해커가 귀하의 온라인 계정을 폭파하기 위해 사용하는 비밀번호 크래킹 기술을 이해하는 것은 이러한 일이 발생하지 않도록 하는 좋은 방법입니다.
항상 비밀번호를 변경해야 하며 때로는 생각보다 더 긴급하게 변경해야 하지만 도난을 방지하는 것은 계정 보안을 최상으로 유지하는 좋은 방법입니다. 당신은 항상 향할 수 있습니다 www.haveibeenpwned.com 위험에 처해 있는지 확인하려고 하지만 단순히 비밀번호가 해킹당하지 않을 만큼 안전하다고 생각하는 것은 나쁜 사고방식입니다.
따라서 해커가 보안 여부에 관계없이 귀하의 비밀번호를 알아내는 방법을 이해하는 데 도움을 주기 위해 해커가 사용하는 상위 10가지 비밀번호 크래킹 기술 목록을 정리했습니다. 아래 방법 중 일부는 확실히 구식이지만 그렇다고 아직 사용되지 않는다는 의미는 아닙니다. 주의 깊게 읽고 무엇을 완화해야 하는지 알아보세요.
해커가 사용하는 상위 10가지 비밀번호 해독 기술
1. 피싱
해킹하는 쉬운 방법이 있습니다. 사용자에게 비밀번호를 물어보세요. 피싱 이메일은 의심하지 않는 독자를 해당 서비스와 관련된 스푸핑된 로그인 페이지로 연결합니다. 해커는 일반적으로 사용자에게 자신의 컴퓨터에 심각한 문제를 바로잡도록 요청하여 액세스하려고 합니다. 보안. 그런 다음 해당 페이지에서 비밀번호를 훑어보면 해커가 자신의 목적에 맞게 비밀번호를 사용할 수 있습니다.
사용자가 어쨌든 암호를 기꺼이 알려줄 것인데 왜 굳이 암호를 해독하는 수고를 합니까?
2. 사회 공학
소셜 엔지니어링은 피싱이 현실 세계에 고착되는 경향이 있는 받은 편지함 외부에서 전체 "사용자에게 물어보기" 개념을 취합니다.
소셜 엔지니어가 가장 좋아하는 방법은 IT 보안 기술자로 가장하여 사무실에 전화하여 네트워크 액세스 비밀번호를 묻는 것입니다. 이것이 얼마나 자주 작동하는지 놀라실 것입니다. 어떤 사람들은 사업장에 들어서기 전에 접수원에게 똑같은 질문을 직접 하기 전에 양복과 명찰을 착용하는 데 필요한 생식선을 갖고 있기도 합니다.
많은 기업이 보안이 제대로 이루어지지 않았거나 사람들이 너무 친절하다는 사실이 여러 번 입증되었습니다. 예를 들어 유니폼을 입거나 흐느껴 울기 때문에 사람들이 민감한 장소에 접근할 수 있도록 허용하는 등 신뢰해서는 안 될 때 신뢰합니다. 이야기.
3. 악성 코드
악성 코드는 모든 것을 기록하는 스크린 스크레이퍼라고도 알려진 키로거 등 다양한 형태로 제공됩니다. 로그인 프로세스 중에 입력하거나 스크린샷을 찍은 다음 이 파일의 복사본을 해커에게 전달합니다. 본부.
일부 악성 코드는 웹 브라우저 클라이언트 비밀번호 파일의 존재를 찾아 복사합니다. 적절하게 암호화되지 않은 경우 사용자의 탐색을 통해 쉽게 액세스할 수 있는 저장된 비밀번호가 포함됩니다. 역사.
4. 사전 공격
사전 공격은 사전에서 찾을 수 있는 단어가 포함된 간단한 파일을 사용하므로 이름이 다소 간단합니다. 즉, 이 공격은 많은 사람들이 비밀번호로 사용하는 것과 똑같은 단어를 사용합니다.
"letmein" 또는 "superadministratorguy"와 같은 단어를 교묘하게 그룹화해도 이러한 방식으로 비밀번호가 해독되는 것을 막을 수는 없습니다. 음, 몇 초 이상은 걸리지 않습니다.
