패스워드

Password
그 외의 용도는, 패스워드(구분)참조해 주세요.
Wikipedia 암호에 대한 자세한 내용은 도움말을 참조하십시오.패스워드를 리셋 합니다.
"Passcode"는 여기서 리다이렉트 됩니다.일본의 아이돌 그룹은 패스코드(그룹)를 참조해 주세요.
사인 형식의 비밀번호 필드.

패스워드(예를 들어 Apple [1]디바이스에서는 패스코드라고 불리기도 함)는 비밀 데이터이며, 일반적으로 사용자의 [1]ID를 확인하는 데 사용됩니다.기존에는 패스워드가 기억될 것으로 예상되었지만, 일반 개인이 액세스하는 다수의 패스워드로 보호된 서비스는 각 서비스에 대해 고유한 패스워드를 기억하는 [2]것을 비현실적으로 만들 수 있습니다.NIST Digital Identity [3]Guidelines의 용어를 사용하여 비밀은 청구인이라고 불리는 당사자가 보유하고 있으며, 청구인의 신원을 확인하는 당사자는 검증자라고 불립니다.청구인이 확립된 인증 [4]프로토콜을 통해 검증자에게 패스워드에 대한 지식을 성공적으로 입증하면 검증인은 청구인의 신원을 추론할 수 있다.

일반적으로 비밀번호는 문자, 숫자 또는 기타 기호를 포함한 임의의 문자열입니다.허용되는 문자가 숫자로 제한되어 있는 경우, 대응하는 비밀은 개인 식별 번호(PIN)라고 불리기도 합니다.

이름에도 불구하고 패스워드는 실제 단어일 필요는 없습니다.실제로 (사전적 의미에서) 비단어는 추측하기 어려울 수 있습니다.이것은 패스워드의 바람직한 속성입니다.공백으로 구분된 일련의 단어 또는 다른 텍스트로 구성된 암기된 비밀은 때때로 패스프레이즈라고 불립니다.패스프레이즈는 사용상의 패스워드와 비슷하지만 보안을 [5]강화하기 위해 일반적으로 패스프레이즈가 길어집니다.

역사

비밀번호는 고대부터 사용되어 왔다.보초들은 패스워드나 표어를 입력하기 위해 지역에 들어가려는 사람들에게 도전하고, 패스워드를 알고 있는 사람 또는 그룹이 패스하는 것을 허락한다.Polybius로마 군대에서 표어 배포 체계를 다음과 같이 설명한다.

그들이 밤을 위한 표어를 통과시키는 방법은 다음과 같다: 각 부류의 보병과 기병의 10번째 부대인 거리 끝에 진을 치고 있는 부대부터, 경계근무를 해제하고, 매일 해질녘에 호민관의 텐트에 참석하여, 안녕으로부터 받는 것이다.그 표어, 즉 그 표어가 새겨진 목판이 그의 작별을 고하고, 그의 숙소로 돌아가자, 그 표어와 표문이 다음 마니플의 지휘관 앞에 전달되고, 그 지휘관은 그 표어와 표문을 그의 옆에 있는 사람에게 넘긴다.처음의 마니플, 즉 호민관의 텐트 근처에 진을 친 마니플에 이를 때까지 모두 같은 일을 한다.후자는 해가 지기 전에 조반국에 명판을 전달해야 한다.그러면, 발행된 모든 것을 돌려받으면, 트리뷴은 그 표어가 모든 마니플에게 전달된 것을 알 수 있고, 그에게 돌아오는 길에 모든 것을 통과했다.만약 그들 중 한 명이라도 없어진다면, 그는 즉시 조사를 한다. 그는 태블릿이 어느 구역에서 돌아오지 않았는지 알고 있기 때문이다. 그리고 중단에 책임이 있는 사람은 누구든지 [6]그가 마땅히 받아야 할 처벌을 받는다.

예를 들어 노르망디 전투 초기 미 101 공수 사단의 낙하산 부대는 암호 플래시(flash)를 사용해 도전으로 제시한 뒤 정답으로 답하는 등 군용 비밀번호는 암호뿐 아니라 암호와 카운터 패스워드를 포함하도록 진화했다.도전과 반응은 3일마다 바뀌었다.미국의 낙하산 부대원들은 D-Day에 패스워드 시스템 대신 크리켓(cricket)으로 알려진 장치를 일시적으로 독특한 식별 방법으로 사용하기도 했다. 즉, 패스워드 대신 이 장치에 의해 주어지는 금속 클릭 한 번으로 [7]응답해야 했다.

암호는 컴퓨터 사용 초기부터 컴퓨터에서 사용되어 왔습니다.1961년 MIT에서 도입된 운영체제인 Compatible Time-Sharing System(CTSS)은 패스워드 [8][9]로그인을 구현한 최초의 컴퓨터 시스템이었다.CTSS에는 사용자 비밀번호를 요구하는 LOGIN 명령어가 있습니다.PASSWORD를 입력하면 시스템이 가능하면 인쇄 메커니즘을 꺼서 사용자가 비밀번호를 [10]입력할 수 있도록 합니다.1970년대 초에 Robert Morris는 Unix 운영 체제의 일부로 해시 형태로 로그인 비밀번호를 저장하는 시스템을 개발했습니다.이 시스템은 시뮬레이션된 Hagelin 로터 암호 머신을 기반으로 1974년 6번째 에디션 Unix에 처음 등장했습니다.그의 알고리즘의 최신 버전인 crypt(3)에서는 12비트솔트를 사용하여 사전 계산한 사전 [11]공격의 위험을 줄이기 위해 수정된 형식의 DES 알고리즘을 25회 호출했습니다.

현대에는 보호된 컴퓨터 운영체제, 휴대전화, 케이블TV 디코더, 현금자동입출금기(ATM) 등에 대한 접근을 제어하는 로그인 프로세스에서 사용자 이름과 비밀번호가 일반적으로 사용됩니다.일반적인 컴퓨터 사용자는 계정 로그인, 이메일 검색, 애플리케이션, 데이터베이스, 네트워크, 웹사이트 접근, 심지어 조간신문 온라인 열람 등 다양한 목적을 위한 비밀번호를 가지고 있다.

안전하고 기억에 남는 비밀번호 선택

일반적으로 소유자가 암호를 쉽게 기억할수록 공격자가 쉽게 [12]추측할 수 있습니다.그러나 (a) 사용자가 비밀번호를 기록하거나 전자적으로 저장해야 할 수 있고 (b) 사용자가 자주 비밀번호를 재설정해야 하며 (c) 사용자가 다른 계정에서 동일한 비밀번호를 재사용할 가능성이 높기 때문에 기억하기 어려운 비밀번호도 시스템의 보안을 저하시킬 수 있습니다.마찬가지로 "대소문자 혼재" 또는 "매월 변경"과 같은 비밀번호 요건이 엄격할수록 사용자가 시스템을 [13]전복시킬 수 있는 정도가 커집니다.다른 사람들은 긴 비밀번호가 다양한 문자를 [14]가진 짧은 비밀번호보다 더 많은 보안(: 엔트로피)을 제공한다고 주장한다.

[15]비밀번호의 기억성과 시큐러티」에서, Jeff Yan 등은, 패스워드의 적절한 선택에 대해 유저에게 주는 어드바이스의 효과를 조사합니다.그들은 문구를 생각하고 각 단어의 첫 글자를 쓰는 것에 기초한 패스워드는 순진하게 선택된 패스워드만큼 기억에 남고 임의로 생성된 패스워드만큼 해독하기가 어렵다는 것을 발견했다.

관련이 없는 두 개 이상의 단어를 조합하고 일부 문자를 특수 문자나 숫자로 바꾸는 것도 좋은 [16]방법이지만, 하나의 사전 단어는 그렇지 않습니다.불분명한 비밀번호를 생성하기 위한 개인 설계 알고리즘을 사용하는 것도 좋은 방법입니다.[17]

다만, 유저에게 「대문자와 소문자의 혼재」로 이루어진 패스워드를 기억하도록 요구하는 것은, 일련의 비트를 기억하도록 요구하는 것과 비슷합니다.기억하기 어렵고, 해독하기 어려운 것은 조금뿐입니다(예를 들어, 7글자의 패스워드는 128배입니다만, 유저가 1개의 문자를 대문자로 하는 경우는 그 이하입니다).사용자에게 "문자와 숫자 모두"를 사용하도록 요청하면 공격자에게 잘 알려진 대체인 'E' → '3' 및 'I' → '1'과 같이 쉽게 대체될 수 있다.마찬가지로 키보드 한 줄 위에 암호를 입력하는 것은 [18]공격자가 알고 있는 일반적인 수법입니다.

