암호 광기의 세계에서 행복을 찾는 법

Wired 기자

기자 Matt Honan은 복잡한 암호를 통해 가장 귀중한 암호를 해킹했습니다. 사회 공학적 착취. 이 위반은 Apple 및 Amazon 고객 서비스 정책의 보안 결함을 노출했기 때문에 헤드 라인을 장식했습니다. 그러나 Honan 무용담이 수백만 개의 사용자 암호를 한꺼번에 노출하는 서버 침입으로 가득 찬 긴 여름을 장식했음을 잊지 않겠습니다. 6 월 해커는 650 만 개의 LinkedIn 암호를 훔쳐 온라인으로 게시했습니다. 같은 달 침입자는 보안 침해로 약 150 만 건의 eHarmony 암호를 침해했으며 7 월 해커는 야후 보이스 암호 45 만 건을 획득했습니다. 그 야후 회원이 사용하는 가장 일반적인 암호는 "123456", "환영"및 인기있는 "암호"중 하나입니다.

근본적인 문제는이 사이트가 사용자 데이터를보다 잘 보호해야한다는 것이 아닙니다. 그들은 가지고 있어야하지만). 그리고 사용자가 크랙하기 매우 쉬웠던 암호를 선택한 다음 등록한 모든 사이트에서 동일한 허위 암호를 재활용했습니다.

[추가 정보: Windows PC에서 맬웨어를 제거하는 방법]

문제는 암호가 자멸하고 디지털 보안의 대대적 인 계획에서 종종 무의미한 도구가된다는 것입니다. 우리는 너무 많은 사람들이 필요하며 강력한 사람들은 기억하기가 너무 어렵습니다. "요즘 인터넷을 사용하려면 수십 개의 암호와 로그인이 필요합니다."Unisys의 글로벌 보안 솔루션 담당 부사장 인 Terry Hartmann의 말입니다.. "사이트를 다시 방문 할 때마다 암호를 더 복잡하게 만드는 새로운 규칙이 도입 된 것처럼 느껴집니다. 결국 사용자는 모든 것을 위해 하나의 암호를 사용하는 것으로 되돌아갑니다. "

간단히 말해서: 암호 시스템이 고장났습니다. LinkedIn, eHarmony, Yahoo에서 악용 한 모든 암호는 해시되었습니다. 즉, 실제 암호가 알고리즘으로 생성 된 코드로 대체되었습니다. 이것은 서버에 저장된 암호를 해커가 도용 한 영숫자로 변환합니다. 암호가 "officepc"와 같이 간단하다면 해커는 무차별 대칭 또는 무지개 식 테이블을 사용하여 해시 형태로도 쉽게 해독 할 수 있습니다.

하지만 모든 것이 사라지지 않습니다. 숫자 및 특수 문자가 포함 된 복잡한 암호 (실제 이름이나 단어와 유사하지 않음)는 해커에 맞서 싸울 기회를 제공하며,이 코드를 간편한 암호 관리 응용 프로그램에 저장할 수 있습니다. 한편, 웹 사이트는 다단계 인증을 요구하면서 결국 보안을 강화하기 위해 더 많은 노력을하고 있으며, 곧 생체 인식 기술이 대중 시장 보안을 위해 곧 고용 될 것으로 보입니다.

암호 문제는 사라지지 않을 것입니다. 그러나 곧 우리는 악의적 인 사람들보다 한 걸음 더 앞서 나가기 위해 아래에 설명 된 애플리케이션, 서비스 및 신기술에 의존해야 할 것입니다.

비밀번호 보관소

비밀번호 관리 프로그램은 스팸 필터와 유사합니다 디지털 라이프를 관리하는 데 필요한 필수 도구. 좋은 암호 관리자는 모든 로그인을 기억하고 선택한 간단한 암호를 복잡한 암호로 교체하며 사용하는 사이트 나 서비스가 해킹 당하면 암호를 신속하게 변경할 수 있습니다.

가장 중요한 부분: 수십 가지를 기억하는 대신 고유 한 비밀번호 중 하나만 기억하면됩니다. 즉, 볼트의 마스터 비밀번호입니다. 그리고 같은 컴퓨터와 동일한 브라우저에서 항상 로그온하지 않는 경우 (이 경우 AOL 전화 접속 연결에서이 내용을 읽는 것일 수 있습니다), LastPass, 1Password 또는 Roboform과 같은 클라우드 기반 프로그램이 필요할 수 있습니다 귀하가 사용하는 PC, 휴대 전화 또는 태블릿에 로그인하십시오.

