티스토리 뷰
요즘 같은 정보화시대에서 "해킹" 처럼 무서운 단어들이 많이 들리고 있다. 따라서 개인의 정보를 보호하는 것이 기본에 필수인 시대가 되어 버렸다. 다양한 해킹 예방방법이 있겠지만, 개인이 해킹을 예방하는 가장 쉬운 방법은 비밀번호를 철저하게 관리하는 것에서부터 시작하는 것이고, 비밀번호를 정해서 사용할 때 난이도를 높여서 생성하면 해킹에 대한 예방률이 더더더 올라갈 것이다.
그래서 오늘은 비밀번호를 작성하는 규칙과 어떻게 어려우면서도 기억하기 편하게 만들 수 있는지 안전한 패스워드 생성TIP에 대해서 기초적인 내용을 알아보도록 하자.
참고로, 우리나라에서 한국인터넷진흥원(KISA)이 안전한 패스워드 설정 방법, 패스워드 보안 지침 등을 소개하는 '패스워드 선택 및 이용 안내서'를 배포하고 있다. > 한국인터넷진흥원 안내서 pdf 파일 다운로드 https://seed.kisa.or.kr/kisa/Board/53/detailView.do |
내용 (제정 : 2008년 1월 , 개정 : 2019년 6월) - 안전한 패스워드 - 이러한 패스워드 사용하지 마세요 - 안전한 패스워드 생성 Tip - 패스워드 보안 지침(이용자 측면) - 패스워드 보안 지침(관리자 측면) |
참조) 패스워드란 이용자가 인터넷 사이트에 로그인 할 때, 허가된 이용자임을 확인하는데 이용되는 문자열이다. 이용자의 패스워드가 노출되면, 이용자의 개인 메일 정보, 금융정보 등이 타인에게 유출될 수 있다. 따라서 이용자는 안전한 패스워드를 설정하고 이용하여야 하며, 또한 안전하게 관리해야 한다. |
[제1장 안전한 패스워드]
제 3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 이용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 이용자의 패스워드를 알아낼 수 없거나 알아낸다 하더라도 많은 시간이 요구되는 패스워드를 말한다.
- 두 종류 이상의 문자구성과 8자리 이상의 길이로 구성된 문자열
> 문자종류는 알파벳 대문자와 소문자, 특수문자, 숫자의 4가지임. - 10자리 이상의 길이로 구성된 문자열
> 숫자로만 구성될 경우 취약할 수 있음.
[제2장 이런 패스워드는 사용하지 마세요][패스워드 안전성 체크리스트]
- 특정 패턴을 갖는 패스워드
> 동일한 문자의 반복
예) aaabbb, 123123
> 키보드 상에서 연속한 위치에 존재하는 문자들의 집합
예) qrew1423, asdfgh
> 숫자가 제일 앞이나 제일 뒤에 오는 구성의 패스워드
예) security1 , 1security - 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 패스워드
> 가족이름, 생일, 주소, 휴대전화번호 등을 포함하는 패스워드 - 이용자 ID를 이용한 패스워드
> 이용자의 ID가 KDhong 인 경우 패스워드를 KDhong12 또는 HongKD 로 설정하는 경우 - 한글 , 영어 등을 포함한 사전적 단어로 구성된 패스워드
> 바다나라, 천사 1004, love12 등 - 특정 인물의 이름이나 널리 알려진 단어를 포함하는 패스워드
> 컴퓨터 용어, 사이트, 기업 등의 특정 명칭을 포함하는 패스워드
> 유명인, 연예인 등의 이름을 포함하는 패스워드 - 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 구성의 패스워드
> 예) 영문자 O를 숫자 0으로, 영문자 I를 숫자 1 로 치환
- 기타
> 시스템에서 초기에 설정되어 있거나 예재로 제시되고 있는 패스워드 한글의 발음을 영문으로, 영문단어의 발음을 한글로 변형한 형태의 패스워드
예) 한글의 '사랑'을 영어 'SaRang'으로 표기, 영문자 'LOVE'의 발음을 한글 '러브'로 표기
[제3장 안전한 패스워드 생성TIP]
[기억하기 쉬운 패스워드 설정방법]
- 특정 명칭을 선택하여 예측이 어렵도록 가공하여 패스워드 설정