2013년에 Google은 가장 일반적인 비밀번호 유형 목록을 발표했는데, 추측이 너무 쉽기 때문에(특히 소셜 [19]미디어에서 개인을 조사한 후) 안전하지 않은 것으로 간주됩니다.

  • 애완동물, 어린이, 가족 또는 중요한 다른 사람의 이름
  • 기념일 및 생일
  • 출생지
  • 즐겨찾는 공휴일 이름
  • 좋아하는 스포츠 팀과 관련된 것
  • "비밀번호"라는 단어

암기 대안

비밀번호를 외우고 절대 적어두지 말라는 기존의 조언은 컴퓨터와 인터넷의 사용자들이 유지할 것으로 예상되는 비밀번호의 수가 너무 많기 때문에 난제가 되었다.한 설문조사는 평균 사용자가 [2]약 100개의 비밀번호를 가지고 있다고 결론지었다.급증하는 비밀번호를 관리하기 위해 여러 계정에 동일한 비밀번호를 사용하는 사용자도 있습니다.이는 한 계정의 데이터 침해로 인해 나머지 계정이 손상될 수 있기 때문에 위험한 작업입니다.위험성이 낮은 대안으로는 패스워드 매니저, 싱글 사인온 시스템, 패스워드의 [20]종이 목록 보관 등이 있습니다.이러한 방법을 사용하면 패스워드 매니저의 마스터 패스워드 등 기억해야 하는 패스워드의 수를 관리하기 쉬운 수로 줄일 수 있습니다.

패스워드 시스템의 보안 요소

비밀번호로 보호된 시스템의 보안은 몇 가지 요인에 따라 달라집니다.전체적인 시스템은 컴퓨터 바이러스, 중간자 공격 등에 대한 보호와 함께 건전한 보안을 위해 설계되어야 합니다.숄더 서핑을 막는 것에서부터 비디오 카메라나 키보드 스니퍼와 같은 보다 정교한 물리적 위협까지 물리적 보안 문제도 걱정거리다.패스워드는 공격자가 추측하기 어렵고 이용 가능한 자동 공격 방식을 사용하여 검출하기 어렵도록 선택해야 합니다.상세한 [21]것에 대하여는, 패스워드의 강도와 컴퓨터의 시큐러티를 참조해 주세요.

오늘날 컴퓨터 시스템은 암호를 입력할 때 암호를 숨기는 것이 일반적입니다.이 조치의 목적은 방관자가 비밀번호를 읽는 것을 방지하는 것이지만, 일부에서는 이러한 관행이 실수와 스트레스로 이어져 사용자가 취약한 비밀번호를 선택하도록 부추길 수 있다고 주장합니다.또는 사용자가 [21]암호를 입력할 때 암호를 표시하거나 숨길 수 있는 옵션이 있어야 합니다.

효과적인 접근통제 조항은 패스워드 또는 바이오메트릭 [22]토큰을 취득하려는 범죄자에게 극단적인 조치를 취할 수 있습니다.덜 극단적인 조치로는 강탈, 고무 호스 암호 분석 및 사이드 채널 공격이 있습니다.

패스워드를 생각하고 선택하고 처리할 때 고려해야 할 특정 패스워드 관리 문제가 몇 가지 있습니다.

공격자가 추측된 암호를 시도할 수 있는 속도

공격자가 추측된 패스워드를 시스템에 송신할 수 있는 속도는 시스템보안을 판별하는 중요한 요소입니다.시스템에 따라서는 패스워드 입력 시행이 몇 번 실패했을 때(예를 들어 3번 실패했을 경우) 몇 초간의 타임아웃이 발생합니다.이 타임아웃은 [3]슬롯링이라고도 합니다.: 63B Sec 5.2.2 다른 취약성이 없는 경우 이러한 시스템은 잘 선택되고 쉽게 [23]추측되지 않으면 비교적 간단한 비밀번호로 효과적으로 보호할 수 있습니다.

많은 시스템에서 암호 해시를 저장합니다.공격자가 해시된 비밀번호 파일에 액세스할 수 있는 경우 오프라인에서 후보 비밀번호를 실제 비밀번호 해시 값과 비교하여 빠르게 테스트합니다.웹 서버의 예에서는 온라인 공격자가 추측할 수 있는 것은 서버가 응답하는 레이트뿐이며, 오프라인 공격자(파일에 대한 액세스권을 취득한)는 공격이 실행되고 있는 하드웨어에 의해서만 제한되는 레이트로 추측할 수 있습니다.

암호화 키 생성에 사용되는 패스워드(디스크 암호화나 Wi-Fi 보안 등)도 높은 환율로 추측할 수 있습니다.일반적인 비밀번호 목록은 널리 사용 가능하며 비밀번호 공격을 매우 효율적으로 만들 수 있습니다(비밀번호 크래킹 참조).이러한 상황에서 보안은 패스워드 또는 적절한 복잡도의 패스워드를 사용하는 것에 따라 달라지기 때문에 공격자는 이러한 공격을 계산상 실행할 수 없습니다.PGPWi-Fi WPA 등의 일부 시스템에서는 이러한 공격을 늦추기 위해 패스워드에 계산 부하가 높은 해시를 적용합니다. 스트레칭을 참조하십시오.

비밀번호 추측 횟수 제한

공격자가 패스워드에 대해 추측할 수 있는 속도를 제한하는 다른 방법은 추측할 수 있는 총 수를 제한하는 것입니다.패스워드는 소수의 오답(예를 들어 5)이 연속적으로 발생한 후 리셋이 필요할 수 있습니다.또한 사용자는 오답 누적 횟수가 많아진 후(30) 패스워드를 변경해야 합니다.이것에 의해, 공격자가 패스워드를 적절한 추측 사이에 끼어들어 임의의 수의 오답이 발생하는 것을 막기 위해서입니다.정당한 패스워드 소유자.[24]공격자는 이와 반대로 이 경감에 대한 지식을 사용하여 사용자를 자신의 디바이스에서 의도적으로 잠그는 것으로 사용자에 대한 서비스 거부 공격을 실행할 수 있습니다.이러한 서비스 거부는 공격자가 소셜 엔지니어링을 통해 상황을 자신들에게 유리하게 조작할 수 있는 다른 방법을 열 수 있습니다.

저장된 비밀번호 형식

일부 컴퓨터 시스템은 사용자 암호를 일반 텍스트로 저장하여 사용자 로그온 시도와 비교합니다.공격자가 이러한 내부 암호 저장소에 액세스하면 모든 암호 및 모든 사용자 계정이 손상됩니다.일부 사용자가 서로 다른 시스템의 계정에 동일한 암호를 사용할 경우 이러한 암호도 손상됩니다.

보다 안전한 시스템은 암호로 보호된 형식으로 각 비밀번호를 저장하기 때문에 사용자 액세스 시도를 검증할 수 있는 동안 시스템에 대한 내부 액세스를 획득한 스누퍼에게는 실제 비밀번호에 대한 접근이 여전히 어렵습니다.가장 안전한 암호는 전혀 저장하지 않지만 다항식,[14] 계수 또는 고급 해시 함수와 같은 단방향 파생 정보를 저장합니다.Roger Needham은 평문 비밀번호의 [25][26]"해시" 형식만 저장하는 이제 일반적인 접근 방식을 발명했습니다.사용자가 이러한 시스템에서 패스워드를 입력하면 패스워드 처리 소프트웨어는 암호화 해시 알고리즘을 통해 실행되며, 사용자의 엔트리에서 생성된 해시 값이 패스워드 데이터베이스에 저장된 해시 값과 일치하면 사용자에게 접근이 허용된다.해시 값은 전송된 비밀번호 및 많은 구현에서 salt로 알려진 다른 값으로 구성된 문자열에 암호화 해시 함수를 적용하여 생성됩니다.솔트는 공격자가 일반적인 비밀번호 해시 값 목록을 쉽게 작성하는 것을 방지하고 비밀번호 크래킹 작업이 모든 [27]사용자로 확장되는 것을 방지합니다.MD5SHA1은 암호화 해시 함수로 자주 사용되지만 PBKDF2[28]같은 대규모 구조의 일부로 사용되지 않는 한 패스워드 해시에는 권장되지 않습니다.