단점: 여전히 마스터 비밀번호를 기억해야하며 숫자, 대소 문자 및 물음표와 느낌표와 같은 특수 문자가 혼합 된 좋은 암호 여야합니다.

물론, 시스템에 키로거를 설치하는 공격자는 암호를 입력 할 때 암호를 알아낼 수 있다고 암호 보안을 사용하여 700 개가 넘는 로그인을 저장하는 McAfee의 온라인 보안 전문가 인 Robert Siciliano는 설명합니다. 마찬가지로 범죄자가 2011 년 5 월 LastPass에서 발생한 클라우드 기반 암호 저장소를 해킹하면 게임이 끝날 수 있습니다. LastPass 고객에게는 운 좋게도 2011 년 공격에는 민감한 정보가 누출되지 않았습니다. 다음에 성공적인 침입이 일어날 때 (그리고 어딘가에있는 보안 회사에 일어날 것임), 사용자는 그렇게 운이 좋지 않을 수도 있습니다. 결론: 비밀 번호 관리 저장소는 막대한 가치를 제공하며 누구에게나 필수적인 도구입니다.

다중 요소 인증

암호화 된 볼트에 저장된 복잡한 암호는 첫 번째 단계에 불과합니다. 일부 사이트는 두 번째 수준의 보안을 사용하여 사용자 (일반적으로 적절한 사용자 만 액세스 할 수있는 하드웨어)를 식별합니다. 이렇게하면 암호를 알고있는 공격자조차도 데이터를 훔치기 위해 휴대 전화 나 컴퓨터에 액세스해야합니다.

금융 기관은 온라인 거래를 할 때 여러 요소를 사용하도록 법으로 규정되어 있지만 그렇게 할 수도 있습니다. 그것은 당신의 기계 또는 그 위치를 인증함으로써 백그라운드에서 그것을, Siciliano 말한다. 따라서 예를 들어, 샌프란시스코에 거주하고 있고 상해에있는 누군가가 귀하의 은행 계좌에 액세스하려고 시도하면 해당 거래가 차단되거나 제공된 사람에게 제공된 번호를 입력하여 추가 인증을 제공해야 할 수 있습니다

Google 및 Facebook은 이제 2 단계 인증도 제공합니다. 익숙하지 않은 컴퓨터에서 로그인 할 때마다 임시 PIN을 휴대 전화로 보낼 수 있습니다 (이 PIN은 비밀번호와 함께 제공되어야합니다. 첫 번째로 새 컴퓨터를 통해 로그인을 시도 할 때). 이 안전 장치로 인해 지난 달 매트 하난 (Mat Honan)이 겪은 모든 어려움이 막을 수있었습니다.

Google의 두 부분으로 된 인증 시스템은보다 높은 수준의 보안을 보장하지만 많은 사용자는 실제 사례에서이 기술이 지루하다는 것을 안다.

불행히도, 은행 및 많은 유명 웹 사이트에서 온라인으로 제공되는 대부분의 장소는 다 요인 인증을 제공하지 않습니다. 그 이유 중 일부는 그리 편리하지 않기 때문이며 대다수의 인터넷 사용자는 번거 로움없는 로그인을 위해 보안 거래를 기꺼이 수행합니다.

"2 중 인증이 할머니 테스트를 통과하지는 않습니다."라고 Siciliano는 말합니다. 이는 더 많은 지원 요청, 더 많은 비밀번호 재설정 및 더 높은 비용을 의미합니다. 이것이 일반적으로 잃는 회사가 많이 사용하는 이유입니다. "

Biometrics

생체 인식의 장점은 복잡하지 않은 암호를 기억할 필요가 전혀 없다는 것입니다. 대신 생체 인식 보안 시스템은 사용자의 신원을 인증하기 위해 물리적 포장의 고유 한 특성을 활용합니다. 생체 인식 시스템은 지문, 홍채, 얼굴 및 목소리까지 스캔하여 사람이 서비스 나 작품에 액세스해야하는지 여부를 설정할 수 있습니다 의 하드웨어. 유니시스의 테리 하트만 (Terry Hartmann)은 주요 클라우드 서비스에는 아직 배치되지 않았지만, 주요 은행들이 현재 생체 인식 시스템을 조종하고 있으며 내년에 출시 될 것으로 기대하고있다. 최근 지문 스캐닝 기술을 제공하는 AuthenTec을 인수 한 Apple의 최근 3 억 6 천만 달러는 미래의 Apple 제품에 어떤 형태의 생체 인식 기능이 내장 될 수 있음을 시사합니다.

