비밀번호

3. 현대 사회에서의 활용

현대의 경우 비밀번호는 컴퓨터 운영 체제, 휴대 전화, CATV 디코딩 장치, 현금 자동 입출금기 등의 접근 제어를 위해 사용된다. 일반 컴퓨터 사용자는 여러 목적을 위해 비밀번호를 요구할 수 있다. 숫자만으로 이루어진 비밀번호는 PIN^영어[98]이라고도 불리며, 금융 기관의 ATM이나 휴대 전화의 본인 확인에 사용된다. 문자열 길이가 수십 자 이상으로 긴 비밀번호는 특히 '''패스프레이즈'''라고 불리며, 높은 보안이 필요한 시스템에서 사용된다.

일반적으로 비밀번호는 사용자 ID와 쌍으로 사용한다. 미리 등록된 해당 사용자 ID의 비밀번호와 조작자에 의해 입력된 비밀번호가 일치하는 것을 통해 조작자가 해당 사용자 ID의 사용자 본인임을 인식한다.

총무성은 안전한 비밀번호 설정 및 관리 가이드라인을 발표했다.^[99]

위험한 비밀번호는 다음과 같다.^[99]

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

4. 안전하고 기억하기 쉬운 비밀번호 선택

안전하고 기억하기 쉬운 비밀번호를 선택하는 것은 매우 중요하다. 사용자가 기억하기 쉬운 비밀번호는 해커가 추측하기 쉽지만,^[12] 기억하기 어려운 비밀번호는 사용자가 비밀번호를 적어두거나 전자적으로 저장하게 만들어 오히려 보안을 약화시킬 수 있다.^[13]

《비밀번호의 기억 용이성과 보안》에 따르면, 구절을 떠올려 각 단어의 첫 글자를 조합하는 방식은 무작위로 생성된 비밀번호만큼 기억하기 쉽고 해킹하기도 어렵다.^[14] 예를 들어, "아침에 일어나 커피 한 잔과 신문을 읽는다"라는 구절에서 "아일커한신읽"과 같은 비밀번호를 만들 수 있다.

두 개 이상의 관련 없는 단어를 결합하고 일부 문자를 특수 문자나 숫자로 바꾸는 것도 좋은 방법이다.^[15] 예를 들어, "고양이"와 "나무"를 조합하여 "고양이#나무2"와 같은 비밀번호를 만들 수 있다. 하지만, "사랑"과 같은 단일 사전 단어는 사용하지 않는 것이 좋다.

구글은 2013년에 가장 흔한 비밀번호 유형 목록을 공개했는데, 이들은 모두 추측하기 쉬워 보안에 취약하다고 밝혔다.^[18]

• 반려동물, 자녀, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일 이름
• 좋아하는 스포츠 팀 관련 정보
• "password"라는 단어

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

4. 1. 비밀번호 보안의 중요성

• 반려동물, 자식, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일의 이름
• 좋아하는 스포츠 팀과 관련한 것
• "password"라는 비밀번호

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

4. 2. 비밀번호 선택 가이드라인 (대한민국)

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

4. 3. 효과적인 비밀번호 생성 방법

• 애완 동물, 자녀, 가족 구성원 또는 중요타인의 이름
• 기념일 및 생일
• 출생지
• 좋아하는 휴일의 이름
• 좋아하는 스포츠 팀과 관련된 것
• "비밀번호"라는 단어

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

5. 비밀번호 시스템의 보안 요소

현대의 경우 비밀번호는 컴퓨터 운영 체제, 휴대 전화, CATV 디코딩 장치, 현금 자동 입출금기 등의 접근 제어를 위해 사용된다. 일반 컴퓨터 사용자는 여러 목적을 위해 비밀번호를 요구할 수 있다.

비밀번호로 보호되는 시스템의 보안은 여러 요인에 따라 달라진다. 전반적인 시스템은 컴퓨터 바이러스, 중간자 공격 등으로부터 보호받도록 견고한 보안을 위해 설계되어야 한다. 어깨 너머 훔쳐보기를 막는 것부터 비디오 카메라 및 키보드 스니퍼와 같은 보다 정교한 물리적 위협에 이르기까지 물리적 보안 문제도 고려해야 한다. 비밀번호는 공격자가 추측하기 어렵고, 사용 가능한 자동 공격 방식을 사용하여 공격자가 발견하기 어렵도록 선택해야 한다.^[20]

요즘에는 컴퓨터 시스템이 비밀번호를 입력할 때 숨기는 것이 일반적인 관행이다. 이 조치의 목적은 주변 사람들이 비밀번호를 읽지 못하도록 하는 것이지만, 일부에서는 이러한 관행이 실수와 스트레스를 유발하여 사용자가 약한 비밀번호를 선택하도록 장려할 수 있다고 주장한다. 대안으로, 사용자는 입력할 때 비밀번호를 표시하거나 숨기는 옵션을 가질 수 있어야 한다.^[20]

효과적인 접근 제어 조항은 비밀번호 또는 생체 인식 토큰을 획득하려는 범죄자에게 극단적인 조치를 강요할 수 있다.^[21] 덜 극단적인 조치에는 강탈, 고문 암호 분석, 부채널 공격이 포함된다.

비밀번호에 대해 생각하고, 선택하고, 처리할 때 고려해야 할 특정 비밀번호 관리 문제는 다음과 같다. 저장된 해시된 암호와 해시 기반 챌린지-응답 인증 사이에는 충돌이 있다. 후자는 클라이언트가 서버에게 공유 비밀 키(즉, 암호)을 알고 있음을 증명해야 하며, 이를 위해 서버는 저장된 형태로부터 공유 비밀 키를 얻을 수 있어야 한다. 많은 시스템(유닉스 유형 시스템 포함)에서 원격 인증을 수행할 때 공유 비밀 키는 일반적으로 해시된 형태가 되며, 오프라인 추측 공격에 암호를 노출하는 심각한 제한이 있다. 또한 해시가 공유 비밀 키로 사용될 때 공격자는 원격 인증을 위해 원래 암호가 필요하지 않으며, 해시만 필요하다. 일반적으로는 사용자 ID와 쌍으로 사용한다. 미리 등록된 해당 사용자 ID의 비밀번호와 조작자에 의해 입력된 비밀번호가 일치하는 것을 통해 조작자가 해당 사용자 ID의 사용자 본인임을 인식한다.