저장된 데이터('비밀번호 확인자' 또는 '비밀번호 해시'라고도 함)는 종종 모듈러 암호 형식 또는 RFC 2307 해시 형식으로 저장되며, 때로는 /etc/passwd 파일 또는 /etc/shadow [29]파일에 저장됩니다.

패스워드의 주요 저장방법은 플레인텍스트, 해시, 해시 및 솔팅, 가역 [30]암호화입니다.공격자가 패스워드 파일에 액세스 할 수 있는 경우, 패스워드 파일이 플레인텍스트로 보존되어 있는 경우는, 크래킹 할 필요는 없습니다.해시가 되어 있지만 소금에 절이지 않으면 레인보우 테이블 공격에 취약합니다(크래킹보다 효율적입니다).가역적으로 암호화되어 있는 경우 공격자가 파일과 함께 복호화 키를 얻으면 크래킹이 필요하지 않지만 키를 얻지 못하면 크래킹이 불가능합니다.따라서 패스워드의 일반적인 스토리지 포맷은 패스워드가 소금에 절여 해시되었을 때만 필요성과 가능성이 모두 [30]깨집니다.

암호화 해시 함수가 잘 설계되어 있는 경우 함수를 반전시켜 평문 비밀번호를 회복하는 것은 계산상 불가능합니다.그러나 공격자는 널리 사용 가능한 도구를 사용하여 암호를 추측할 수 있습니다.이러한 도구는 가능한 암호를 해시하고 각 추측 결과를 실제 암호 해시와 비교하는 방식으로 작동합니다.공격자는 일치하는 항목을 발견하면 자신의 추측이 연관된 사용자의 실제 암호임을 알 수 있습니다.패스워드 크래킹툴은 무차별적인 조작(즉, 가능한 모든 문자 조합을 시도) 또는 리스트의 모든 단어를 해시함으로써 동작할 수 있습니다.다양한 언어로 가능한 패스워드의 방대한 리스트는 [14]인터넷에서 폭넓게 입수할 수 있습니다.패스워드 크래킹툴이 존재하기 때문에 공격자가 잘못 선택한 패스워드를 쉽게 복구할 수 있습니다.특히 공격자는 짧은 사전 단어, 단순한 사전 단어 변형 또는 쉽게 추측할 수 있는 [31]패턴을 사용하는 암호를 빠르게 복구할 수 있습니다.초기 Unix 시스템에서는 DES 알고리즘의 수정 [32]버전이 패스워드 해싱 알고리즘의 기반으로 사용되었습니다.암호 알고리즘은 각 사용자의 해시가 고유하도록 12비트 salt 값을 사용하고 해시 함수를 느리게 하기 위해 DES 알고리즘을 25회 반복했습니다.이 두 가지 방법 모두 자동화된 추측 [32]공격을 저지하기 위한 것입니다.사용자의 패스워드가 고정값을 암호화하기 위한 키로 사용되었습니다.최근의 Unix 또는 Unix와 유사한 시스템(Linux 또는 다양한 BSD 시스템 등)에서는 PBKDF2, bcrypt, 스크립트 등의 보다 안전한 패스워드 해시 알고리즘을 사용합니다.이 알고리즘은 솔트가 크고 비용 또는 반복 [33]횟수가 조정 가능합니다.설계가 불충분한 해시 함수는 강력한 패스워드를 선택해도 공격을 가능하게 할 수 있습니다.널리 전개되어 안전하지 않은 [34]예에 대해서는, 「LM 해시」를 참조해 주세요.

네트워크를 통한 비밀번호 확인 방법

패스워드의 간단한 송신

패스워드는 인증 머신 또는 개인에게 송신되는 동안 가로채기(즉, 「스누핑」)에 취약합니다.패스워드가 사용자 액세스포인트와 패스워드 데이터베이스를 제어하는 중앙시스템 사이의 안전하지 않은 물리배선상에서 전기신호로 전송되면 감청방법에 의해 스누핑된다.인터넷상에서 패킷화된 데이터로서 전송되는 경우, 로그인 정보를 포함한 패킷을 감시할 수 있는 사람은 누구나, 매우 낮은 검출 확률로 스누핑 할 수 있습니다.

이메일을 사용하여 암호를 배포할 수도 있지만 일반적으로 안전하지 않은 방법입니다.대부분의 전자 메일은 일반 텍스트로 전송되므로 암호를 포함하는 메시지는 도청자가 전송하는 동안 쉽게 읽을 수 있습니다.또한 메시지는 적어도 두 대의 컴퓨터(발신자 및 수신자)에 보통 텍스트로 저장됩니다.이동 중에 중간 시스템을 통과하면 적어도 일정 시간 동안 해당 시스템에도 저장되며 이러한 시스템의 백업, 캐시 또는 이력 파일에 복사될 수 있습니다.

클라이언트 측 암호화를 사용하면 메일 처리 시스템 서버에서 클라이언트 시스템으로의 전송만 보호됩니다.전자 메일의 이전 릴레이 또는 이후 릴레이는 보호되지 않으며, 전자 메일은 여러 컴퓨터(특히 발신 및 수신 컴퓨터)에 저장되며, 대부분의 경우 일반 텍스트로 표시됩니다.

암호화된 채널을 통한 전송

인터넷상에서 송신되는 패스워드의 대행 수신의 리스크는, 암호화 보호를 사용하는 것으로 경감할 수 있습니다.가장 널리 사용되는 것은 최신 인터넷브라우저내장Transport Layer Security(TLS; 트랜스포트층 보안) 기능입니다.대부분의 브라우저는 TLS가 사용 중일 때 닫힌 잠금 아이콘 또는 기타 기호를 표시하여 TLS/SSL로 보호되는 서버와의 교환에 대해 사용자에게 경고합니다.그 밖에도 몇 가지 기술이 사용되고 있습니다.암호화를 참조해 주세요.

해시 기반 챌린지-응답 방식

안타깝게도 저장된 해시 패스워드와 해시 기반 챌린지 응답 인증 사이에는 경합이 있습니다.해시 기반 챌린지 응답 인증은 클라이언트가 공유 비밀(패스워드)이 무엇인지 알고 있음을 서버에 증명해야 합니다.이렇게 하려면 서버가 저장된 형식에서 공유 비밀을 취득할 수 있어야 합니다.리모트 인증을 실행하는 많은 시스템(유닉스 타입 시스템 포함)에서 공유 비밀은 보통 해시 형식이 되어 패스워드가 오프라인 추측 공격에 노출되는 심각한 제한이 있습니다.또한 해시가 공유 비밀 정보로 사용되는 경우 공격자는 원격 인증에 원래 암호가 필요하지 않고 해시만 필요합니다.

제로 지식 패스워드 증명

패스워드를 송신하거나 패스워드의 해시를 송신하는 것이 아니라 패스워드의 제로 놀리지 패스워드 인증을 실행할 수 있기 때문에 패스워드에 대한 지식이 공개되지 않고 증명됩니다.

한 걸음 더 나아가 비밀번호 인증계약을 위한 증강 시스템(AMP, B-SPEKE, PAK-Z, SRP-6)은 해시 기반 방식의 충돌과 제한을 모두 방지합니다.증강 시스템에서는 클라이언트가 서버에 대한 패스워드에 대한 지식을 증명할 수 있습니다.서버는 해시된 패스워드만 알고 있습니다.해시되지 않은 패스워드는 액세스에 필요합니다.

비밀번호 변경 절차

통상, 패스워드를 변경하는 방법은, 유저가 현재의 패스워드가 침해되었다고 생각하거나(또는 침해되었을 가능성이 있기 때문에), 또는 예방책으로서 필요합니다.새로운 패스워드가 암호화되지 않은 형태로 시스템에 전달되면 새로운 패스워드가 패스워드 데이터베이스에 설치되기도 전에 보안이 상실될 수 있습니다(예를 들어 감청을 통해). 또한 새로운 패스워드가 침해된 직원에게 제공되어도 얻을 수 있는 것은 거의 없습니다.일부 웹 사이트에는 사용자가 선택한 암호가 암호화되지 않은 확인 전자 메일 메시지에 포함되어 있으며 취약성이 명백하게 증가했습니다.