생체 인식 보안 기능은 이미 많은 노트북에서 사용할 수 있습니다. 그러나 완벽합니다. 연구원은 젤라틴 손가락을 사용하여 지문 스캐너를 조작했으며, 사진을 사용하여 안면 인식 시스템을 속였습니다. 작년 7 월의 BlackHat 컨퍼런스에서 보안 연구원은 이미지 데이터를 리버스 엔지니어링하여 아이리스 스캐너를 속일 수있는 방법을 보여주었습니다.

물론 해커는 중앙 데이터베이스에 저장된 생체 인식 데이터를 타겟팅 할 수 있으며 피해자 대신 자신의 생체 데이터를 대체하여 신원을 도용 할 수 있습니다. 암호 및 기타 개인 식별 정보와 마찬가지로, 생체 인식 보안이 제공하는 보호 수준은 전적으로 데이터를 저장 한 사람의 능력에 달려 있습니다 (우리 모두는 LinkedIn에서 얼마나 효과가 있었는지 알고 있습니다). 로그인시 생체 인식을 요구하면 정치적 반체제 인사, 내부 고발자 및 개인적 또는 전문적 이유로 여러 신분으로 거주하는 사람들에 대한 익명 성 (불가능하지는 않지만)

Minority Report

- 정부의 감시로 인해 많은 소비자들이 잠시 멈출 수도 있습니다.

AOptix Technologies의 제품 마케팅 디렉터 인 Joseph Pritikin은 공항과 국경을 넘나 드는 홍채 인식 스캐너 제조업체입니다. 데이터가 장치 자체에 안전하게 저장 될 수 있기 때문에 생체 인식을 사용하는 스마트 폰이 미래의 핵심 식별 장치 중 하나가 될 것이라고 예측합니다. ""내가 가진 것과 내가 가지고있는 것의 조합이 될 것입니다. 가장 가능성있는 스마트 폰 "이라고 Pritikin은 말합니다. "하드웨어 기반 암호화는 절충하기가 어려울 것입니다."

모두를 통치하는 하나의 ID 궁극적으로 암호 피로에 대한 이상적인 솔루션은 모든 다른 로그인과 온라인 ID를 통합하는 것입니다. 2011 년 4 월에 오바마 행정부에 들어가서 소비자가 모든 검증 시스템을 사용할 수 있고 모든 사이트에서 원활하게 작동하도록하는 신원 생태계를 개발하기 위해 사이버 스페이스의 신뢰할 수있는 신원에 대한 국가 전략 (National Strategy for Cyberspace)을 공개했습니다.

이러한 시스템은 와인을 온라인으로 구매할 수있을 정도로 오래 됐는지 또는 각 개인 정보를 반드시 공유하지 않고도 학생 할인 혜택을받을 수 있는지를 확인할 수 있습니다. OneID의 수석 보안 전문가 인 Jim Fenton은 다음과 같이 말합니다. 인터넷 신원 관리 시스템. 이 시스템은 또한 당신이 롤백하기를 원한다면 가명으로 운영 할 수있게합니다. 그러나 정부의 바퀴는 천천히 움직입니다. 지난 달 NTSIC의 운영위원회는 첫 번째 회의를 가졌습니다. 운영위원회의 개인 정보 보호 그룹 회원 인 펜톤 (Fenton)은 결국 결국 해결해야 할 문제는 당사자간에 얼마나 많은 정보가 공유되어야하는지, 그리고 소비자가 정보에 대해 얼마나 많은 통제력을 가져야하는지에 관한 것입니다. 다시 말해서: 도움말 도중에 있지만, 곧 여기 오지는 않을 것입니다. 그동안 암호가 붙어 있습니다. 좋은 것을 만들고 열쇠가 잠겨 있는지 확인하십시오.