비밀번호 중 숫자만으로 이루어진 것을 특히 PIN이라 한다. 금융 기관의 ATM이나 휴대 전화의 본인 확인에 사용된다.

문자열 길이가 수십 자 이상으로 긴 비밀번호를 특히 '''패스프레이즈'''라고 부르며, 높은 보안이 필요한 시스템에서 사용된다.

대부분의 시스템에서는 비밀번호에 사용할 수 있는 문자는 알파벳 (라틴 문자) 26자 (대문자・소문자가 구별되는 경우에는 52자) 및 일부 기호로 제한되어 있지만, 멀티바이트 문자를 사용할 수 있는 것도 있다. 비밀번호나 신용 카드 번호를 입수하여 타인으로 위장하여 다양한 이익을 얻을 수 있기 때문에, 비밀번호를 부정하게 조사하는 일이 종종 발생한다.

본인만 알고 있다는 것을 전제로 하기 때문에, 입력한 내용은 화면상에 가려져서 표시된다. 예를 들어 "ABCD"라고 입력해도 "●●●●"로 표시되어, 입력한 문자 수만 알 수 있게 되어 있다. 또한, 여러 번 잘못된 비밀번호를 입력하면 시스템이 그 이후의 입력을 거부하도록 되어 있는 경우도 있다.

비밀번호는 임의의 문자열로 구성되지만, 완전히 랜덤인 경우는 거의 없고, 실제로는 기억하기 쉬운 문자열로 구성되는 경우가 많다. 이러한 성질을 이용하여, 사전에 실린 단어나 인명을 입력하여 비밀번호를 발견하는 효율을 높이는 소프트웨어도 있다. 추측하기 어려운 비밀번호로 설정하도록 요구되는 경우가 많고, 새롭게 비밀번호를 만들 때 간단한 문자열을 설정하면 설정 자체가 컴퓨터에 의해 거부되거나, 사이트마다 다른 비밀번호를 설정하도록 요구하기도 한다. 결과적으로 비밀번호를 잊어버리고, 앞서 언급한 바와 같이 잘못된 비밀번호를 여러 번 입력하여 잠겨버리는 문제점도 있다.

현금 카드나 휴대 전화 단말기의 비밀번호는 겨우 4자리만 있는 경우가 많아, 번호를 잊어버렸을 경우, 모든 번호를 시도하는 소프트웨어가 존재한다. 게다가, 비밀번호 발견에는 "피싱"이라고 불리는 수법도 존재한다. 이는 가짜 웹사이트나 이메일을 사용하여 사용자에게 비밀번호를 입력하게 하는 방법이다. 예를 들어, 은행이나 온라인 서비스를 가장한 이메일을 보내, 링크를 클릭하게 하여 가짜 로그인 페이지로 유도한다. 이 페이지에 비밀번호를 입력하면, 공격자에게 그 정보가 전달되는 방식이다.^[101]

또한, 비밀번호의 안전성을 높이기 위해, 2단계 인증/2단계 인증이 권장되고 있다.^[102] 이는 비밀번호에 더하여, 스마트폰으로 전송되는 인증 코드 등, 추가적인 인증 수단을 필요로 하는 것이다. 이를 통해, 비밀번호가 유출되더라도, 공격자가 계정에 접근하는 것을 방지하기 쉬워진다.

비밀번호를 관리하는 도구도 존재한다. 이러한 도구는, 복잡하고 추측하기 어려운 비밀번호를 자동으로 생성하고, 안전하게 보관하는 기능을 가지고 있다. 사용자는 마스터 비밀번호 하나만 기억하면, 다른 모든 비밀번호를 관리할 수 있다. 아이폰에는 이 기능이 기본적으로 탑재되어 있다.^[103]

6. 비밀번호 관리

비밀번호는 접근 제어를 위해 사용되는 비밀 인증 데이터의 한 형식이다. 현대에는 컴퓨터 운영 체제, 휴대 전화, 현금 자동 입출금기 등에서 널리 사용된다. 일반 컴퓨터 사용자는 다양한 목적으로 비밀번호를 사용한다.

소유자가 기억하기 쉬운 비밀번호는 해커가 추측하기 쉽다.^[104] 그러나 기억하기 어려운 비밀번호도 사용자가 비밀번호를 적어두거나, 주기적인 재설정이 필요하거나, 동일한 비밀번호를 다시 사용할 가능성이 높아져 보안을 감소시킬 수 있다.^[105]

2013년 구글은 가장 흔하지만 보안에 취약한 비밀번호 유형 목록을 공개했다.^[107]

• 반려동물, 자식, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일의 이름
• 좋아하는 스포츠 팀과 관련한 것
• "password"라는 비밀번호

6. 1. 비밀번호 변경 절차

6. 2. 비밀번호 수명

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만 사용
• 동일한 문자 반복 또는 쉬운 배열의 문자열
• 너무 짧은 문자열

6. 3. 사용자별 비밀번호 할당

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만 사용
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