ID 관리 시스템은 분실된 비밀번호에 대한 대체 발급을 자동화하기 위해 점점 더 많이 사용되고 있습니다. 이 기능은 셀프 서비스 비밀번호 재설정이라고 불립니다.사용자의 신원은 질문을 하고 이전에 저장된 답변(계정 개설 시점)과 비교하여 확인합니다.

일부 비밀번호 재설정 질문에는 어머니의 결혼 전 성 등 소셜 미디어에서 찾을 수 있는 개인 정보를 묻는 질문이 있습니다.따라서 일부 보안 전문가는 질문을 직접 작성하거나 잘못된 답변을 [35]할 것을 권장합니다.

비밀번호 수명

「패스워드 에이징」은, 유저가 패스워드를 빈번하게 변경하도록 강요하는 일부의 operating system의 기능입니다(예를 들면, 분기별, 월별, 그 이상).이러한 정책들은 기껏해야 사용자들의 항의와 질질 끌기, 그리고 최악의 경우 적대감을 유발한다.패스워드를 메모해 두었다가 쉽게 찾을 수 있는 장소에 두는 사람이 많아지거나 잊어버린 패스워드를 리셋하기 위한 헬프 데스크의 문의가 많아지는 경우가 자주 있습니다.사용자는 비밀번호를 [36]기억하기 위해 보다 간단한 비밀번호를 사용하거나 일관된 테마의 변동 패턴을 개발할 수 있습니다.이러한 문제로 인해 패스워드 에이징이 [37]유효한지에 대해서는 논란이 있습니다.비밀번호 변경은 대부분의 경우에 악용되는 것을 방지하지 못할 것입니다. 왜냐하면 악용은 종종 즉시 눈에 띄기 때문입니다.그러나 컴퓨터를 공유하거나 다른 사이트를 위반하는 등의 방법으로 비밀번호에 액세스한 경우 비밀번호를 변경하면 [38]악용할 수 있는 창이 제한됩니다.

패스워드당 사용자 수

시스템의 각 사용자에게 개별 패스워드를 할당하는 것은 시스템의 합법적인 사용자가 공유하는 단일 패스워드를 갖는 것보다 특히 보안 관점에서 바람직합니다.이는 부분적으로 사용자가 자신의 전용 비밀번호보다 다른 사람(허가되지 않은 사람)에게 공유 비밀번호를 알려주려고 하기 때문입니다.또, 많은 유저에게 동시에 통지할 필요가 있어, 졸업이나 퇴직등의 특정의 유저의 액세스를 삭제하기 어려워지기 때문에, 단일의 패스워드는 변경의 편리성도 큰폭으로 저하합니다.또, 어카운터빌리티를 위해서도, 예를 들면, 데이터의 일부를 변경한 사람을 특정하기 위해서도, 개별의 로그인이 자주 사용됩니다.

패스워드 보안 아키텍처

암호로 보호되는 컴퓨터 시스템의 보안을 강화하기 위해 일반적으로 사용되는 기술은 다음과 같습니다.

  • 입력 중인 암호를 디스플레이 화면에 표시하지 않거나 별표(*) 또는 글머리 기호(•)를 사용하여 입력할 때 암호를 숨깁니다.
  • 적절한 길이의 패스워드를 사용할 수 있습니다.(Unix 및 Windows의 초기[which?] 버전을 포함한 일부 레거시 운영체제는 패스워드를 최대 [39][40][41]8자로 제한하여 보안을 낮춥니다.)
  • 일정 기간 비활성(준로그오프 정책) 후 사용자에게 비밀번호 재입력 요구
  • 비밀번호 정책을 적용하여 비밀번호 강도와 보안을 강화합니다.
    • 무작위로 선택한 비밀번호 할당
    • 최소 비밀번호 [28]길이가 필요합니다.
    • 일부 시스템에서는 암호에 다양한 문자 클래스의 문자가 필요합니다(예: "대문자 하나 이상과 소문자 하나 이상 있어야 합니다.").단, 모두 소문자 패스워드는 대문자와 소문자가 혼재된 [42]패스워드보다 키 스트로크마다 안전합니다.
    • 패스워드 블랙리스트를 사용하여 추측하기 쉬운 패스워드의 사용을 차단하다
    • 키보드 입력(구어체 비밀번호 또는 바이오메트릭 식별자 등)의 대체 수단 제공
    • 2 요소 인증(사용자가 가지고 있는 것 및 사용자가 알고 있는 것) 등 여러 인증 시스템이 필요합니다.
  • 암호화된 터널 또는 비밀번호 인증계약을 사용하여 네트워크 공격을 통해 전송된 비밀번호에 대한 접근을 방지합니다.
  • 일정 기간 동안 허용되는 장애 수 제한(패스워드 추측 반복을 방지하기 위해).제한에 도달하면 다음 시간 시작까지 추가 시도(올바른 비밀번호 시도 포함)가 실패합니다.단, 이는 일종의 서비스 거부 공격에 취약합니다.
  • 패스워드 송신간의 지연을 도입하는 것으로, 자동 패스워드 추측 프로그램의 속도가 저하됩니다.

보다 엄격한 정책 시행 조치 중 일부는 사용자를 소외시키고 결과적으로 보안을 저하시킬 수 있습니다.

패스워드 재사용

컴퓨터 사용자들 사이에서는 여러 사이트에서 동일한 비밀번호를 재사용하는 것이 일반적입니다.공격자는 공격 대상자가 사용하는 다른 사이트에 액세스하기 위해 단일 사이트만 손상하면 되기 때문에 이는 상당한 보안 위험을 초래합니다.이 문제는 사용자 이름을 재사용하거나 공격자가 여러 사이트에서 단일 사용자를 쉽게 추적할 수 있도록 하기 위해 전자 메일 로그인이 필요한 웹 사이트에 의해 악화됩니다.비밀번호 재사용은 니모닉 기법사용하거나, 비밀번호를 종이에 적거나, 비밀번호 [43]매니저를 사용하여 회피하거나 최소화할 수 있습니다.

Redmond의 연구원 Dinei Florencio와 Cormac Herley는 캐나다 Carleton 대학의 Paul C. van Oorschot과 함께 비밀번호 재사용이 불가피하며 사용자는 보안이 낮은 웹 사이트(예: 개인 데이터가 거의 없고 재무 정보가 없는 웹 사이트)에 비밀번호를 재사용하고 대신 Effo에 초점을 맞춰야 한다고 주장해 왔습니다.은행 [44]계좌와 같은 몇 가지 중요한 계좌의 길고 복잡한 비밀번호를 기억하는 것이 좋습니다.포브스는 인간[36]기억력에 동일한 제한이 있기 때문에 많은 "전문가"들이 조언하는 만큼 비밀번호를 자주 바꾸지 않는다는 비슷한 주장을 했다.

패스워드를 종이에 쓰다

지금까지 많은 보안 전문가들은 사람들에게 비밀번호를 외우라고 요구했습니다. "비밀번호를 절대 적어두지 마세요."최근 Bruce Schneier와 같은 많은 보안 전문가들은 너무 복잡한 비밀번호를 사용하여 외우고 종이에 적어 [45][46][47][48][49][50][51]지갑에 보관할 것을 권장합니다.

또한 패스워드 매니저 소프트웨어는 하나의 마스터 패스워드로 밀봉된 암호화된 파일에 패스워드를 비교적 안전하게 저장할 수 있습니다.

사후

런던 대학의 한 조사에 따르면, 10명 중 1명의 사람들이 사망했을 때 이 중요한 정보를 전달하기 위해 유언장에 비밀번호를 남겨두고 있다.여론 조사에 따르면, 3분의 1의 사람들은 암호로 보호된 데이터가 [52]유언장에 전달될 만큼 중요하다는 것에 동의한다고 한다.

