자열을 시도하는 것을 기반으로 합니다.이러한 공격은 원래 사전에 있는 단어(즉 사전 공격)를 ^[3]사용했지만, 현재는 과거의 데이터 ^[4]침해로부터 회복된 수억 개의 패스워드를 포함한 훨씬 더 큰 목록이 공개되어 있습니다.이와 같은 목록을 사용할 수 있는 크래킹 소프트웨어도 있으며 비슷한 모양의 글자에 숫자를 대입하는 것과 같은 일반적인 변형을 생성할 수 있습니다.사전 공격은 성공할 가능성이 가장 높다고 생각되는 가능성만 시도합니다.많은 사람들이 일반적인 단어 또는 일반적인 암호인 짧은 암호를 선택하거나 숫자 또는 구두점 문자를 추가하여 얻은 변형 암호를 선택하는 경향이 있기 때문에 사전 공격이 성공하는 경우가 많습니다.사전 공격은 일반적으로 사용되는 비밀번호 작성 기법의 대부분이 사용 가능한 목록과 크래킹소프트웨어 패턴 생성으로 커버되기 때문에 성공하는 경우가 많습니다.보다 안전한 방법은 패스워드 매니저 프로그램을 사용하거나 수동으로 패스워드를 입력하거나 긴 패스워드(15글자 이상) 또는 복수단어 패스프레이즈를 랜덤하게 생성하는 것입니다.

사전 계산된 사전 공격/무지개 테이블 공격

사전 단어의 해시 목록을 미리 계산하고 해시를 키로 사용하여 데이터베이스에 저장함으로써 시간과 공간의 균형을 맞출 수 있습니다.이것은 상당한 준비 시간을 필요로 하지만, 이를 통해 실제 공격을 더 빠르게 실행할 수 있습니다.사전 계산된 표에 대한 스토리지 요구 사항은 한때 큰 비용이었지만, 현재는 Disk 스토리지 비용이 낮기 때문에 문제가 되지 않습니다.사전 계산된 사전 공격은 특히 다수의 패스워드가 크래킹될 때 효과적입니다.미리 계산된 사전은 한 번만 생성하면 되며, 이 사전이 완성되면 언제든지 패스워드 해시를 조회하여 대응하는 패스워드를 찾을 수 있습니다.보다 정교한 접근 방식으로는 레인보우 테이블을 사용하여 검색 시간이 약간 더 길어진 대신 스토리지 요구사항을 줄일 수 있습니다.이러한 공격에 의해 손상된 인증 시스템의 예에 대해서는 LM 해시를 참조하십시오.

미리 계산된 사전 공격, 즉 "무지개 테이블 공격"은 salt를 사용함으로써 저지될 수 있습니다.salt는 검색된 각 비밀번호에 대해 해시 사전을 강제로 재계산하도록 하는 기술이며 가능한 salt 값의 수가 충분히 ^[5]클 경우 사전 계산을 실행할 수 없게 합니다.

사전 공격 소프트웨어

• 카인과 아벨
• 균열.
• 에어 크랙-ng
• 존 더 리퍼
• L0phtCrack
• 메타스플로이트 프로젝트
• 옵크랙
• 크립툴

「 」를 참조해 주세요.

• 무차별 공격
• 이메일 주소 수집
• 온라인 언어 데이터베이스인 인터콘티넨탈 사전 시리즈
• 키 파생 기능
• 키 스트레칭
• 패스워드 크래킹
• 비밀번호 강도

레퍼런스

외부 링크

• RFC 2828 – 인터넷 보안 용어집
• RFC 4949 - 인터넷 보안 용어집 버전 2
• US Secret Service가 암호화 키를 보호하기 위해 용의자의 비밀번호에 대한 분산 사전 공격을 사용합니다.
• 브루트 포스 테스트(OWASP-AT-004)