6. 4. 비밀번호 보안 강화 기술

• 물리적 보안: 어깨 너머 훔쳐보기를 방지하고, 비디오 카메라 및 키보드 스니퍼와 같은 물리적 위협으로부터 보호한다.^[20]
• 비밀번호 표시 숨김: 입력 시 비밀번호를 숨겨 주변 사람들이 훔쳐보지 못하게 한다. 다만, 사용자에게 표시/숨김 옵션을 제공하는 것이 더 나은 방법일 수 있다.^[20]
• 접근 제어: 범죄자가 비밀번호나 생체 인식 토큰을 획득하기 어렵게 극단적인 조치를 강구한다.^[21] 강탈, 고문 암호 분석, 부채널 공격과 같은 덜 극단적인 조치도 고려한다.
• 비밀번호 추측 횟수 제한:
• 잘못된 추측이 연속으로 몇 번(예: 5회) 발생하면 비밀번호를 비활성화하고 재설정을 요구한다.^[23]
• 더 많은 횟수(예: 30회)의 잘못된 추측이 누적되면 비밀번호 변경을 요구한다.^[23]
• 공격자가 의도적으로 사용자의 장치를 잠그는 서비스 거부 공격을 방지하기 위해 소셜 엔지니어링을 활용할 수 있다.
• 비밀번호 인증 키 합의: 비밀번호 인증 키 합의 시스템은 비밀번호를 전송하거나 해시를 전송하는 대신, 영지식 비밀번호 증명을 수행하여 비밀번호 노출 없이 비밀번호를 알고 있음을 증명한다.
• 보강된 비밀번호 인증 키 합의: AMP, B-SPEKE, PAK-Z, SRP-6과 같은 시스템은 해시 기반 방법의 충돌과 제약을 피한다. 클라이언트는 서버에 비밀번호를 알고 있음을 증명하고, 서버는 해시된 비밀번호만 알고 있어도 접근 권한을 부여할 수 있다.
• 일반적인 기술:
• 비밀번호 입력 시 화면에 표시하지 않거나 별표(*) 또는 글머리 기호(•)를 사용하여 가린다.
• 적절한 길이의 비밀번호를 허용한다. (초창기 레거시 운영체제는 비밀번호를 최대 8자로 제한하여 보안을 약화시켰다.)
• 일정 시간 동안 활동이 없을 경우 비밀번호를 다시 입력하도록 요구한다(반 자동 로그오프 정책).
• 비밀번호 정책을 적용하여 비밀번호 강도 및 보안을 강화한다.
• 무작위로 선택된 비밀번호를 할당한다.
• 최소 비밀번호 길이를 요구한다.^[28]
• 일부 시스템에서는 다양한 문자 클래스의 문자를 요구한다. (예: "최소한 하나의 대문자와 하나의 소문자를 포함해야 합니다")^[41]
• 비밀번호 블랙리스트를 사용하여 약하고 쉽게 추측할 수 있는 비밀번호 사용을 차단한다.
• 키보드 입력 대신 음성 비밀번호 또는 생체 인식 식별자와 같은 대안을 제공한다.
• 2단계 인증(사용자가 가지고 있는 것과 사용자가 아는 것)과 같은 둘 이상의 인증 시스템을 요구한다.
• 암호화된 터널 또는 비밀번호 인증 키 합의를 사용하여 네트워크 공격을 통해 전송된 비밀번호에 접근하는 것을 방지한다.
• 주어진 시간 내에 허용되는 실패 횟수를 제한한다.
• 자동 비밀번호 추측 프로그램을 늦추기 위해 비밀번호 제출 시도 사이에 지연을 도입한다.

7. 비밀번호 재사용 문제

컴퓨터 사용자들이 여러 사이트에서 동일한 비밀번호를 재사용하는 것은 흔한 일이다. 이는 상당한 보안 위험을 초래하는데, 공격자가 피해자가 사용하는 다른 사이트에 접근하기 위해 단 하나의 사이트만 침해하면 되기 때문이다.^[42] 이러한 문제는 사용자 이름을 재사용하고, 웹사이트에서 이메일 로그인을 요구함으로써 더욱 악화된다. 이는 공격자가 여러 사이트에서 단일 사용자를 추적하기 더 쉽게 만들기 때문이다.^[42]

비밀번호 재사용은 연상 기법, 비밀번호를 종이에 적어두는 것, 또는 비밀번호 관리자를 사용하여 피하거나 최소화할 수 있다.^[42]

캐나다 칼턴 대학교의 데이니 플로렌시오와 코맥 허리, 그리고 폴 C. 반 오어쇼트는 비밀번호 재사용이 불가피하며, 사용자는 낮은 보안 수준의 웹사이트(예: 개인 정보가 거의 없고 금융 정보가 없는 웹사이트)에 비밀번호를 재사용하고, 대신 은행 계좌와 같이 중요한 몇몇 계정에 대해서는 길고 복잡한 비밀번호를 기억하는 데 집중해야 한다고 주장했다.^[43]

8. 비밀번호 기록

현대에 비밀번호는 컴퓨터 운영 체제, 휴대 전화, CATV 디코딩 장치, 현금 자동 입출금기 등에서 접근 제어를 위해 사용된다. 일반 컴퓨터 사용자는 여러 목적을 위해 비밀번호를 요구할 수 있다.

소유자가 기억하기 쉬운 비밀번호는 해커가 추측하기 쉽다.^[104] 그러나 기억하기 어려운 비밀번호도 시스템 보안을 저하시킬 수 있다. 사용자가 비밀번호를 따로 적어두거나 전자적으로 저장하고, 주기적인 재설정이 필요하며, 동일한 비밀번호를 다시 사용할 가능성이 높기 때문이다. 비밀번호를 강력하게 만들려면 대소문자와 숫자를 섞거나, 한 달에 한 번씩 변경하는 방법 등이 있다.^[105] 다만, 긴 비밀번호가 다양한 문자가 포함된 짧은 비밀번호보다 더 안전한지에 대해서는 의문이 제기된다.^[106]

2013년 구글은 가장 흔한 비밀번호 유형 목록을 공개했는데, 이들은 모두 보안에 취약하다. 특히 소셜 미디어 사용자를 연구한 결과 보안에 더 취약한 것으로 나타났다.^[107]

• 반려동물, 자녀, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일 이름
• 좋아하는 스포츠 팀 관련 정보
• "password"라는 비밀번호

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 있는 일반적인 영어 단어 하나
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

9. 다단계 인증

다단계 인증은 비밀번호(지식 요소)와 하나 이상의 다른 인증 수단을 결합하여 인증을 더욱 안전하게 하고, 손상된 비밀번호에 대한 취약성을 줄이는 방식이다. 예를 들어, 간단한 2단계 로그인 시도는 로그인 시 문자 메시지, 이메일, 자동 전화 통화 또는 유사한 알림을 보내 비밀번호 외에 추가로 입력해야 하는 코드를 제공한다.^[53] 더 정교한 방식에는 하드웨어 토큰 및 생체 인식 보안 등이 있다.