멀티팩터 인증

주요 기사:멀티팩터 인증

멀티팩터 인증방식은 패스워드(「지식 팩터」로서)를 1개 이상의 다른 인증수단과 조합하여 인증의 보안을 강화하고 패스워드의 침해에 대한 취약성을 경감합니다.예를 들어 간단한 2단계 로그인은 로그인이 시도될 때마다 텍스트메시지, 이메일, 자동 전화 통화 또는 유사한 경보를 보낼 수 있으며 비밀번호 [53]외에 입력해야 할 코드를 제공할 수 있습니다.하드웨어 토큰이나 바이오메트릭 보안과 같은 더 정교한 요소들이 있습니다.

패스워드 규칙

상세정보: 비밀번호 정책

대부분의 조직에서는 패스워드의 구성 및 사용에 관한 요건을 설정하는 패스워드 정책을 지정하고 있습니다.일반적으로 최소 길이, 필수 카테고리(대문자와 소문자, 숫자, 특수 문자 등), 금지 요소(예: 자신의 이름, 생년월일, 주소, 전화 번호)를 지정합니다.정부에 따라서는 패스워드 요건 등 정부 서비스에 대한 사용자 인증 요건을 정의하는 국가 인증 프레임워크가[54] 있습니다.

많은 웹사이트는 최소 및 최대 길이와 같은 표준 규칙을 적용하지만, 대부분의 경우 최소 하나의 대문자와 최소 하나의 숫자/기호를 포함하는 구성 규칙을 포함합니다.후자의 보다 구체적인 규칙은 주로 Bill [55]Burr가 작성한 NIST(National Institute of Standards and Technology)의 2003년 보고서에 기초하고 있습니다.원래는 숫자, 불명확한 문자, 대문자를 사용하고 정기적으로 갱신하는 관행을 제안했다.2017년 월스트리트저널 기사에서 버는 이러한 제안을 후회하고 있으며 그가 그것들을 [56]추천했을 때 실수를 했다고 보도했다.

이 NIST 보고서의 2017년 개정판에 따르면, 많은 웹사이트가 사용자의 보안에 실제로 반대의 영향을 미치는 규칙을 가지고 있다.여기에는 복잡한 구성 규칙뿐만 아니라 일정 기간 후에 강제로 암호를 변경하는 것도 포함됩니다.이러한 규칙은 오랫동안 널리 보급되어 왔지만, 사용자와 사이버 보안 [57]전문가 모두에게 성가시고 효과적이지 않은 것으로 오랫동안 인식되어 왔습니다.NIST는 "pA55w+rd"[58]와 같은 "착시적인 복잡성"이 있는 비밀번호 대신 더 긴 문구를 비밀번호로 사용할 것을 권장합니다.비밀번호 "비밀번호" 사용이 금지된 사용자는 숫자 및 대문자를 포함해야 하는 경우 "비밀번호 1"을 선택할 수 있습니다.이로 인해 패스워드의 강제적인 정기적인 변경과 조합하여 기억하기 어렵지만 [55]쉽게 해독할 수 있는 패스워드가 발생할 수 있습니다.

2017년 NIST 보고서 작성자 중 한 명인 Paul Grassi는 다음과 같이 상세하게 설명했습니다. " 느낌표는 비밀번호의 1, I 또는 마지막 문자라는 것을 누구나 알고 있습니다.$는 S 또는 5입니다.우리가 이 유명한 속임수를 쓴다면, 우리는 적을 속이는 것이 아니다.패스워드를 저장하는 데이터베이스를 속여 사용자가 좋은 [57]일을 했다고 생각하게 할 뿐입니다.

Pieris Tsokkis와 Eliana Stavrou는 패스워드 생성 툴의 연구개발을 통해 몇 가지 잘못된 패스워드 구축 전략을 식별할 수 있었습니다.그들은 노출된 비밀번호 목록, 비밀번호 해독 도구, 그리고 가장 많이 사용되는 비밀번호를 인용한 온라인 보고서를 바탕으로 여덟 가지 종류의 비밀번호 구성 전략을 생각해냈다.이러한 카테고리에는 사용자 관련 정보, 키보드 조합 및 패턴, 배치 전략, 워드 프로세싱, 대체, 대문자화, 추가 날짜 및 이전 카테고리의[59] 조합이 포함됩니다.

패스워드 크래킹

주요 기사: 비밀번호 크래킹

시간과 돈이 허락하는 한 많은 가능성을 시도함으로써 패스워드를 해독하려고 하는 것은 무차별적인 공격입니다.대부분의 경우 보다 효율적인 관련 방법은 사전 공격입니다.사전 공격에서는 하나 이상의 사전의 모든 단어가 테스트됩니다.일반적으로 일반적인 비밀번호 목록도 테스트됩니다.

패스워드의 강도는 패스워드를 추측 또는 검출할 수 없는 가능성으로 사용되는 공격 알고리즘에 따라 달라집니다.암호학자와 컴퓨터 과학자들은 종종 [14]엔트로피의 관점에서 강도 또는 '강성'을 언급한다.

쉽게 검출되는 패스워드는 weak 또는 vulnerable이라고 불리며, 패스워드는 매우 어렵거나 검출 불가능한 패스워드로 간주됩니다.L0phtCrack, John the Ripper, Cain 등 패스워드 공격(또는 시스템 담당자에 의한 감사 및 복구)에 사용할 수 있는 프로그램이 몇 가지 있습니다.이 프로그램 중 일부는 Microsoft LANManager 시스템에서 볼 수 있는 패스워드 설계의 취약성을 사용하여 효율을 높입니다.이러한 프로그램은 시스템 관리자가 사용자가 제안하는 취약한 암호를 탐지하기 위해 사용하는 경우가 있습니다.

실제 컴퓨터 시스템에 대한 연구는 사용자가 선택한 비밀번호의 많은 부분이 자동으로 추측된다는 것을 일관되게 보여주고 있습니다.예를 들어,[60] 콜롬비아 대학은 22%의 사용자 암호를 쉽게 복구할 수 있다는 사실을 발견했습니다.Bruce Schneier에 따르면 2006년 피싱 공격 데이터를 조사하면서 2006년 [61]시판된 Password Recovery Toolkit을 사용하면 MySpace 비밀번호의 55%를 8시간 만에 해독할 수 있다고 합니다.그는 또한 가장 일반적인 비밀번호는 password1이라고 보고했는데, 이는 사용자들 사이에서 비밀번호를 선택할 때 정보에 입각한 주의가 부족하다는 것을 다시 한번 확인시켜 주었다.(다만, 이러한 데이터에 근거해, 패스워드의 일반적인 품질은, 몇년간에 걸쳐 향상하고 있습니다.예를 들면, 이전의 조사에서는, 평균 길이는 최대 8 문자, 사전의 단어는 4%미만이었습니다).[62]

사고

  • 1998년 7월 16일 CERT는 공격자가 186,126개의 암호화된 비밀번호를 발견한 사건을 보고했습니다.공격자가 발견되었을 때 47,642개의 암호가 이미 [63]깨져 있었다.
  • 2001년 9월, 9.11 테러로 뉴욕 직원 960명이 사망한 후, 금융 서비스 회사 칸토르 피츠제럴드는 마이크로소프트를 통해 사망한 직원의 암호를 깨고 고객 [64]계정 서비스에 필요한 파일에 액세스했습니다.기술자는 무차별 공격을 사용했고 인터뷰 담당자는 가족에게 연락하여 개인화된 정보를 수집하여 취약한 [64]비밀번호 검색 시간을 단축할 수 있었습니다.
  • 2009년 12월에는 Rockyou.com 웹사이트의 주요 비밀번호 위반이 발생하여 3200만 개의 비밀번호가 공개되었습니다.그 후, 해커는 (다른 식별 가능한 정보가 없는) 3200만 개의 비밀번호의 전체 목록을 인터넷에 유출했다.암호는 데이터베이스의 클리어 텍스트에 저장되었으며 SQL 주입 취약성을 통해 추출되었습니다.Imperva Application Defense Center(ADC; Imperva 애플리케이션 디펜스 센터)는 [65]패스워드의 강도를 분석했습니다.
  • 2011년 6월 NATO(북대서양조약기구)는 보안 침해를 경험하여 11,000명 이상의 전자책방 등록 사용자에게 이름과 성, 비밀번호가 공개되었습니다.이 데이터는 Anonymous, LulzSec, 그리고 다른 해킹 그룹과 개인들을 포함하는 운동인 Operation AntiSec의 일부로 유출되었다.AntiSec의 목적은 개인 정보, 기밀 정보 및 제한된 정보를 필요한 [66]모든 수단을 사용하여 세상에 공개하는 것입니다.
  • 2011년 7월 11일, 펜타곤에서 일하는 컨설팅 회사인 Booz Allen Hamilton은 Anonymous에 의해 서버가 해킹되어 같은 날 유출되었다."'밀리터리 멜트다운 먼데이'라고 불리는 유출에는 USCENTCOM, SOCOM, 해병대, 다양한 공군 시설, 국토안보부, 국무부 직원, 민간 부문 청부업자 [67]등 9만 명의 군 병력이 포함되어 있습니다."유출된 비밀번호는 결국 SHA1에서 해시 처리되고 나중에 Imperva의 ADC 팀에 의해 해독되고 분석되어 군인들조차 비밀번호 요건을 [68]회피하는 지름길과 방법을 찾고 있다는 것을 알게 되었다.

