비밀구절
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
비밀구절은 비밀번호보다 길고 다양한 문자를 조합하여 보안 강도를 높이는 데 사용되는 보안 방식이다. 비밀번호와 비교하여 무차별 대입 공격이나 사전 공격에 강하며, 기억하기 쉬워 기록으로 인한 도난 위험을 줄일 수 있다. 비밀구절은 충분히 길고, 일반적인 인용구나 문학 작품에서 인용된 구절을 사용하지 않으며, 사이트나 서비스 간에 재사용하지 않는 것이 권장된다. 비밀구절은 다이스웨어, 두문자어 활용, 기억술 등 다양한 방법으로 생성할 수 있으며, 키 파생 함수, 솔트, 해싱 반복 등의 기술을 통해 보안을 강화할 수 있다. 윈도우와 유닉스 계열 운영체제에서 지원되며, 한국의 금융권, 공공기관, 개인 정보 보호 분야에서도 활용될 수 있다.
더 읽어볼만한 페이지
- 암호학 - 양자 컴퓨터
양자 컴퓨터는 양자역학적 현상을 이용하여 정보를 처리하는 컴퓨터로, 큐비트를 통해 0과 1을 동시에 표현하여 특정 연산에서 기존 컴퓨터보다 빠른 속도를 보이며 암호 해독, 신약 개발 등 다양한 분야에 혁신을 가져올 것으로 기대된다. - 암호학 - 암호화
암호화는 정보를 보호하기 위해 사용되는 기술로서, 단순한 문자 치환 방식에서 시작하여 현대에는 강력한 암호화 표준과 다양한 종류로 발전했으며, IT 시스템 전반에 적용되지만, 사이버 공격과 양자 컴퓨팅의 발전에 대한 대응이 필요한 기술이다. - 컴퓨터 보안 - 얼굴 인식 시스템
얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다. - 컴퓨터 보안 - 워터마크
워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.
| 비밀구절 |
|---|
2. 비밀번호와의 비교
비밀번호는 보통 6~10자 정도로 짧다. 이러한 비밀번호는 자주 변경하고, 적절한 정책을 사용하여 선택하며, 사전에서 찾을 수 없고, 충분히 무작위하며, 시스템이 온라인 추측을 방지하는 등의 경우에 다양한 응용 프로그램에 적합할 수 있다. 예를 들어 다음과 같은 경우에 사용할 수 있다.
- 컴퓨터 시스템에 로그인
- 비밀번호 인증 키 합의와 같이 상호 작용 환경에서 키 협상
- 비밀번호 데이터(가급적)를 추출할 수 없는 현금 자동 입출금기 카드에 대한 스마트 카드 또는 PIN 활성화
2. 1. 비밀번호의 취약점
비밀번호는 보통 6~10자 정도로 짧아, 공격자가 오프라인에서 비밀번호를 추측할 수 있는 암호화 시스템 등 독립형 보안 시스템의 키로는 일반적으로 안전하지 않다.[7]비밀구절은 이론적으로 더 강력하여 이러한 경우에 더 나은 선택이 될 수 있다. 비밀구절은 일반적으로 다음과 같은 특징을 갖는다.
- 20~30자 이상으로 길어서 무차별 대입 공격을 어렵게 만든다.
- 잘 선택하면 어떤 구절이나 인용 사전에서도 찾을 수 없으므로 사전 공격이 거의 불가능하다.
- 적어두지 않고도 비밀번호보다 더 쉽게 기억할 수 있도록 구성할 수 있어, 하드 카피 도난 위험을 줄일 수 있다.
그러나 인증자가 비밀구절을 적절하게 보호하지 않고 일반 텍스트 비밀구절이 노출되면, 다른 비밀번호보다 나을 것이 없다. 이러한 이유로 서로 다르거나 고유한 사이트 및 서비스에서 비밀구절을 재사용하지 않는 것이 권장된다.