비밀번호의 안전성을 높이기 위해 2단계 인증이 권장된다.^[102] 이는 비밀번호에 더하여 스마트폰으로 전송되는 인증 코드 등 추가적인 인증 수단을 필요로 하는 것이다. 이를 통해 비밀번호가 유출되더라도 공격자가 계정에 접근하는 것을 방지하기 쉬워진다.

10. 비밀번호 정책

대부분의 조직에서는 비밀번호의 구성 및 사용에 대한 요구 사항을 설정하는 비밀번호 정책을 명시한다. 일반적으로 최소 길이, 필수 범주(예: 대문자 및 소문자, 숫자 및 특수 문자), 금지된 요소(예: 자신의 이름, 생년월일, 주소, 전화 번호 사용) 등을 규정한다.^[56] 일부 정부는 비밀번호 요구 사항을 포함하여 정부 서비스에 대한 사용자 인증에 대한 요구 사항을 정의하는 국가 인증 프레임워크를 가지고 있다.^[56]

많은 웹사이트는 최소 및 최대 길이와 같은 표준 규칙을 시행하지만, 최소 하나의 대문자와 최소 하나의 숫자/기호를 포함하는 것과 같은 구성 규칙도 자주 포함한다. 이러한 규칙은 주로 Bill Burr가 작성한 국립 표준 기술 연구소(NIST)의 2003년 보고서를 기반으로 했다.^[57] 이 보고서는 원래 숫자, 특수 문자 및 대문자를 사용하고 정기적으로 업데이트하는 관행을 제안했다. 2017년 ''월스트리트 저널'' 기사에서 Burr는 이러한 제안을 후회하며 권고한 것에 대해 실수했다고 보고했다.^[58]

2017년 NIST 보고서 개정판에 따르면 많은 웹사이트는 실제로 사용자의 보안에 반대되는 영향을 미치는 규칙을 가지고 있다. 여기에는 복잡한 구성 규칙과 일정 기간이 지난 후 강제적인 비밀번호 변경이 포함된다. 이러한 규칙은 오랫동안 널리 퍼져 있었지만, 사용자 및 사이버 보안 전문가 모두에게 성가시고 비효율적인 것으로 여겨져 왔다.^[59] NIST는 "pA55w+rd"와 같이 기억하기 어려운 "환상적인 복잡성"을 가진 비밀번호 대신 더 긴 구문을 비밀번호로 사용할 것을 권장한다(그리고 웹사이트에 최대 비밀번호 길이를 늘릴 것을 권장한다).^[60] "password"라는 비밀번호를 사용하지 못하는 사용자는 숫자와 대문자를 포함해야 하는 경우 단순히 "Password1"을 선택할 수 있다. 강제적인 정기적인 비밀번호 변경과 결합하면 기억하기는 어렵지만 해킹하기 쉬운 비밀번호로 이어질 수 있다.^[57]

2017년 NIST 보고서의 저자 중 한 명인 Paul Grassi는 다음과 같이 더 자세히 설명했다. "모두가 느낌표가 1, I, 또는 비밀번호의 마지막 문자라는 것을 알고 있다. $는 S 또는 5이다. 이러한 잘 알려진 트릭을 사용하면 어떤 적도 속일 수 없다. 우리는 단순히 비밀번호를 저장하는 데이터베이스를 속여 사용자가 좋은 일을 했다고 생각하게 만들 뿐이다."^[59]

Pieris Tsokkis와 Eliana Stavrou는 비밀번호 생성 도구를 연구하고 개발하여 몇 가지 잘못된 비밀번호 구성 전략을 식별할 수 있었다. 그들은 노출된 비밀번호 목록, 비밀번호 해킹 도구 및 가장 많이 사용되는 비밀번호를 인용한 온라인 보고서를 기반으로 8가지 범주의 비밀번호 구성 전략을 제시했다. 이러한 범주에는 사용자 관련 정보, 키보드 조합 및 패턴, 배치 전략, 워드 프로세싱, 대체, 대문자 사용, 날짜 추가, 이전 범주의 조합이 포함된다.^[61]

총무성은 안전한 비밀번호 설정 및 관리 가이드라인을 발표했다.^[99]

다음 비밀번호는 위험하다.^[99]

• ID와 동일한 문자열
• 본인 또는 가족의 이름, 전화번호, 생년월일
• 사전에 수록된 일반적인 영어 단어 하나만
• 동일한 문자 반복 또는 쉬운 배열 문자열
• 너무 짧은 문자열

11. 비밀번호 크래킹

비밀번호 크래킹은 비밀번호를 알아내기 위해 다양한 방법을 사용하는 것을 의미한다. 소유자가 기억하기 쉬운 비밀번호는 해커가 추측해내기 쉽지만,^[104] 기억하기 어려운 비밀번호도 시스템 보안을 감소시킬 수 있다.^[105] 긴 비밀번호가 다양한 문자가 포함된 더 짧은 비밀번호보다 더 안전한지에 대해서는 의문이 제기되고 있다.^[106]

구글은 2013년에 가장 흔한 비밀번호 유형 목록을 공개했는데, 이들은 모두 보안에 취약하다.^[107] 그 이유는 추측하기 매우 쉽기 때문이다.

• 반려동물, 자녀, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일 이름
• 좋아하는 스포츠 팀과 관련한 것
• "password"라는 비밀번호

보안을 강화하기 위해 추측하기 어려운 비밀번호를 설정하도록 요구하고, 새 비밀번호를 만들 때 간단한 문자열을 설정하면 설정 자체가 컴퓨터에 의해 거부되거나, 사이트마다 다른 비밀번호를 설정하도록 요구하기도 한다.