5. 레인보우 테이블 공격
레인보우 테이블은 이름에서 알 수 있듯이 화려하지는 않지만 해커의 경우 비밀번호가 끝에 있을 수 있습니다. 가능한 가장 간단한 방법으로 레인보우 테이블을 미리 계산된 해시 목록(비밀번호를 암호화할 때 사용되는 숫자 값)으로 요약할 수 있습니다. 이 테이블에는 특정 해싱 알고리즘에 대해 가능한 모든 비밀번호 조합의 해시가 포함되어 있습니다. 레인보우 테이블은 단순히 목록에서 무언가를 찾는 것만으로도 비밀번호 해시를 해독하는 데 필요한 시간을 줄여주기 때문에 매력적입니다.
그러나 레인보우 테이블은 거대하고 다루기 힘든 것입니다. 실행하려면 상당한 컴퓨팅 성능이 필요하며 해시를 시도하면 테이블이 쓸모 없게 됩니다. find는 해싱하기 전에 비밀번호에 임의의 문자를 추가하여 "솔트"되었습니다. 연산.
소금에 절인 무지개 테이블이 존재한다는 이야기가 있지만 실제로 사용하기 어려울 정도로 크기가 큽니다. 그렇지 않으면 테이블의 크기가 국가 수준의 해커에게도 금지되기 때문에 사전 정의된 "임의 문자" 세트와 12자 미만의 비밀번호 문자열에서만 작동할 가능성이 높습니다.
6. 스파이더링
노련한 해커들은 많은 회사 비밀번호가 비즈니스 자체와 연결된 단어로 구성되어 있다는 사실을 깨달았습니다. 기업 문헌, 웹사이트 판매 자료, 심지어 경쟁사 및 상장 고객의 웹사이트까지 연구하면 무차별 대입 공격에 사용할 사용자 정의 단어 목록을 구축하는 데 필요한 자료를 얻을 수 있습니다.
정말 능숙한 해커들이 프로세스를 자동화하고 웹과 유사한 스파이더링 애플리케이션을 허용했습니다. 주요 검색 엔진에서 사용하는 크롤러는 키워드를 식별한 다음 목록을 수집하고 대조합니다. 그들을 위해.
7. 오프라인 크래킹
보호하는 시스템이 서너 번의 잘못된 추측 후에 사용자를 차단하고 자동화된 추측 애플리케이션을 차단하면 비밀번호가 안전하다고 상상하기 쉽습니다. 글쎄, 대부분의 비밀번호 해킹이 손상된 시스템에서 '얻은' 비밀번호 파일의 해시 세트를 사용하여 오프라인에서 발생한다는 사실이 아니라면 그것은 사실일 것입니다.
종종 문제의 대상은 제3자의 해킹을 통해 손상되었으며, 이로 인해 시스템 서버와 가장 중요한 사용자 비밀번호 해시 파일에 대한 액세스가 제공됩니다. 그러면 비밀번호 크래커는 대상 시스템이나 개별 사용자에게 알리지 않고 코드를 해독하는 데 필요한 만큼의 시간이 걸릴 수 있습니다.
8. 무차별 공격
사전 공격과 마찬가지로 무차별 대입 공격에는 해커에게 추가 보너스가 제공됩니다. 단순히 단어를 사용하는 대신 무차별 대입 공격을 통해 aaa1부터 zzz10까지 가능한 모든 영숫자 조합을 통해 사전에 없는 단어를 탐지할 수 있습니다.
비밀번호가 몇 자 이상이면 빠르지는 않지만 결국에는 비밀번호가 노출됩니다. 다음을 포함한 두 가지 처리 능력 측면에서 컴퓨팅 성능을 추가하면 무차별 대입 공격을 단축할 수 있습니다. 온라인 비트코인과 같은 분산 컴퓨팅 모델을 사용하는 등 비디오 카드 GPU 및 기계 번호의 성능을 활용합니다. 광부.
