비밀번호관리자

Password manager

암호 관리자는 사용자가 웹 응용 프로그램, 온라인 상점 또는 소셜 미디어[2]같은 지역 응용 프로그램 또는 온라인 서비스에 대한 암호[1] 저장하고 관리할 수 있도록 하는 컴퓨터 프로그램입니다.

암호 관리자는 암호를 생성하고[3] 온라인 [2]양식을 채울 수 있습니다.암호 관리자는 컴퓨터 응용 프로그램, 모바일 응용 프로그램 또는 웹 브라우저 [4]확장 프로그램과 같은 여러 가지가 혼합되어 존재할 수 있습니다.

암호 관리자는 암호화[7][8]데이터베이스에 암호를 생성하고 [1][5][6]암호를 저장하는 데 도움을 줄 수 있습니다.이러한 응용 프로그램은 비밀번호 외에도 신용 카드 정보, 주소 및 상용 고객 [3]정보와 같은 데이터를 저장할 수도 있습니다.

암호 관리자의 주요 목적은 암호 피로라고 하는 사이버 보안 현상을 완화하는 것입니다. 이 경우 최종 사용자는 여러 서비스에 대한 여러 암호를 기억하고 어떤 암호가 어떤 [3]서비스에 사용되는지를 기억하는 데 압도될 수 있습니다.

일반적으로 암호 관리자는 [9]응용 프로그램에 저장된 모든 정보의 잠금을 해제하고 액세스하기 위해 사용자가 하나의 "마스터" 암호를 생성하고 기억하도록 요구합니다.암호 관리자는 지문이나 안면 인식 [10]소프트웨어를 통해 다중 요소[9] 인증을 통합할 수 있습니다.그러나 애플리케이션/브라우저 확장자를 사용할 때는 이 기능이 필요하지 않습니다.

암호 관리자는 응용 프로그램 또는 브라우저 [5]확장 기능으로 컴퓨터 또는 모바일 장치에 설치될 수 있습니다.

역사

암호를 안전하게 저장하도록 설계된 최초의 암호 관리자 소프트웨어는 1997년 9월 5일에 무료 유틸리티로 출시된 브루스 슈나이어(Bruce Schneier)가 만든 암호 안전(Password Safe)입니다.[11] 마이크로소프트 윈도우 95용으로 설계된 Password Safe는 Schneier의 Blowfish 알고리즘을 사용하여 암호와 다른 민감한 데이터를 암호화했습니다.Password Safe는 무료 유틸리티로 출시되었지만, 당시 시행된 미국의 암호 수출 제한으로 인해 초기에는 미국과 캐나다 시민권자와 영주권자만 다운로드할 [12]수 있었습니다.

비평

취약점

일부 응용 프로그램은 암호를 암호화되지 않은 파일로 저장하여 악성 프로그램이나 개인 정보를 훔치려는 사람들이 암호에 쉽게 접근할 수 있도록 합니다.

일부 암호 관리자는 응용 프로그램이 읽을 수 있도록 저장된 암호를 암호화하는 데 사용되는 를 형성하기 위해 사용자가 선택한 마스터 암호 또는 암호 구문을 필요로 합니다.이 접근 방식의 보안은 선택한 암호의 강도(멀웨어를 통해 추측할 수 있음)와 암호 자체가 악성 프로그램이나 개인이 읽을 수 있는 로컬에 저장되지 않는다는 점에 달려 있습니다.마스터 암호가 손상되면 보호된 모든 암호가 취약해집니다. 즉, 입력 지점 하나로 인해 중요한 정보의 기밀성이 손상될 수 있습니다.

암호 인증 기술과 마찬가지로 키 로깅 또는 음향 암호 분석을 사용하여 "마스터 암호"를 추측하거나 복사할 수 있습니다.일부 암호 관리자는 이러한 위험을 줄이기 위해 가상 키보드를 사용하려고 시도하지만, 키를 누른 키를 기밀 정보에 액세스하려는 사용자/사용자에게 보내는 키 기록자에게는 여전히 취약합니다.

일부 암호 관리자는 암호 생성기를 포함할 수 있습니다.생성된 암호는 암호 관리자가 이 프로그램에서 생성된 모든 암호가 무작위로 생성하는 "시드"를 생성하는 약한 방법을 사용하는 경우 추측할 수 있습니다.또는 LastPass[13]경우처럼 암호를 생성하는 데 사용되는 방법이 손상되어 응용 프로그램에서 생성된 암호를 쉽게 추측할 수 있습니다.

또한, 암호 관리자는 잠재적인 악성 개인이나 악성 프로그램이 사용자의 모든 암호에 액세스하기 위해 하나의 암호만 알면 되며,[14] 이러한 관리자는 표준화된 위치와 암호 저장 방법을 가지고 있으므로 악성 프로그램이 악용할 수 있다는 단점이 있습니다.이를 단일 장애 지점이라고 합니다.