2012년, 아마존 페이프레이즈 시스템의 비밀구절을 분석한 케임브리지 대학교 연구원 두 명은 영화 제목, 스포츠팀 등 일반적인 문화적 참고 자료 때문에 상당한 비율이 추측하기 쉽다는 것을 발견하여, 긴 비밀번호를 사용하는 잠재력을 크게 잃었다.[8]
2. 2. 비밀구절의 장점
비밀구절은 비밀번호보다 이론적으로 더 강력하여 독립형 보안 시스템의 키로 사용하기에 더 안전하다.[7]| 장점 |
|---|
비밀구절은 추측하기 어렵고, 기억하기 쉬우며, 안전하게 관리해야 하는 중요한 정보이다.
그러나 인증자가 비밀구절을 적절하게 보호하지 않고 일반 텍스트 비밀구절이 노출되면 다른 비밀번호보다 나을 것이 없다. 이러한 이유로 서로 다르거나 고유한 사이트 및 서비스에서 비밀구절을 재사용하지 않는 것이 권장된다.
2012년, 아마존 페이프레이즈(Amazon PayPhrase) 시스템의 비밀구절을 분석한 두 명의 케임브리지 대학교 연구원은 영화 제목, 스포츠팀 등 일반적인 문화적 참고 자료 때문에 상당한 비율이 추측하기 쉽다는 것을 발견하여 긴 비밀번호를 사용하는 잠재력을 크게 잃었다.[8]
암호화에 사용될 때, 일반적으로 비밀구절은 길고 기계가 생성한 키를 보호하며, 키는 데이터를 보호한다. 키는 너무 길어서 데이터에 대한 직접적인 무차별 대입 공격이 불가능하다. 키 파생 함수는 비밀번호 크래킹 공격을 늦추기 위해 수천 번의 반복(솔트 & 해시)을 포함하여 사용된다.
3. 비밀구절 선택
하위 섹션에서 비밀구절을 만드는 방법으로 주사위를 이용해 긴 단어 목록에서 무작위로 단어를 선택하는 다이스웨어 방식과 보안과 사용 편의성 사이의 균형을 맞추는 방법, 무차별 대입 공격을 막기 위해 PBKDF2와 같이 의도적으로 느린 해시 함수를 사용하는 방법을 소개했다.
이 외에도, 두 개의 구문을 조합하여 비밀구절을 만드는 방법이 있다. 예를 들어, "The quick brown fox jumps over the lazy dog"라는 문장을 두문자어로 만들면 "tqbfjotld"가 된다. 이를 "Now is the time for all good men to come to the aid of their country"라는 문장에 포함시키면, "Now is the time for all good tqbfjotld to come to the aid of their country"라는 비밀구절을 만들 수 있다.
하지만 이 예시 비밀구절은 다음과 같은 이유로 좋지 않다.[9]3. 1. 일반적인 조언
충분히 길게 만들어야 한다.[9] 유명한 인용구나 문학 작품 등에서 가져오면 안 된다.[9] 사용자를 잘 아는 사람도 쉽게 추측할 수 없도록 만들어야 한다.[9] 기억하기 쉽고, 정확하게 입력할 수 있도록 만들어야 한다.[9] 보안을 더 강화하기 위해 사용자가 기억하기 쉬운 인코딩 방식을 적용할 수도 있다.[9] 사이트나 애플리케이션마다 다른 비밀구절을 사용해야 한다.[9]
비밀구절을 만드는 한 가지 방법은 주사위를 사용하여 긴 단어 목록에서 무작위로 단어를 선택하는 것이다. 이러한 방식을 다이스웨어라고 부르기도 한다.[9] 예를 들어 7776개의 단어가 있는 목록에서 6개의 단어를 무작위로 선택하면, 77766개의 조합이 가능하며 이는 약 78비트의 엔트로피를 제공한다.[9]
PGP 비밀 구절 FAQ에서는 보안과 사용 편의성 사이의 균형을 맞추는 방법을 제안한다.[10] 비밀 구절을 선택하는 모든 절차는 보안과 사용 편의성 사이의 타협을 포함하며, 상황에 맞게 평가해야 한다.
무차별 대입 공격을 막는 또 다른 방법은 PBKDF2와 같이 의도적으로 느린 해시 함수를 사용하여 비밀 구절에서 키를 생성하는 것이다.