인증용 비밀번호 대체 방법

영구 패스워드 또는 반영구 패스워드를 침해할 수 있는 수많은 방법들이 다른 기술의 개발을 촉진하고 있습니다.불행히도 일부는 실제로 불충분하며, 어떤 경우에도 보다 안전한 [69]대안을 찾는 사용자가 보편적으로 이용할 수 있는 경우는 거의 없습니다.A2012년 paper[70]차례 왜 암호를 그렇게 열심히( 수많은 예측에도 불구하고 past[71]의 그들이 일 것 곧 이야기가 될 것)를 대체할;보안, 사용 적합성 및 적재 전개에 대하여 30대표 제안된 교체에서 그들은 "심지어 아무도 이 항목을 보강하려면 암호 legacy 급여의 완전한 집합을 유지하라고 단정할 것으로 드러났다.베provi"

  • 일회용 패스워드유효한 패스워드를 1회만 설정하면 잠재적인 공격의 대부분은 무효가 됩니다.대부분의 사용자는 일회용 비밀번호를 매우 불편하게 생각합니다.단, 개인 온라인 뱅킹에서는 TAN(Transaction Authentication Number)이라고 하는 이름으로 널리 사용되고 있습니다.대부분의 가정 사용자들은 매주 소수의 거래만 수행하므로, 이 경우 일회성 문제로 인해 참을 수 없는 고객 불만이 발생하지는 않습니다.
  • 시간 동기화된 원타임패스워드는 어떤 면에서는 일회용 패스워드와 비슷하지만 입력하는 값은 작은(일반적으로 포켓 가능한) 항목에 표시되며 1분마다 변경됩니다.
  • PassWindow 원타임 패스워드는 일회용 패스워드로 사용되지만 동적 문자는 사용자가 고유하게 인쇄된 비주얼 키를 사용자 화면에 표시된 서버 생성 챌린지 이미지 위에 겹쳐야 표시됩니다.
  • 공개키 암호화에 근거한 액세스 제어(: ssh).필요한 키는 보통 너무 커서 외울 수 없으며(단, 제안서 Passmaze [72]참조), 로컬 컴퓨터, 보안 토큰 또는 USB 플래시 드라이브플로피 디스크와 같은 휴대용 메모리 장치에 저장해야 합니다.개인 키는 클라우드 서비스 공급자에 저장되며 암호 또는 2단계 인증을 사용하여 활성화할 수 있습니다.
  • 바이오메트릭 방법은 변경할 수 없는 개인 특성에 기초한 인증을 약속하지만 현재(2008)는 오류율이 높고 지문,[needs update] 홍채 등의 스캔을 위해 추가 하드웨어가 필요합니다.그들은 쉽게 유명한 사건이 상업적으로 시스템, 예를 들어,gummie 지문 패러디한 것 demonstration,[73]또 이러한 특성들을 바꿀 수 없는 것이 있다고 한다면 타협, 그런 것들은 바뀔 수 없습니다. 액세스 제어에서 제대로 발휘되지 못하는 액세스 토큰 이 업계는 대단히 중요한 고려 사항necessari은 시험에 spoof는 것으로 밝혀졌다.사행불안정합니다.
  • 싱글 사인온 테크놀로지로 여러 개의 패스워드를 설정할 필요가 없어집니다.이러한 스킴에 의해 사용자와 관리자는 적절한 단일 패스워드를 선택할 수 없게 되는 것은 아닙니다.또, 시스템 설계자나 관리자는, 싱글 사인온을 유효하게 하는 시스템간에 건네진 프라이빗 액세스 제어 정보를 공격으로부터 보호할 수 없게 됩니다.아직까지는 만족할 만한 기준이 개발되지 않았다.
  • 환경 보호 기술은 USB 플래시 드라이브와 같은 이동식 저장 장치의 데이터를 보호하기 위한 패스워드가 필요 없는 방법입니다.사용자 비밀번호 대신 접근컨트롤은 네트워크리소스에 대한 사용자의 접근을 기반으로 합니다.
  • 그래픽 암호 또는 마우스 이동 기반 [74]암호와 같은 텍스트 기반이 아닌 암호입니다.그래피컬 패스워드는 기존의 패스워드 대신 사용하는 로그인을 위한 대체 인증 수단입니다.문자, 숫자, 특수 문자 대신 이미지, 그래픽 또는 색상을 사용합니다.한 시스템은 얼굴을 쉽게 [75]떠올릴 수 있는 인간두뇌 능력을 이용해 사용자가 일련의 얼굴을 비밀번호로 선택해야 한다.일부 구현에서는 사용자가 [76]액세스하려면 일련의 이미지에서 올바른 순서로 선택해야 합니다.다른 그래피컬 패스워드 솔루션에서는 랜덤하게 생성된 이미지 그리드를 사용하여 일회용 패스워드를 만듭니다.사용자는 인증이 필요할 때마다 미리 선택한 카테고리에 맞는 이미지를 검색하여 이미지에 표시되는 랜덤하게 생성된 영숫자를 입력하여 원타임비밀번호를 [77][78]형성합니다.지금까지는 그래피컬 패스워드가 유망하지만 널리 사용되고 있지는 않습니다.이 주제에 대한 연구는 현실에서 그것의 유용성을 결정하기 위해 이루어졌다.어떤 사람들은 그래픽 패스워드를 해독하는 이 더 어려울 것이라고 믿는 반면, 다른 사람들은 사람들이 공통의 [citation needed]패스워드를 선택하는 것과 마찬가지로 공통의 이미지나 시퀀스를 선택할 것이라고 제안한다.
  • 2D키(키 2차원)[79]은 2Dmatrix-like 키 입력 메서드 다차선 암호, 십자 말 퍼즐,/유니 코드 예술의 선택적 텍스트 의미의 소음으로 이 핵심적인 스타일은 MePKC을 실현시키기 위해 128비트 이상의 큰 password/key를 만들기 위해(Memorizable Public-Key 암호)[80]은 현재의 사적에 완전히memorizable 개인 키를 사용하다.전신기사.암호화 개인 키, 분할 개인 키, 로밍 개인 키와 같은 에이징 테크놀로지.
  • 인지 패스워드는 질문과 답변의 큐/응답 쌍을 사용하여 신원을 확인합니다.

"비밀번호가 비활성화되었습니다."

"비밀번호는 죽었다"는 것은 컴퓨터 보안에서 반복되는 개념입니다.그 이유에는, 패스워드의 사용성이나 시큐러티상의 문제에 대한 언급이 자주 있습니다.많은 경우 보다 안전한 인증수단에 의한 패스워드 교환이 필요하고 임박했다는 주장이 수반됩니다.이 주장은 적어도 2004년 [71][81][82][83][84][85][86][87]이후 수많은 사람들에 의해 제기되어 왔다.

패스워드의 대체 수단으로는 바이오메트릭스, 2 요소 인증 또는 싱글 사인온, 마이크로소프트카드스페이스, Higgins 프로젝트, 리버티 얼라이언스, NSTIC, FIDO 얼라이언스 및 다양한 Identity 2.0 [88][89]제안이 있습니다.