9. 숄더 서핑
사회 공학의 또 다른 형태인 숄더 서핑은 말 그대로 사람이 자격 증명, 비밀번호 등을 입력하는 동안 어깨 너머로 엿보는 것을 수반합니다. 개념은 매우 낮은 수준의 기술이지만 이런 방식으로 얼마나 많은 비밀번호와 민감한 정보가 도난당하는지 놀라실 수 있으므로 은행 계좌 등에 접근할 때 주변 환경에 주의하세요. 진행되는.
가장 자신감 있는 해커는 소포 배달원, 에어컨 서비스 기술자 또는 사무실 건물에 접근할 수 있는 다른 모든 것으로 가장할 것입니다. 일단 들어가면 서비스 직원 "유니폼"이 방해받지 않고 돌아다닐 수 있는 일종의 무료 이용권을 제공하고 실제 직원이 입력하는 비밀번호를 기록해 둡니다. 또한 로그인 정보가 적힌 LCD 화면 전면에 붙어 있는 모든 포스트잇을 눈으로 볼 수 있는 훌륭한 기회를 제공합니다.
10. 추측하다
물론 비밀번호 크래커의 가장 좋은 친구는 사용자의 예측 가능성입니다. 작업 전용 소프트웨어를 사용하여 진정한 무작위 비밀번호를 생성하지 않는 한, 사용자가 생성한 '임의' 비밀번호는 그런 종류의 비밀번호가 아닐 가능성이 높습니다.
대신, 우리가 좋아하는 것에 대한 우리 두뇌의 정서적 애착 덕분에 무작위 비밀번호는 우리의 관심사, 취미, 애완동물, 가족 등에 기반을 두고 있을 가능성이 높습니다. 실제로 비밀번호는 우리가 소셜 네트워크에서 채팅하고 싶어하는 모든 내용을 기반으로 하는 경향이 있으며 심지어 프로필에도 포함됩니다. 비밀번호 크래커는 이 정보를 보고 몇 가지(종종 정확한 정보)를 교육할 가능성이 높습니다. 사전이나 무차별 대입을 사용하지 않고 소비자 수준 비밀번호를 해독하려고 시도할 때 추측합니다. 공격.
주의해야 할 기타 공격
해커에게 부족한 것이 있다면 그것은 창의성이 아닙니다. 다양한 기술을 사용하고 끊임없이 변화하는 보안 프로토콜에 적응하면서 이러한 침입자는 계속해서 성공을 거두고 있습니다.
예를 들어, 소셜 미디어의 모든 사용자는 첫 번째 자동차, 좋아하는 음식, 14번째 생일에 가장 좋아하는 노래에 대해 이야기하라는 재미있는 퀴즈와 템플릿을 본 적이 있을 것입니다. 이러한 게임은 무해해 보이고 게시하기에 확실히 재미있지만 실제로는 보안 질문 및 계정 액세스 확인 답변을 위한 공개 템플릿입니다.
계정을 설정할 때 실제로 귀하와 관련이 없지만 쉽게 기억할 수 있는 답변을 사용해 보십시오. “당신의 첫 번째 차는 무엇이었나요?” 솔직하게 대답하는 대신 꿈의 자동차를 대신 배치하세요. 그렇지 않으면 보안 답변을 온라인에 게시하지 마세요.
액세스 권한을 얻는 또 다른 방법은 비밀번호를 재설정하는 것입니다. 비밀번호를 재설정하는 침입자에 대한 최선의 방어선은 자주 확인하는 이메일 주소를 사용하고 연락처 정보를 최신 상태로 유지하는 것입니다. 가능하다면 항상 2단계 인증을 활성화하세요. 해커가 귀하의 비밀번호를 알아내더라도 고유 인증 코드가 없으면 계정에 접근할 수 없습니다.
해커로부터 자신을 보호하는 모범 사례
- 모든 계정에 대해 강력하고 고유한 비밀번호를 유지하세요. 비밀번호 관리자를 사용할 수 있습니다.
- 임의로 링크를 클릭하거나 이메일에 포함된 파일을 다운로드하지 마십시오. 전혀 하지 않는 것이 가장 좋지만 활성화 이메일은 이를 방지합니다.
