부분 암호

Partial password
모바일 뱅킹 응용 프로그램의 일부 암호 입력 양식

부분 비밀번호는 키 스트로크 기록어깨 서핑을 덜 효과적으로 하기 위한 비밀번호 인증 모드다.[1]

전체 비밀번호가 [2]아닌 비밀번호에서 몇 개의 특정 문자만 입력하도록 사용자에게 요청함으로써 부분 비밀번호는 비밀번호 도난으로부터 사용자를 보호하는 데 도움이 된다.암호의 일부분만 한 번에 공개되기 때문에 키 스트로크 기록이나 숄더 서핑 등의 기법을 이용해 암호를 얻기가 더욱 어려워진다.

David Aspinall과 Mike Just의 논문은 상세한 연구에서 부분적인 암호 구현과 공격에 대해 설명한다.[1]

8자 이상의 암호를 사용하여 11만 개의 시뮬레이션으로 테스트한 Junade Ali는 다음과 같이 언급했다.[3]

  • 패스워드의 58%는 7회 로그인 후, 90%는 12회 로그인 후, 99%는 19회 로그인 후 공개된다.
  • 488,129개의 암호 위반 데이터 집합을 사용했을 때, 테스트된 3자 암호 세그먼트 중 58%는 데이터베이스의 암호에 대해서만 유효했다.또한, 28%는 다른 하나의 암호와 8%는 다른 두 개의 암호와 연관될 수 있다.

부분 암호 확인

암호를 일반 텍스트로 저장하지 않는 것은 좋은 관례로 여겨진다.[4]대신 전체 비밀번호를 확인할 때 암호 해시함수에 패스워드를 전달한 결과를 저장하는 것이 일반적이다.사용자가 전체 암호를 제공하지 않기 때문에 저장된 전체 암호 다이제스트에 대해 확인할 수 없다.일부에서는 요청할 수 있는 각 문자 조합의 다이제스트를 저장할 것을 제안했지만, 이는 다량의 다이제스트를 생성하고 저장하는 결과를 낳는다는 점에 주목한다.[5][6]스토리지 공간과 보안 측면에서 더 나은 해결책은 비밀 공유 체계를 사용하는 것이다.[6][7]

참조

  1. ^ a b ""Give Me Letters 2, 3 and 6!": Partial Password Implementations & Attacks" (PDF). Retrieved 2015-10-14.
  2. ^ "What is partial password verification?". The Co-operative Bank. Archived from the original on 2011-06-28. Retrieved 2011-03-03.
  3. ^ "Banking-Grade Credential Stuffing: The Futility of Partial Password Validation". The Cloudflare Blog. 20 December 2018.
  4. ^ 비밀번호창고
  5. ^ "Partial Passwords and Keystroke Loggers". Retrieved 2011-03-03.
  6. ^ a b "Partial Passwords - How?". Retrieved 2017-08-15.
  7. ^ 부분 암호로 업데이트