> 특정명칭의 홀,짝수 번째의 문자를 구분하는 등의 가공방법을 통해 설정
> 국내 이용자는 한글 자판을 기준으로 특정명칭을 선택하고 가공하여 설정
예) '한국인터넷진흥원'의 경우, 홀수 번째 '한인넷흥'이 'gksdlssptgmd'로, 짝수 번째 '국터진원'이 'rnrxjwlsdnjs' 으로 사용하는 것도 가능 - 노래 제목이나 명언, 속담, 가훈 등을 이용,가공하여 패스워드 설정
> 영문사용의 경우, 'This May Be One Way To Remember'를 'TmB1w2R'이나 'Tmb1w>r~'로 활용
> 한글사용의 경우, '백설공주와 일곱 난쟁이'를 '백설+7난장'로 구성하고 'Qortjf+7SksWkd'등으로 활용
[예측이 어려운 문자구성의 패스워드 설정방법]
- 영문자(대소문자),숫자,특수문자들을 혼합한 구성으로 패스워드 설정
예) 10H+20Min , 1!Can&9it 등과 같은 구성
- 패스워드의 길이를 증가시키기 위해서는 알파벳 문자 앞뒤가 아닌 위치에 특수문자 및 숫자 등을 삽입하여 설정
예) Security1 이 아니라 Securi2t&&y 와 같은 형태로 패스워드의 길이를 늘림
- 알파벳 대소문자를 구별할 수 있을 경우, 대소문자를 혼합하여 설정
> 특정위치의 문자를 대문자로 변경하거나, 모음만을 대문자로 변경
- 사이트별 상이한 패스워드 설정을 위한 방법
> 자신의 기본 패스워드 문자열을 설정하고 사이트별로 특정규칙을 적용하여 패스워드 설정
예) 패스워드 문자열을 '486+'로 설정하고, 사이트 이름의 짝수 번째 문자 추가를 규칙으로
naver.com 은 '486+ae.o' , google.co.kr 은 '486+ogec.r' 등으로 활용
[제4장 패스워드 보안 지침(이용자 측면)]
- 이용자는 제3장을 참고하여 안전한 패스워드를 설정하여 사용해야 한다.
- 초기 패스워드가 시스템에 의해 할당되는 경우, 이용자는 빠른 시간내에 해당 패스워드를 새로운 패스워드로 변경해야 한다.
- 패스워드 변경 시, 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 이전 패스워드와 연관성이 없어야 한다.
- 자신의 패스워드가 제3자에게 노출되지 않도록 해야 한다.
- 자신의 패스워드가 제3자에게 노출되었을 경우, 즉시 새로운 패스워드로 변경해야 한다.
- 여러 계정이나 시스템에서 동일한 패스워드를 사용하지 않도록 해야 한다.
[제5장 패스워드 보안 지침(관리자 측면)]
- 이용자가 안전한 패스워드를 선택할 수 있도록 제3장을 참고하여 패스워드 선택 기준을 안내해야 한다.
- 초기 패스워드, 패스워드 분실 등의 이유로 이용자에게 제공하기 이해 생성된 패스워드는 최소6자 이상이어야 하며, 안전하게 생성된 난수이어야 한다.
- 패스워드를 최소 8자 이상으로 요구해야 하며, 영문, 숫자, 특수기호를 조합하여 사용할 수 있도록 허용해야 한다.
- 반복적으로 잘못된 패스워드를 입력할 경우, 입력 횟수를 제한하는 시스템을 구현해야 한다.
- 이용자가 패스워드를 변경하고자 할 때 관리자는 패스워드가 안전한지 확인하여 이용자에게 알리고 안전하지 않을 경우 다른 값을 요구하는 시스템을 구현해야 한다.
- 패스워드는 여러 번의 일방향 해시함수를 사용하고 패스워드와 함께 사용하는 솔트(Salt)는 안전하게 저장해야 한다.
- 다음 : CentOS7 리눅스 사용자관리 -
'정보보안.Security' 카테고리의 다른 글
[리눅스][초보][보안][무차별대입공격][OWASP TOP10 취약점대응2] (0) | 2023.01.18 |
---|---|
[리눅스][초보][보안][무차별대입공격과 OWASP TOP10 취약점 대응내용] (2) | 2023.01.05 |
[리눅스][초보][보안][무차별대입공격과 OWASP TOP10 소개] (0) | 2023.01.04 |
[리눅스][초보][보안][무차별대입공격 방어와 대응책] (0) | 2023.01.04 |
[리눅스][초보][보안][무차별대입공격유형] (1) | 2022.12.31 |