- 정기적으로 보안 업데이트를 확인하고 적용하세요. 대부분의 업무용 컴퓨터는 이를 허용하지 않을 수 있으며 시스템 관리자가 이러한 사항을 처리합니다.
- 새 컴퓨터나 드라이브를 사용할 때는 암호화 사용을 고려하세요. 데이터가 포함된 HDD/SSD를 암호화할 수 있지만 추가 정보로 인해 몇 시간 또는 며칠이 걸릴 수 있습니다.
- 최소 권한 개념을 사용합니다. 즉, 필요한 항목에만 액세스 권한을 부여한다는 뜻입니다. 기본적으로 본인이나 친구, 가족이 일상적으로 컴퓨터를 사용할 수 있도록 관리자가 아닌 사용자 계정을 만드세요.
자주 묻는 질문
사이트마다 다른 비밀번호가 필요한 이유는 무엇입니까?
비밀번호를 알려주면 안 되고 익숙하지 않은 콘텐츠를 다운로드하면 안 된다는 사실을 알고 계실 것입니다. 하지만 매일 로그인하는 계정은 어떻습니까? Grammarly와 같은 임의 계좌에 사용하는 것과 동일한 비밀번호를 은행 계좌에 사용한다고 가정해 보세요. Grammarly가 해킹되면 사용자는 귀하의 은행 비밀번호도 알게 됩니다(그리고 귀하의 모든 금융 자원에 더욱 쉽게 접근할 수 있도록 해주는 이메일도 있을 수 있습니다).
내 계정을 보호하려면 어떻게 해야 합니까?
이 기능을 제공하는 모든 계정에서 2FA를 사용하고, 각 계정에 고유한 비밀번호를 사용하고, 문자와 기호를 혼합하여 사용하는 것이 해커에 대한 최선의 방어선입니다. 앞서 언급했듯이 해커가 귀하의 계정에 접근하는 방법은 다양하므로 다음 사항을 확인해야 합니다. 귀하가 정기적으로 하고 있는 일은 소프트웨어와 앱을 최신 상태로 유지하고(보안 패치를 위해) 익숙하지 않은 다운로드를 피하는 것입니다. 와 함께.
비밀번호를 유지하는 가장 안전한 방법은 무엇입니까?
여러 가지 독특하고 이상한 비밀번호를 유지하는 것은 엄청나게 어려울 수 있습니다. 계정이 손상되는 것보다 비밀번호 재설정 프로세스를 진행하는 것이 훨씬 낫지만 시간이 많이 걸립니다. 비밀번호를 안전하게 유지하려면 Last Pass 또는 KeePass와 같은 서비스를 사용하여 모든 계정 비밀번호를 저장할 수 있습니다.
또한 고유한 알고리즘을 사용하여 비밀번호를 유지하면서 기억하기 쉽게 만들 수도 있습니다. 예를 들어 PayPal은 hwpp+c832와 같을 수 있습니다. 기본적으로 이 비밀번호는 URL의 각 구분 기호의 첫 번째 문자입니다( https://www.paypal.com) (예를 들어) 집에 있는 모든 사람의 출생 연도의 마지막 숫자를 입력하세요. 계정에 로그인할 때 이 비밀번호의 처음 몇 글자를 알려주는 URL을 확인하세요.
비밀번호를 해킹하기 더욱 어렵게 만들려면 기호를 추가하되 기억하기 쉽도록 정리하세요. 예를 들어 "+" 기호는 엔터테인먼트와 관련된 모든 계정에 사용할 수 있는 반면 "!" 기호는 엔터테인먼트와 관련된 모든 계정에 사용할 수 있습니다. 금융계좌로 사용할 수 있습니다.
온라인 안전 실천
전 세계 곳곳에서 순식간에 소통이 이뤄지는 글로벌 시대에 모든 사람이 좋은 의도를 갖고 있는 것은 아니라는 점을 기억하는 것이 중요하다. 비밀번호와 소셜 미디어 정보 유출 인식을 적극적으로 관리하고 업데이트하여 온라인에서 자신을 보호하세요. 공유는 배려이지만 사이버 범죄자의 쉬운 표적이 되기 위해 개인 정보를 공유하는 것은 아닙니다.