암호 관리자 차단

여러 유명 웹 사이트에서 암호 관리자를 차단하려고 시도했으며,[15][16][17] 공개적으로 문제가 제기되면 종종 뒤로 물러납니다.그 이유로는 자동화된 공격에 대한 보호, 피싱에 대한 보호, 멀웨어 차단 또는 단순히 호환성 거부 등이 있습니다.IBMTrusteer 클라이언트 보안 소프트웨어는 암호 [18][19]관리자를 차단하는 명시적인 옵션을 제공합니다.

이러한 차단은 정보 보안 전문가들에 의해 사용자의 [17][19]보안을 약화시킨다는 비판을 받아왔습니다.일반적인 블록킹 구현은 다음과 같이 설정하는 것을 포함합니다.autocomplete='off' 관련 암호양식에 표시됩니다.따라서 암호화[20]사이트의 Internet Explorer[16] 11, Firefox 38,[21] Chrome 34 [22]및 약 7.0.[23]2의 Safari에서는 이 옵션이 무시됩니다.

카네기 멜론 대학 연구원의 2014년 논문에 따르면 브라우저는 현재 로그인 페이지의 프로토콜이 암호가 저장된 시점의 프로토콜과 다를 경우 자동 채우기를 거부하지만, 일부 암호 관리자는 안전하지 않은(HTTP) 사이트 암호 버전의 암호를 안전하지 않게 입력하는 것으로 나타났습니다.대부분의 관리자는 iframe리디렉션 기반 공격으로부터 보호하지 않았으며 여러 [20]장치 간에 암호 동기화가 사용된 추가 암호를 노출했습니다.

참고 항목

참고문헌

  1. ^ a b Waschke, Marvin (2017). Personal cybersecurity : how to avoid and recover from cybercrime. Bellingham, Washington: Apress. p. 198. doi:10.1007/978-1-4842-2430-4. ISBN 978-1-4842-2430-4. OCLC 968706017.{{cite book}}: CS1 메인 : 일자 및 연도 (링크)
  2. ^ a b "What is a Password Manager? - Definition from Techopedia". Techopedia.com. Retrieved 2022-12-14.
  3. ^ a b c "What is a Password Manager? 2022 Explainer Guide". Tech.co. Retrieved 2022-12-14.
  4. ^ "Definition of password manager". PCMAG. Retrieved 2022-12-14.
  5. ^ a b Seitz, Tobias (2018). Supporting users in password authentication with persuasive design (PDF) (Thesis). Ludwig-Maximilians-Universität München. doi:10.5282/edoc.22619.
  6. ^ University, Carnegie Mellon. "Password Managers - Information Security Office - Computing Services - Carnegie Mellon University". www.cmu.edu. Retrieved 2022-12-14.
  7. ^ Price, Rob (2017-02-22). "Password managers are an essential way to protect yourself from hackers – here's how they work". Business Insider. Archived from the original on 2017-02-27. Retrieved 2017-04-29.
  8. ^ Mohammadinodoushan, Mohammad; Cambou, Bertrand; Philabaum, Christopher Robert; Duan, Nan (2021). "Resilient Password Manager Using Physical Unclonable Functions". IEEE Access. 9: 17060–17070. doi:10.1109/ACCESS.2021.3053307. ISSN 2169-3536.
  9. ^ a b "Best Password Managers for Mac - Security". Tech.co. Retrieved 2022-12-14.
  10. ^ "Best Password Manager for iPhone 2022". Tech.co. Retrieved 2022-12-14.
  11. ^ "Counterpane Systems Brings the Security of Blowfish to a Password Database". Counterpane Systems. Retrieved June 24, 2023.{{cite web}}: CS1 유지 : url-status (링크)
  12. ^ "Counterpane Systems Brings the Security of Blowfish to a Password Database". Counterpane Systems. Retrieved June 24, 2023.{{cite web}}: CS1 유지 : url-status (링크)
  13. ^ Toubba, Karim (March 1, 2023). "Security Incident Update and Recommended Actions". LastPass Blog. Retrieved May 13, 2023.{{cite web}}: CS1 유지 : url-status (링크)
  14. ^ "Pros and Cons of Password Managers". Lumen. 2017-05-13. Retrieved 2021-01-25.
  15. ^ Mic, Wright (16 July 2015). "British Gas deliberately breaks password managers and security experts are appalled". Retrieved 26 July 2015.
  16. ^ a b Reeve, Tom (15 July 2015). "British Gas bows to criticism over blocking password managers". Retrieved 26 July 2015.
  17. ^ a b Cox, Joseph (26 July 2015). "Websites, Please Stop Blocking Password Managers. It's 2015". Retrieved 26 July 2015.
  18. ^ "Password Manager". Retrieved 26 July 2015.
  19. ^ a b Hunt, Troy (15 May 2014). "The "Cobra Effect" that is disabling paste on password fields". Retrieved 26 July 2015.
  20. ^ a b "Password Managers: Attacks and Defenses" (PDF). Retrieved 26 July 2015.
  21. ^ "Firefox on windows 8.1 is autofilling a password field when autocomplete is off". Retrieved 26 July 2015.
  22. ^ Sharwood, Simon (9 April 2014). "Chrome makes new password grab in version 34". Retrieved 26 July 2015.
  23. ^ "Re: 7.0.2: Autocomplete="off" still busted". Retrieved 26 July 2015.

외부 링크