4. 비밀구절 생성 방법
비밀 구절을 만드는 방법에는 다음과 같은 것들이 있다.
- '''다이스웨어''': 주사위를 사용하여 긴 단어 목록에서 무작위로 여러 단어를 선택한다.
- '''두문자어''' 활용: 여러 구문에서 첫 글자를 따서 조합하고, 이를 다른 구문에 넣어 비밀 구절을 만든다.
- '''기억술''' 활용: 기억술을 사용하여 무작위 단어 시퀀스를 기억하기 쉽게 만든다.
이 외에도 PBKDF2와 같이 의도적으로 느린 해시 함수를 사용하여 비밀 구절로부터 키를 생성하는 방법이 있다. 이는 무차별 대입 공격을 막는 데 효과적이다.[10]
비밀 구절을 선택할 때는 보안과 사용 편의성 사이의 균형을 고려해야 한다. 보안은 충분히 강력해야 하며, 사용자가 불편함을 느끼지 않도록 지나치게 복잡해서는 안 된다.[10]
4. 1. 다이스웨어(Diceware)
비밀 구절을 만드는 한 가지 방법은 긴 목록에서 무작위로 단어를 선택하기 위해 주사위를 사용하는 것이다. 이 기술은 종종 다이스웨어라고 한다. 이러한 단어 모음은 "사전에서 나오지 않음" 규칙을 위반하는 것처럼 보일 수 있지만, 보안은 단어 자체의 비밀 유지와는 무관하게, 단어 목록에서 선택할 수 있는 가능한 조합의 수에 전적으로 기반한다. 예를 들어, 목록에 7776개의 단어가 있고 6개의 단어가 무작위로 선택되면 7,7766 = 221,073,919,720,733,357,899,776개의 조합이 생기며, 약 78비트의 엔트로피를 제공한다. (숫자 7776은 5개의 주사위를 던져 단어를 선택할 수 있도록 선택되었다. 7776 = 65) 무작위 단어 시퀀스는 기억술과 같은 기술을 사용하여 암기할 수 있다.[10]4. 2. 두문자어 활용
여러 구문에서 첫 글자를 따서 조합하고, 이를 다른 구문에 넣어 비밀구절을 만들 수 있다. 예를 들어, 두 개의 영어 타자 연습 문장 ''The quick brown fox jumps over the lazy dog''에서 각 단어의 첫 글자를 따면 ''tqbfjotld''가 된다. 이를 ''Now is the time for all good men to come to the aid of their country''에 포함시키면, ''Now is the time for all good tqbfjotld to come to the aid of their country''라는 비밀 구절이 생성된다.[10]4. 3. 기억술 활용
기억술을 사용하여 무작위 단어 시퀀스를 기억하기 쉬운 이야기나 이미지로 변환할 수 있다.[10]5. 비밀구절의 보안 강화
비밀 구절의 보안을 강화하는 방법에는 여러 가지가 있다. 한 가지 방법은 주사위를 사용하여 긴 단어 목록에서 무작위로 단어를 선택하는 것이다. 이 방법을 다이스웨어라고 부르기도 한다. 예를 들어 7776개의 단어 목록에서 6개의 단어를 무작위로 선택하면, 약 78비트의 엔트로피를 제공하는 221,073,919,720,733,357,899,776개의 조합이 가능하다.[10] 이러한 무작위 단어 시퀀스는 기억술과 같은 기술을 사용하여 암기할 수 있다.
또 다른 방법은 두 개의 구문을 선택하여 하나를 두문자어로 만들고, 이를 두 번째 구문에 포함시켜 비밀 구절을 만드는 것이다. 예를 들어, ''The quick brown fox jumps over the lazy dog''라는 영어 문장을 ''tqbfjotld''로 축약하고, 이를 ''Now is the time for all good men to come to the aid of their country''에 포함시키면, ''Now is the time for all good tqbfjotld to come to the aid of their country''라는 비밀 구절을 만들 수 있다.
하지만 이러한 예시 비밀 구절은 다음과 같은 이유로 좋지 않다.
- 공개된 예시이므로 피해야 한다.
- 길이가 길어 타자 오류가 발생하기 쉽다.