11. 1. 공격 방법

11. 2. 비밀번호 강도

• 반려동물, 자식, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일의 이름
• 좋아하는 스포츠 팀과 관련한 것
• "password"라는 비밀번호

11. 3. 비밀번호 크래킹 도구

12. 비밀번호 대체 인증 수단

영구적 또는 반영구적 비밀번호가 손상될 수 있는 여러 방식들로 인해, 기존의 비밀번호를 대체하기 위한 다양한 기술들이 개발되었다. 2012년 논문^[73]에서는 비밀번호가 대체되기 어려운 이유를 조사하고, 보안, 사용성, 배포 가능성을 기준으로 30개의 대표적인 대체 제안을 검토한 결과, "어떤 것도 기존 비밀번호가 이미 제공하는 모든 이점을 유지하지 못한다"고 결론 내렸다.^[72]

• ssh와 같은 공개 키 암호화를 기반으로 하는 접근 제어: 필요한 키는 일반적으로 기억하기에는 너무 크므로 로컬 컴퓨터, 보안 토큰, USB 플래시 드라이브 또는 플로피 디스크와 같은 휴대용 메모리 장치에 저장해야 한다. 개인 키는 클라우드 서비스 제공업체에 저장될 수 있으며, 비밀번호 또는 2단계 인증을 사용하여 활성화할 수 있다.
• 싱글 사인온 (SSO): 여러 비밀번호를 가질 필요성을 없애준다.
• Envaulting 기술: USB 플래시 드라이브와 같은 이동식 저장 장치에서 데이터를 보호하는 비밀번호 없는 방식이다. 사용자 비밀번호 대신 접근 제어는 사용자의 네트워크 리소스 접근 권한을 기반으로 한다.
• 2D Key (2차원 키)^[84]: 다중 행 구문, 십자말 풀이, ASCII/유니코드 아트와 같은 키 스타일을 가지고 있으며 선택적으로 텍스트 시맨틱 노이즈를 사용하여, 암호화된 개인 키, 분할된 개인 키 및 로밍 개인 키와 같은 현재 개인 키 관리 기술을 사용하여 128비트를 초과하는 큰 비밀번호/키를 생성하여 MePKC(암기 가능한 공개 키 암호화)를 구현하는 2D 매트릭스 형태의 키 입력 방식이다.^[85]
• 인지 비밀번호: 신원을 확인하기 위해 질문과 답변 큐/응답 쌍을 사용한다.
• 숫자만으로 이루어진 비밀번호는 '''PIN'''이라고 하며, 금융 기관의 ATM이나 휴대 전화의 본인 확인에 사용된다.
• 문자열 길이가 수십 자 이상으로 긴 비밀번호는 '''패스프레이즈'''라고 부르며, 높은 보안이 필요한 시스템에서 사용된다.

12. 1. 일회용 비밀번호 (OTP)

• 일반적인 일회용 비밀번호: 한 번만 유효하므로 많은 잠재적 공격을 막을 수 있다. 개인 온라인 뱅킹에서 거래 인증 번호(TAN)로 널리 사용된다.^[72]
• 시간 동기화 일회용 비밀번호: 입력할 값은 작고 (일반적으로 휴대 가능한) 장치에 표시되며, 1분 정도마다 변경된다.
• 비밀번호 없는 인증: 사용자가 비밀번호를 입력하지 않고도 컴퓨터 시스템에 로그인할 수 있게 해준다. 공개 식별자(사용자 이름, 전화 번호, 이메일 주소 등)를 입력한 후, 등록된 장치나 토큰을 통해 안전하게 신원을 증명한다. 대부분 공개 키 암호화 인프라에 의존한다.^[75][76]
• PassWindow: 사용자가 화면에 표시된 서버 생성 챌린지 이미지 위에 고유하게 인쇄된 시각적 키를 겹쳐 놓을 때만 입력할 동적 문자가 표시되는 방식이다.
• 그래픽 비밀번호: 문자, 숫자, 특수 문자 대신 이미지, 그래픽, 색상을 사용하는 대체 인증 수단이다.^[79] 사용자가 얼굴을 쉽게 얼굴 인식할 수 있는 인간의 두뇌 능력을 활용하여 일련의 얼굴을 비밀번호로 선택하거나,^[80] 일련의 이미지에서 올바른 순서대로 선택하거나,^[81] 무작위로 생성된 이미지 그리드에서 미리 선택한 범주에 맞는 이미지를 찾아 해당 이미지의 영숫자 문자를 입력하는 방식 등이 있다.^[82][83]

12. 2. 시간 동기화 OTP

12. 3. 비밀번호 없는 인증

• 사용자는 공개 식별자(사용자 이름, 전화 번호, 이메일 주소 등)를 입력하라는 요청을 받는다.
• 이후 등록된 장치 또는 토큰을 통해 안전한 신원 증명을 제공하여 인증 절차를 완료한다.

• 공개 키는 인증 서비스(원격 서버, 응용 프로그램 또는 웹사이트)에 등록한다.
• 개인 키는 사용자의 장치(PC, 스마트폰 또는 외부 보안 토큰)에 보관되며, 생체 서명 또는 지식 기반이 아닌 다른 인증 요소를 제공해야만 액세스할 수 있다.