그러나 이러한 예측과 대체 노력에도 불구하고 비밀번호는 여전히 웹 인증의 주요 형식입니다."비밀번호의 지속성"에서 Cormac Herley와 Paul van Oorschot은 비밀번호가 [90]사용 불가능하다는 "매우 잘못된 가정"을 끝내기 위해 모든 노력을 기울여야 한다고 제안합니다.그들은 "다른 어떤 단일 기술도 비용, 즉석성, 편의성의 조합에 필적하지 않는다"며 "패스워드 자체는 현재 사용되는 많은 시나리오에 가장 적합하다"고 주장한다.

그 후 Bonneau 등은 웹 비밀번호를 사용성, 배치성 및 보안 측면에서 [91][92]35개의 경쟁 인증 체계와 체계적으로 비교했다.분석 결과, 대부분의 스킴이 보안상의 패스워드보다 우수하고, 일부 스킴은 사용성에 관해 우수하고, 다른 스킴은 유용성 면에서 우수하지만, 모든 스킴이 전개성에서의 패스워드보다 나쁘다는 것을 알 수 있습니다.저자들은 다음과 같은 관찰로 결론짓는다: "대부분의 이익은 상당한 전환 비용을 극복하는 데 필요한 활성화 에너지에 도달하기에 충분하지 않다. 이것은 왜 우리가 패스워드를 위한 장례 행렬이 묘지에 도착하기 전에 훨씬 더 오래 살 가능성이 높은지에 대한 가장 좋은 설명을 제공할 수 있다."