- 컴퓨터 보안 침해에 대비하는 개인과 조직은 일반적인 인용문이나 노래 가사 등에서 파생된 비밀번호 목록을 가지고 있다.
PGP 비밀 구절 FAQ는 이론적 보안과 실용성 사이의 균형을 맞춘 절차를 제안한다.[10] 비밀 구절을 선택하는 모든 절차는 보안과 사용 편의성 사이의 균형을 고려해야 한다. 보안은 적어도 "적절"해야 하며, 사용자를 "너무 심각하게" 짜증나게 해서는 안 된다.
무차별 대입 공격을 막는 보조 접근 방식으로는 PBKDF2와 같이 의도적으로 느린 키 파생 함수를 사용하여 비밀 구절에서 키를 파생하는 방법이 있다.
5. 1. 키 파생 함수(Key Derivation Function)
키 파생 함수는 비밀번호 크래킹 공격을 늦추는 데 사용된다. 예를 들어, RFC 2898에 설명된 PBKDF2와 같이 의도적으로 느린 해시 함수를 사용하여 비밀구절에서 키를 생성할 수 있다.[10]5. 2. 솔트(Salt)와 해싱(Hashing) 반복
키 파생 함수는 비밀번호 크래킹 공격을 늦추기 위해 솔트(Salt)를 추가하고 해싱을 반복하는 방법을 사용한다.[7]무차별 대입 공격을 막는 또 다른 보조 접근 방식은 PBKDF2와 같이 의도적으로 느린 키 파생 함수를 사용하여 비밀 구절에서 키를 파생하는 것이다.
6. 운영체제 지원
윈도우와 유닉스 계열 운영체제는 비밀구절을 지원한다. 윈도우의 경우 Windows NT 계열 (윈도우 2000, 윈도우 XP 및 이후 버전 포함)에서 윈도우 암호 대신 비밀구절을 사용할 수 있으며, 14자 이상이면 LM 해시 생성을 방지한다. 유닉스 계열 운영체제는 최대 255자 길이의 비밀구절을 지원한다.
6. 1. 윈도우(Windows)
마이크로소프트 LAN 매니저와의 하위 호환성이 필요하지 않다면, Windows NT 계열 (윈도우 2000, 윈도우 XP 및 이후 버전 포함)에서 윈도우 암호 대신 비밀구절을 사용할 수 있다. 비밀구절이 14자 이상일 경우, 매우 약한 LM 해시 생성을 방지할 수 있다.[1]6. 2. 유닉스 계열(Unix-like)
리눅스, OpenBSD, NetBSD, 솔라리스, FreeBSD에서는 최대 255자 길이의 비밀구절을 사용할 수 있다.7. 한국에서의 활용 및 정책
주어진 결과물이 없어 수정할 수 없습니다. 수정할 결과물을 제공해주시면 위의 지시사항에 따라 검토하고 수정하여 출력해 드리겠습니다.
참조
[1]
논문
A password extension for improved human factors
1982
[2]
논문
Password and Passphrase Guessing with Recurrent Neural Networks
http://dx.doi.org/10[...]
2022-08-27
[3]
웹사이트
Refining the Estimated Entropy of English by Shannon Game Simulation
http://cs.fit.edu/~m[...]
Florida Institute of Technology
2008-03-27
[4]
웹사이트
Electronic Authentication Guideline
http://nvlpubs.nist.[...]
NIST
2016-09-26
[5]
웹사이트
The Great Debates: Pass Phrases vs. Passwords. Part 2 of 3
http://www.microsoft[...]
Microsoft Corporation
2008-03-27
[6]
간행물
Linguistic properties of multi-word passphrases
https://www.cl.cam.a[...]
University of Cambridge
[7]
뉴스
The Secret Life of Passwords
https://www.nytimes.[...]
2014-11-19
[8]
웹사이트
Passphrases only marginally more secure than passwords because of poor choices
https://arstechnica.[...]
2014-12-09
[9]
웹사이트
PINs and Passwords, Part 2
http://www.sleuthsay[...]
SleuthSayers
2013-08-11
[10]
웹사이트
The Passphrase FAQ
http://www.iusmentis[...]
2006-12-11
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com