• 일회용 비밀번호 : 한 번만 유효한 비밀번호를 사용하여 많은 잠재적 공격을 막을 수 있다. 개인 온라인 뱅킹에서 거래 인증 번호 (TAN)로 널리 구현되었다.
• 시간 동기화 일회용 비밀번호 : 여러 면에서 일회용 비밀번호와 유사하지만, 입력할 값은 작고 (일반적으로 휴대 가능한) 장치에 표시되며 1분 정도마다 변경된다는 차이점이 있다.
• PassWindow 일회용 비밀번호는 일회용 비밀번호로 사용되지만, 입력할 동적 문자는 사용자가 사용자의 화면에 표시된 서버에서 생성된 챌린지 이미지 위에 고유하게 인쇄된 시각적 키를 겹쳐 놓을 때만 표시된다.
• ssh와 같은 공개 키 암호화를 기반으로 하는 접근 제어. 필요한 키는 일반적으로 기억하기에는 너무 크며 로컬 컴퓨터, 보안 토큰, USB 플래시 드라이브 또는 심지어 플로피 디스크와 같은 휴대용 메모리 장치에 저장해야 한다. 개인 키는 클라우드 서비스 제공업체에 저장될 수 있으며, 비밀번호 또는 2단계 인증을 사용하여 활성화할 수 있다.
• 생체 인식 방법은 변경할 수 없는 개인 특성을 기반으로 하는 인증을 약속하지만, 높은 오류율을 보이며, 지문, 홍채 등과 같은 스캔을 위한 추가 하드웨어가 필요하다.
• 싱글 사인온 기술은 여러 비밀번호를 가질 필요성을 없앤다.
• Envaulting 기술은 USB 플래시 드라이브와 같은 이동식 저장 장치에서 데이터를 보호하는 비밀번호 없는 방식이다. 사용자 비밀번호 대신 접근 제어는 사용자의 네트워크 리소스 접근 권한을 기반으로 한다.
• 그래픽 비밀번호 또는 마우스 이동 기반 비밀번호와 같은 텍스트 기반이 아닌 비밀번호.^[79] 그래픽 비밀번호는 문자, 숫자, 또는 특수 문자 대신 이미지, 그래픽 또는 색상을 사용한다.
• 2D Key (2차원 키)^[84]는 다중 행 구문, 십자말 풀이, ASCII/유니코드 아트와 같은 키 스타일을 가지고 있으며 선택적으로 텍스트 시맨틱 노이즈를 사용하여, 암호화된 개인 키, 분할된 개인 키 및 로밍 개인 키와 같은 현재 개인 키 관리 기술을 사용하여 128비트를 초과하는 큰 비밀번호/키를 생성하여 MePKC(암기 가능한 공개 키 암호화)를 구현하는 2D 매트릭스 형태의 키 입력 방식이다.^[85]
• 인지 비밀번호는 신원을 확인하기 위해 질문과 답변 큐/응답 쌍을 사용한다.

12. 4. 생체 인식

13. "비밀번호는 죽었다"는 주장

현대 사회에서 비밀번호는 컴퓨터 운영 체제, 휴대 전화, 케이블 텔레비전 디코딩 장치, 현금 자동 입출금기 등 다양한 장치의 접근 제어에 널리 사용된다.^[104] 그러나 소유자가 기억하기 쉬운 비밀번호는 해커가 추측하기 쉽고, 기억하기 어려운 비밀번호는 사용자가 따로 적어두거나 동일한 비밀번호를 재사용하는 등의 문제로 보안을 약화시킬 수 있다.^[105]

2013년 구글은 가장 흔하지만 보안에 취약한 비밀번호 유형 목록을 공개했다.^[107]

• 반려동물, 자녀, 가족 구성원, 중요타인의 이름
• 기념일, 생일
• 출생지
• 좋아하는 휴일 이름
• 좋아하는 스포츠 팀 관련 정보
• "password"라는 단어

• 일회용 비밀번호: 한 번만 유효한 비밀번호로, 많은 잠재적 공격을 무력화하지만, 대부분의 사용자는 불편하다고 생각한다. 온라인 뱅킹에서 거래 인증 번호 (TAN)로 널리 구현되었다.
• 시간 동기화 일회용 비밀번호: 일회용 비밀번호와 유사하지만, 입력할 값은 작고 휴대 가능한 장치에 표시되며 1분마다 변경된다.
• 비밀번호 없는 인증: 사용자가 비밀번호를 입력하지 않고 컴퓨터 시스템에 로그인할 수 있게 해준다. 공개 키 암호화 인프라에 의존하는 경우가 많다.^[75][76]
• PassWindow: 일회용 비밀번호의 일종으로, 사용자가 화면에 표시된 서버 생성 챌린지 이미지 위에 고유하게 인쇄된 시각적 키를 겹쳐 놓을 때만 동적 문자가 표시된다.
• ssh와 같은 공개 키 암호화 기반 접근 제어: 필요한 키는 일반적으로 너무 커서 휴대용 메모리 장치에 저장해야 한다.
• 생체 인식 방법: 변경 불가능한 개인 특성을 기반으로 하지만, 높은 오류율과 추가 하드웨어가 필요하다. 젤리 지문 스푸핑 시연^[78]과 같이 쉽게 속일 수 있는 것으로 나타났다.
• 싱글 사인온: 여러 비밀번호를 가질 필요성을 없애지만, 시스템 설계자와 관리자가 개인 접근 제어 정보가 공격에 안전한지 확인해야 한다.
• Envaulting 기술: USB 플래시 드라이브와 같은 이동식 저장 장치에서 데이터를 보호하는 비밀번호 없는 방식이다.
• 그래픽 비밀번호: 텍스트 기반이 아닌 비밀번호.^[79] 문자, 숫자, 특수 문자 대신 이미지, 그래픽, 색상을 사용한다.
• 2차원 키:^[84] 다중 행 구문, 십자말 풀이, ASCII/유니코드 아트와 같은 키 스타일을 가진 2D 매트릭스 형태의 키 입력 방식이다.^[85]
• 인지 비밀번호: 신원 확인을 위해 질문과 답변 큐/응답 쌍을 사용한다.

