Microsoft의 보안 전문가는 쉽게 잊을 수 있는 다중 케이스 영숫자 ID 코드 문자열을 사용하지 않는 보안 암호를 생성하기 위한 새로운 개념을 고안했습니다.
이 개념은 사용자가 자신의 비교적 간단한 암호를 선택할 수 있도록 허용하는 데 의존합니다. 시스템의 너무 많은 다른 사람들이 선택하지 않으므로 무작위 추측을 통한 공격의 성공률이 떨어집니다.
통계 추측 공격의 매력적인 대상이 아닌 한 사용자가 원하는 모든 암호를 허용합니다.
Stuart Schechter와 Cormac Herley는 "우리는 오늘날의 복잡한 비밀번호 정책을 단순한 정책으로 대체할 것을 제안했습니다. 인기가 전부다 보고서. "통계적 추측 공격의 대상이 아닌 한 사용자가 원하는 모든 암호를 허용할 것입니다."
비밀번호 보호에 대한 최근 추세는 더 길고 더 복잡한 ID를 사용하는 것입니다. 해커가 각 사용자에 대해 수백만 개의 암호를 시도하는 것을 목표로 하는 "사전 공격"을 저지하도록 설계되었습니다. 계정.
복잡한 암호 규칙 – "최소 12자 이상 포함, 대문자와 소문자 혼합 포함"과 같은 문자, 숫자 및 하나 이상의 기호” – 해커가 사전 공격을 사용하여 암호를 추측하기 어렵게 만듭니다.
그러나 IT 관리자는 예를 들어 세 번의 로그인 시도 실패 후 계정을 잠그는 방식으로 이러한 암호를 적용하고 보호해야 하며 이로 인해 높은 지원 비용이 발생한다고 연구원들은 말했습니다.
연구원들에 따르면 해커들은 점점 더 복잡해지는 암호라는 개념을 완전히 뒤집어 놓고 작업했습니다.
각 계정에 수십만 개의 암호를 적용하는 대신 공격자는 가장 일반적으로 사용되는 암호를 선택하여 수천 개의 계정에 적용하고 있습니다.
연구원의 계획은 단순히 얼마나 많은지 세어 통계적 추측 공격으로부터 보호합니다. 사용자가 주어진 암호를 선택하는 횟수와 해당 제한에 도달하면 더 이상 사용자가 암호를 선택할 수 없습니다. 비밀번호.
보고서는 "비밀번호 생성 규칙을 대중성 제한으로 대체하면 보안과 유용성을 모두 높일 수 있는 잠재력이 있다"고 말했다.
"비밀번호가 너무 보편화되는 것은 허용되지 않기 때문에 공격자는 온라인 추측을 사용하여 계정의 상당 부분을 손상시키는 데 필요한 인기 있는 비밀번호를 박탈당합니다."
현재의 생각과는 크게 다르지만 이 시스템은 Google, Facebook 또는 Hotmail과 같이 수십만 명의 사용자가 있는 시스템에서만 작동합니다.