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "passcode". YourDictionary. Retrieved 17 May 2019.
  2. ^ a b Williams, Shannon (21 Oct 2020). "Average person has 100 passwords - study". NordPass. Retrieved April 28, 2021.
  3. ^ a b Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST Special Publication 800-63-3: Digital Identity Guidelines". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3. Retrieved 17 May 2019. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  4. ^ "authentication protocol". Computer Security Resource Center (NIST). Archived from the original on 17 May 2019. Retrieved 17 May 2019.
  5. ^ "Passphrase". Computer Security Resource Center (NIST). Retrieved 17 May 2019.
  6. ^ 2008-02-07년 Wayback Machine에 보관된 로마 군용 Polybius.Ancienthistory.about.com (2012-04-13)2012년 5월 20일에 취득.
  7. ^ Mark Bando (2007). 101st Airborne: The Screaming Eagles in World War II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Archived from the original on 2 June 2013. Retrieved 20 May 2012.
  8. ^ McMillan, Robert (27 January 2012). "The World's First Computer Password? It Was Useless Too". Wired magazine. Retrieved 22 March 2019.
  9. ^ Hunt, Troy (26 July 2017). "Passwords Evolved: Authentication Guidance for the Modern Era". Retrieved 22 March 2019.
  10. ^ CTSS 프로그래머 가이드, 제2판, MIT Press, 1965년
  11. ^ Morris, Robert; Thompson, Ken (1978-04-03). "Password Security: A Case History". Bell Laboratories. CiteSeerX 10.1.1.128.1635.
  12. ^ Vance, Ashlee (2010-01-10). "If Your Password Is 123456, Just Make It HackMe". The New York Times. Archived from the original on 2017-02-11.
  13. ^ "Managing Network Security". Archived from the original on March 2, 2008. Retrieved 2009-03-31.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).Fred Cohen과 Associates입니다.All.net 를 참조해 주세요.2012년 5월 20일에 취득.
  14. ^ a b c d Lundin, Leigh (2013-08-11). "PINs and Passwords, Part 2". Passwords. Orlando: SleuthSayers.
  15. ^ 2012-04-14 Wayback Machine(pdf). ncl.ac.uk에서 보관비밀번호기억성과 보안.2012년 5월 20일에 취득.
  16. ^ Michael E. Whitman; Herbert J. Mattord (2014). Principles of Information Security. Cengage Learning. p. 162. ISBN 978-1-305-17673-7.
  17. ^ "How to Create a Random Password Generator". PCMAG. Retrieved 2021-09-05.
  18. ^ Lewis, Dave (2011). Ctrl-Alt-Delete. p. 17. ISBN 978-1471019111. Retrieved 10 July 2015.
  19. ^ Techlicious / Fox Van Allen @techlicious (2013-08-08). "Google Reveals the 10 Worst Password Ideas TIME.com". Techland.time.com. Archived from the original on 2013-10-22. Retrieved 2013-10-16.
  20. ^ Fleishman, Glenn (November 24, 2015). "Write your passwords down to improve safety — A counter-intuitive notion leaves you less vulnerable to remote attack, not more". MacWorld. Retrieved April 28, 2021.
  21. ^ a b Lyquix 블로그: 비밀번호를 숨길 필요가 있습니까?2012-04-25 Wayback Machine에서 보관.Lyquix.com 를 참조해 주세요.2012년 5월 20일에 취득.
  22. ^ 조나단 켄트 말레이시아 자동차 절도범들웨이백 머신에서 2010-11-20 아카이브된 손가락훔칩니다.BBC (2005-03-31)
  23. ^ Stuart Brown. Modernlifeisrubbish.co.uk (2006-05-26)2012년 5월 20일에 취득.
  24. ^ 미국 특허 8046827
  25. ^ Wilkes, M. V. 시분할 컴퓨터 시스템.아메리칸 엘세비어, 뉴욕(1968).
  26. ^ Schofield, Jack (10 March 2003). "Roger Needham". The Guardian.
  27. ^ 2013-11-02 Wayback Machine에서 보관된 Bug Charmer: Passwords Matter.버그샤머.blogspot.com (2012-06-20)2013-07-30에 취득.
  28. ^ a b 알렉산더, 스티븐(2012-06-20) 버그 문자: 비밀번호는 어느 정도 길어야 합니까?2012-09-20 Wayback Machine에서 아카이브 완료.버그샤머.blogspot.com 를 참조해 주세요.2013-07-30에 취득.
  29. ^ 패슬립.hash - Password Hashing Schemes" 2013-07-21Wayback Machine에 보관했습니다.
  30. ^ a b Florencio 등, Wayback Machine에 보관된 2015-02-14 인터넷 비밀번호 조사 관리자 가이드. (pdf) 2015-03-14에 취득.
  31. ^ 크래킹 스토리– 1억2200만 이상의 SHA1MD5 해시 패스워드를 크래킹한 방법 © Tirus's Bl0g, 2012-08-30을 Wayback Machine에 아카이브.Blog.thireus.com (2012-08-29)2013-07-30에 취득.
  32. ^ a b Morris, Robert & Thompson, Ken (1979). "Password Security: A Case History". Communications of the ACM. 22 (11): 594–597. CiteSeerX 10.1.1.135.2097. doi:10.1145/359168.359172. S2CID 207656012. Archived from the original on 2003-03-22.
  33. ^ 최신 운영 체제대한 암호 보호 2016-03-11 웨이백 머신에 보관(pdf).Usenix.org 를 참조해 주세요.2012년 5월 20일에 취득.
  34. ^ Windows가 패스워드의 LAN 매니저 해시를 Active Directory로컬 SAM 데이터베이스저장하지 않도록 하는 방법 2006-05-09를 Wayback Machine에 보관합니다.support.microsoft.com (2007-12-03)2012년 5월 20일에 취득.
  35. ^ "Why You Should Lie When Setting Up Password Security Questions". Techlicious. 2013-03-08. Archived from the original on 2013-10-23. Retrieved 2013-10-16.
  36. ^ a b Joseph Steinberg (12 November 2014). "Forbes: Why You Should Ignore Everything You Have Been Told About Choosing Passwords". Forbes. Archived from the original on 12 November 2014. Retrieved 12 November 2014.
  37. ^ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  38. ^ 패스워드 변경에 관한 보안에 관한 Schneier의 설명(2010-12-30)은 Wayback Machine에서 아카이브(archarched 2010-12-30 。Schneier.com 를 참조해 주세요.2012년 5월 20일에 취득.
  39. ^ 셀처, 래리 (2010-02-09) "American Express: Strong Credit, Weak Passwords" 2017-07-12 Wayback Machine에 보관되었습니다.Pcmag.com 를 참조해 주세요.2012년 5월 20일에 취득.
  40. ^ Wayback Machine에 보관된 "Windows 암호 10가지 신화" 2016-01-28: "NT 대화 상자...비밀번호는 최대 14자로 제한됩니다."
  41. ^ "비밀번호는 1~8자 사이여야 합니다."Jira.codehaus.org 를 참조해 주세요.2012년 5월 20일에 취득.2015년 5월 21일 Wayback Machine에서 보관
  42. ^ 자본화할 것인가, 말 것인가?Wayback Machine에서 2009-02-17 아카이브 완료.World.std.com 를 참조해 주세요.2012년 5월 20일에 취득.
  43. ^ Thomas, Keir (February 10, 2011). "Password Reuse Is All Too Common, Research Shows". PC World. Archived from the original on August 12, 2014. Retrieved August 10, 2014.
  44. ^ Pauli, Darren (16 July 2014). "Microsoft: You NEED bad passwords and should re-use them a lot". The Register. Archived from the original on 12 August 2014. Retrieved 10 August 2014.
  45. ^ Bruce Schneier: Crypto-Gram 뉴스레터, 2011-11-15년 5월 15일 Wayback Machine에서 아카이브
  46. ^ "Windows 암호 10가지 신화" 2016-01-28 웨이백 머신에 보관:신화 #7패스워드를 적어두지 마세요.
  47. ^ Kotadia, Munir(2005-05-23) Microsoft 보안 전문가: 비밀번호를 적어둡니다.News.cnet.com 를 참조해 주세요.2012년 5월 20일에 취득.
  48. ^ "강력한 비밀번호 딜레마" 2010-07-18년 리처드 E에 의해 웨이백 머신에 아카이브되었습니다.Smith: "기존 비밀번호 선택 규칙을 다음과 같이 요약할 수 있습니다.패스워드는 기억할 수 없고 기록되지 않아야 합니다."
  49. ^ Bob Jenkins (2013-01-11). "Choosing Random Passwords". Archived from the original on 2010-09-18.
  50. ^ "비밀번호의 기억성과 보안 – 몇 가지 경험적 결과"2011-02-19 Wayback Machine 아카이브 완료(pdf)
    "비밀번호... 지갑 뒷면이나 지갑 등 안전한 장소에 보관하십시오."
  51. ^ "패스프레이즈를 적어야 하나요?"Wayback Machine에서 2009-02-17 아카이브 완료.World.std.com 를 참조해 주세요.2012년 5월 20일에 취득.
  52. ^ Jaffery, Saman M. (17 October 2011). "Survey: 11% of Brits Include Internet Passwords in Will". Hull & Hull LLP. Archived from the original on 25 December 2011. Retrieved 16 July 2012.
  53. ^ Wayback Machine에 보관된 2016-06-18 2단계 인증
  54. ^ Wayback Machine에서 2013-06-20년에 보관된 표준화된 암호 정책통해 암호 관리의 유용성 향상(pdf).2012년 10월 12일에 취득.
  55. ^ a b 바보같은 비밀번호 규칙을 싫어하나요? 지디넷이라는 작자도 그렇고
  56. ^ 패스워드 규칙을 작성한 사람은 새로운 힌트를 얻었다: N3v$r M1^d!, Wall Street Journal
  57. ^ a b 전문가들우리가 마침내 어리석은 비밀번호 규칙을 없앨 수 있다고 말한다, Fortune
  58. ^ NIST의 새로운 비밀번호 규칙– 알아야, 네이키드 보안
  59. ^ P. Tsokkis와 E.Stavrou, "부정한 비밀번호 구축 전략에 대한 사용자의 인식을 높이는 비밀번호 생성 도구", 2018 ISNCC(International Symposium on Networks, Computers and Communications), 2018 로마, 페이지 1~5, doi:10.1109/ISNCC.2018.8531061.
  60. ^ "Password". Archived from the original on April 23, 2007. Retrieved 2012-05-20.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).cs.columbia.edu
  61. ^ Schneier, Real-World Passwords 2008-09-23 Wayback Machine에 보관된 패스워드.Schneier.com 를 참조해 주세요.2012년 5월 20일에 취득.
  62. ^ MySpace 비밀번호Wayback Machine에서 2014-03-29보관되어 있지 않습니다.Wired.com (2006-10-27)2012년 5월 20일에 취득.
  63. ^ "CERT IN-98.03". 1998-07-16. Retrieved 2009-09-09.
  64. ^ a b Urbina, Ian; Davis, Leslye (November 23, 2014). "The Secret Life of Passwords". The New York Times. Archived from the original on November 28, 2014.
  65. ^ "Consumer Password Worst Practices (pdf)" (PDF). Archived (PDF) from the original on 2011-07-28.
  66. ^ "NATO site hacked". The Register. 2011-06-24. Archived from the original on June 29, 2011. Retrieved July 24, 2011.
  67. ^ "Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack". 2011-07-11. Archived from the original on 2017-07-14.
  68. ^ "Military Password Analysis". 2011-07-12. Archived from the original on 2011-07-15.
  69. ^ "The top 12 password-cracking techniques used by hackers". IT PRO. Retrieved 2022-07-18.
  70. ^ "The Quest to Replace Passwords (pdf)" (PDF). IEEE. 2012-05-15. Archived (PDF) from the original on 2015-03-19. Retrieved 2015-03-11.
  71. ^ a b "Gates predicts death of the password". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  72. ^ 암호 ePrint 아카이브: 보고서 2005/434 Wayback Machine에서 2006-06-14 아카이브 완료.eprint.iacr.org 를 참조해 주세요.2012년 5월 20일에 취득.
  73. ^ T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "Impact of artificial 'Gummy' Fingers on Fingerprint Systems". Proc SPIE. Optical Security and Counterfeit Deterrence Techniques IV. 4677: 275. Bibcode:2002SPIE.4677..275M. doi:10.1117/12.462719. S2CID 16897825.
  74. ^ 이미지 패스워드에 AJAX 사용AJAX 보안 파트 1/3 Wayback Machine에서 2006-06-16 아카이브.waelchatila.com (2005-09-18)2012년 5월 20일에 취득.
  75. ^ 버틀러, Rick A. (2004-12-21) Wayback Machine에서의 Face in the Crowd Archived 2006-06-27. mcpmag.com2012년 5월 20일에 취득.
  76. ^ 그래피컬 패스워드 또는 그래피컬 유저 인증(GUA) 2009-02-21 Wayback Machine에 보관.검색 보안.techtarget.com 를 참조해 주세요.2012년 5월 20일에 취득.
  77. ^ Ericka Chickowski (2010-11-03). "Images Could Change the Authentication Picture". Dark Reading. Archived from the original on 2010-11-10.
  78. ^ "Confident Technologies Delivers Image-Based, Multifactor Authentication to Strengthen Passwords on Public-Facing Websites". 2010-10-28. Archived from the original on 2010-11-07.
  79. ^ 2차원 키(2D 키) 입력 방법 및 웨이백 머신에 보관된 2011-07-18 시스템 사용 설명서.xpreeli.com 를 참조해 주세요.(2008-09-08). 2012-05-20에 취득.
  80. ^ 이콕와 특허 US20110055585 WO2010010430에서 2015-04-13 아카이브 완료.출원일:2008년 12월 18일
  81. ^ Kotadia, Munir (25 February 2004). "Gates predicts death of the password". ZDNet. Retrieved 8 May 2019.
  82. ^ "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.
  83. ^ Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect Us Anymore". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.
  84. ^ "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  85. ^ "Authentciation at Scale". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.
  86. ^ Mims, Christopher (2014-07-14). "The Password Is Finally Dying. Here's Mine". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.
  87. ^ "Russian credential theft shows why the password is dead". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  88. ^ "NSTIC head Jeremy Grant wants to kill passwords". Fedscoop. 2014-09-14. Archived from the original on 2015-03-18. Retrieved 2015-03-14.
  89. ^ "Specifications Overview". FIDO Alliance. 2014-02-25. Archived from the original on 2015-03-15. Retrieved 2015-03-15.
  90. ^ "A Research Agenda Acknowledging the Persistence of Passwords". IEEE Security&Privacy. Jan 2012. Archived from the original on 2015-06-20. Retrieved 2015-06-20.
  91. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Technical Report - University of Cambridge. Computer Laboratory. Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. Retrieved 22 March 2019.
  92. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". 2012 IEEE Symposium on Security and Privacy. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

외부 링크