참조

_[1] 논문 An Efficient Remote User Password Authentication Scheme based on Rabin's Cryptosystem http://link.springer[...] 2016-05-06
_[2] 웹사이트 Average person has 100 passwords - study https://securitybrie[...] NordPass 2020-10-21
_[3] 논문 NIST Special Publication 800-63-3: Digital Identity Guidelines https://pages.nist.g[...] National Institute of Standards and Technology (NIST) 2017-06
_[4] 웹사이트 authentication protocol https://csrc.nist.go[...] Computer Security Resource Center (NIST)
_[5] 웹사이트 Passphrase https://csrc.nist.go[...] Computer Security Resource Center (NIST)
_[6] 웹사이트 Polybius on the Roman Military https://web.archive.[...] 2012-05-20
_[7] 서적 101st Airborne: The Screaming Eagles in World War II https://books.google[...] Mbi Publishing Company
_[8] 잡지 The World's First Computer Password? It Was Useless Too https://www.wired.co[...] 2012-01-27
_[9] 웹사이트 Passwords Evolved: Authentication Guidance for the Modern Era https://www.troyhunt[...] 2017-07-26
_[10] 서적 CTSS Programmers Guide, 2nd Ed. MIT Press 1965
_[11] 논문 Password Security: A Case History. 1978-04-03
_[12] 뉴스 If Your Password Is 123456, Just Make It HackMe https://www.nytimes.[...] 2010-01-10
_[13] 웹사이트 Managing Network Security https://web.archive.[...] Fred Cohen and Associates. All.net
_[14] 웹사이트 The Memorability and Security of Passwords https://web.archive.[...] 2012-05-20
_[15] 서적 Principles of Information Security https://books.google[...] Cengage Learning
_[16] 웹사이트 How to Create a Random Password Generator https://www.pcmag.co[...]
_[17] 서적 Ctrl-Alt-Delete https://books.google[...] Lulu.com 2011
_[18] 뉴스 Google Reveals the 10 Worst Password Ideas https://techland.tim[...] Time 2013-08-08
_[19] 웹사이트 Write your passwords down to improve safety — A counter-intuitive notion leaves you less vulnerable to remote attack, not more. https://www.macworld[...] MacWorld 2015-11-24
_[20] 웹사이트 Lyquix Blog: Do We Need to Hide Passwords? https://web.archive.[...] 2012-05-20
_[21] 뉴스 Malaysia car thieves steal finger https://web.archive.[...] 2005-03-31
_[22] 웹사이트 Top ten passwords used in the United Kingdom https://web.archive.[...] 2012-05-20
_[23] 특허
_[24] 웹사이트 PINs and Passwords, Part 2 http://www.sleuthsay[...] SleuthSayers 2013-08-11
_[25] 서적 Time-Sharing Computer Systems American Elsevier 1968
_[26] 뉴스 Roger Needham https://www.theguard[...] 2003-03-10
_[27] 웹사이트 The Bug Charmer: Passwords Matter https://web.archive.[...] 2013-07-30
_[28] 웹사이트 The Bug Charmer: How long should passwords be? https://web.archive.[...] 2013-07-30
_[29] 웹사이트 passlib.hash - Password Hashing Schemes https://web.archive.[...]
_[30] 웹사이트 An Administrator's Guide to Internet Password Research https://web.archive.[...] 2015-03-14
_[31] 웹사이트 Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g https://web.archive.[...] 2013-07-30
_[32] 논문 Password Security: A Case History https://web.archive.[...]
_[33] 웹사이트 Password Protection for Modern Operating Systems https://web.archive.[...] 2012-05-20
_[34] 웹사이트 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases https://web.archive.[...] 2012-05-20
_[35] 웹사이트 Why You Should Lie When Setting Up Password Security Questions https://web.archive.[...] Techlicious 2013-03-08
_[36] 웹사이트 The problems with forcing regular password expiry https://www.cesg.gov[...] CESG: the Information Security Arm of GCHQ 2016-04-15
_[37] 웹사이트 Schneier on Security discussion on changing passwords https://web.archive.[...] 2010-12-30
_[38] 웹사이트 American Express: Strong Credit, Weak Passwords https://web.archive.[...] 2017-07-12
_[39] 웹사이트 Ten Windows Password Myths https://community.br[...]
_[40] 웹사이트 You must provide a password between 1 and 8 characters in length https://web.archive.[...] 2015-05-21
_[41] 웹사이트 To Capitalize or Not to Capitalize? https://web.archive.[...] 2009-02-17
_[42] 웹사이트 Password Reuse Is All Too Common, Research Shows http://www.pcworld.c[...] 2011-02-10
_[43] 웹사이트 Microsoft: You NEED bad passwords and should re-use them a lot https://www.theregis[...] 2014-07-16
_[44] 뉴스 Forbes: Why You Should Ignore Everything You Have Been Told About Choosing Passwords https://www.forbes.c[...] 2014-11-12
_[45] 웹사이트 Bruce Schneier : Crypto-Gram Newsletter https://web.archive.[...] 2011-11-15
_[46] 웹사이트 Ten Windows Password Myths https://community.br[...]
_[47] 뉴스 Microsoft security guru: Jot down your passwords http://news.cnet.com[...] 2005-05-23
_[48] 웹사이트 The Strong Password Dilemma https://web.archive.[...] 2010-07-18
_[49] 웹사이트 Choosing Random Passwords http://www.burtlebur[...] 2013-01-11
_[50] 웹사이트 The Memorability and Security of Passwords – Some Empirical Results https://web.archive.[...] 2011-02-19
_[51] 웹사이트 Should I write down my passphrase? https://web.archive.[...] 2009-02-17
_[52] 뉴스 Your Estate Could Have a Serious Password Problem https://www.kiplinge[...] 2019-04-19
_[53] 웹사이트 Two-factor authentication https://web.archive.[...] 2016-06-18
_[54] 웹사이트 Microsoft says mandatory password changing is "ancient and obsolete" https://arstechnica.[...] 2019-06-03
_[55] 웹사이트 The Debate Around Password Rotation Policies https://www.sans.org[...] 2020-03-09
_[56] 논문 Improving Usability of Password Management with Standardized Password Policies http://folk.uio.no/j[...]
_[57] 웹사이트 Hate silly password rules? So does the guy who created them https://www.zdnet.co[...] 2017-08-09
_[58] 웹사이트 The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! https://www.wsj.com/[...] 2017-08-07
_[59] 웹사이트 Experts Say We Can Finally Ditch Those Stupid Password Rules http://fortune.com/2[...] 2017-05-11
_[60] 웹사이트 NIST's new password rules – what you need to know https://nakedsecurit[...] 2016-08-18
_[61] 논문 A password generator tool to increase users' awareness on bad password construction strategies 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome 2018
_[62] 웹사이트 Password https://web.archive.[...] 2007-04-23
_[63] 웹사이트 Schneier, Real-World Passwords https://web.archive.[...] 2008-09-23
_[64] 웹사이트 MySpace Passwords Aren't So Dumb https://web.archive.[...] 2014-03-29
_[65] 웹사이트 CERT IN-98.03 http://www.cert.org/[...] 1998-07-16
_[66] 뉴스 The Secret Life of Passwords https://www.nytimes.[...] 2014-11-23
_[67] 웹사이트 Consumer Password Worst Practices (pdf) http://www.imperva.c[...]
_[68] 웹사이트 NATO site hacked https://www.theregis[...] 2011-06-24
_[69] 웹사이트 Anonymous Leaks 90,000 Military Email Accounts in Latest Antisec Attack https://gizmodo.com/[...] 2011-07-11
_[70] 웹사이트 Military Password Analysis http://blog.imperva.[...] 2011-07-12
_[71] 웹사이트 2012 Linkedin Breach had 117 Million Emails and Passwords Stolen, Not 6.5M - Security News https://www.trendmic[...] 2016-05-18
_[72] 웹사이트 The top 12 password-cracking techniques used by hackers https://www.itpro.co[...] 2019-10-14
_[73] 웹사이트 The Quest to Replace Passwords (pdf) http://research.micr[...] IEEE 2012-05-15
_[74] 웹사이트 Gates predicts death of the password http://news.cnet.com[...] 2004-02-25
_[75] 뉴스 Passwordless Authentication: A Complete Guide [2022] - Transmit Security https://www.transmit[...] 2022-01-13
_[76] 뉴스 No password for Microsoft Account: What does passwordless authentication mean? https://www.business[...] 2022-04-12
_[77] 웹사이트 Cryptology ePrint Archive: Report 2005/434 http://eprint.iacr.o[...] 2012-05-20
_[78] 논문 Impact of artificial 'Gummy' Fingers on Fingerprint Systems
_[79] 웹사이트 Using AJAX for Image Passwords – AJAX Security Part 1 of 3 http://waelchatila.c[...] 2012-05-20
_[80] 웹사이트 Face in the Crowd http://mcpmag.com/re[...] 2012-05-20
_[81] 웹사이트 graphical password or graphical user authentication (GUA) http://searchsecurit[...] 2012-05-20
_[82] 웹사이트 Images Could Change the Authentication Picture http://www.darkreadi[...] Dark Reading 2010-11-03
_[83] 웹사이트 Confident Technologies Delivers Image-Based, Multifactor Authentication to Strengthen Passwords on Public-Facing Websites http://www.marketwir[...] 2010-10-28
_[84] 웹사이트 User Manual for 2-Dimensional Key (2D Key) Input Method and System http://www.xpreeli.c[...] 2012-05-20
_[85] 특허 Methods and Systems to Create Big Memorizable Secrets and Their Applications https://patents.goog[...] 2008-12-18
_[86] 뉴스 Gates predicts death of the password https://www.zdnet.co[...] 2004-02-25
_[87] 웹사이트 IBM Reveals Five Innovations That Will Change Our Lives within Five Years http://www-03.ibm.co[...] IBM 2011-12-19
_[88] 잡지 Kill the Password: Why a String of Characters Can't Protect Us Anymore https://www.wired.co[...] 2012-05-15
_[89] 웹사이트 Google security exec: 'Passwords are dead' https://www.cnet.com[...] 2004-02-25
_[90] 웹사이트 Authentciation at Scale http://www.computer.[...] IEEE 2013-01-25
_[91] 뉴스 The Password Is Finally Dying. Here's Mine https://www.wsj.com/[...] 2014-07-14
_[92] 잡지 Russian credential theft shows why the password is dead http://www.computerw[...] 2014-08-14
_[93] 웹사이트 NSTIC head Jeremy Grant wants to kill passwords http://fedscoop.com/[...] Fedscoop 2014-09-14
_[94] 웹사이트 Specifications Overview https://fidoalliance[...] FIDO Alliance 2014-02-25
_[95] 웹사이트 A Research Agenda Acknowledging the Persistence of Passwords http://research.micr[...] IEEE Security&Privacy 2012-01
_[96] 논문 The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes https://www.cl.cam.a[...] University of Cambridge Computer Laboratory 2012
_[97] 논문 The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes 2012
_[98] 문서 personal identification number
_[99] 웹사이트 安全なパスワードの設定・管理 https://www.soumu.go[...] 総務省 2024-10-07
_[100] 뉴스 “パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表　「大文字や数字を入れろ」の強制もNG https://www.itmedia.[...] ITmedia 2024-10-07
_[101] 웹사이트 フィッシング詐欺とは？実例と手口から学ぶ対策と注意事項 https://jp.norton.co[...] 2024-09-14
_[102] 웹사이트 二段階認証とは？仕組みやメリット、二要素認証との違いについて徹底解説｜サイバーセキュリティ.com https://cybersecurit[...] 2024-09-14
_[103] 웹사이트 iPhoneの「パスワード」機能でパスワードを簡単・安全に管理しよう https://xtech.nikkei[...] 2023-03-08
_[104] 뉴스 If Your Password Is 123456, Just Make It HackMe https://www.nytimes.[...] 2010-01-10
_[105] 웹사이트 Managing Network Security http://all.net/journ[...] Fred Cohen and Associates. All.net 2009-03-31
_[106] 웹인용 PINs and Passwords, Part 2 http://www.sleuthsay[...] SleuthSayers 2013-08-11
_[107] 뉴스 Google Reveals the 10 Worst Password Ideas | TIME.com http://techland.time[...] Techland.time.com 2013-08-08