비밀번호 강도

Password strength
암호에 대한 조직 규칙은 암호 정책을 참조하십시오.
KeyPass에서 임의 암호 생성 도구의 옵션 메뉴. 문자 하위 집합을 더 많이 사용 가능으로 설정하면 생성된 암호의 강도는 소량 증가하지만, 길이가 증가하면 강도는 크게 증가한다.

암호 강도는 추측이나 무차별 공격에 대한 암호의 효과의 척도다. 통상적인 형태에서, 그것은 비밀번호에 직접 접근할 수 없는 공격자가 그것을 정확히 추측하기 위해 평균적으로 얼마나 많은 시련이 필요한지를 추정한다. 암호의 강도는 길이, 복잡성, 예측불가능성의 함수다.[1]

강력한 암호를 사용한다고 해서 전체적인 보안 침해 위험이 낮아지지만, 강력한 암호가 다른 효과적인 보안 통제의 필요성을 대신하지는 않는다.[2] 주어진 강도의 암호의 효율성은 요소(지식, 소유권, 일관성)의 설계와 구현에 의해 강력하게 결정된다. 첫 번째 요인은 이 글의 주요 초점이다.

공격자가 추측된 비밀번호를 시스템에 제출할 수 있는 속도는 시스템 보안을 결정하는 핵심 요인이다. 일부 시스템은 소수의 비밀번호 입력 시도 실패 후(예: 3초) 수 초의 제한 시간을 부과한다. 다른 취약성이 없는 경우, 그러한 시스템은 비교적 간단한 비밀번호로 효과적으로 보안될 수 있다. 그러나 시스템은 사용자의 암호에 대한 정보를 어떤 형태로든 저장해야 하며, 예를 들어 시스템 보안을 침해함으로써 그러한 정보가 도난당하면 사용자의 암호가 위험에 처할 수 있다.

2019년에 영국의 NCSC는 사람들이 어떤 단어, 구문, 문자열을 사용하는지 알아보기 위해 침해된 계정의 공공 데이터베이스를 분석했다. 1위는 123456으로 2300만개가 넘는 비밀번호에 등장했다. 두 번째로 인기 있는 끈인 123456789는 크래킹하기가 그리 어렵지 않은 반면, 상위 5개 끈에는 "큐어티", "비밀번호" 그리고 1111111이 포함되어 있었다.[3]

비밀번호생성

비밀번호는 (임의화 장비를 사용하여) 자동으로 생성되거나 사람에 의해 생성된다. 후자의 경우는 더 흔하다. 무차별적으로 선택한 암호의 강도는 무차별 공격 시 정확하게 계산할 수 있지만, 인간이 생성한 암호의 강도는 결정하기 어렵다.

일반적으로, 사람들은 컴퓨터 시스템이나 인터넷 웹사이트의 새로운 계정을 만들 때 때때로 제안들에 의해 안내되거나 규칙들의 세트에 의해 제한되는 비밀번호를 선택하도록 요청 받는다. 인간은 그러한 작업에서 패턴을 따르는 경향이 있기 때문에 힘의 대략적인 추정만이 가능하며, 그러한 패턴은 보통 공격자를 도울 수 있다.[4] 또한, 일반적으로 선택되는 비밀번호 목록은 비밀번호 추측 프로그램에서 널리 사용될 수 있다. 그러한 목록에는 다양한 인간 언어를 위한 수많은 온라인 사전, 일반 텍스트의 침해된[clarification needed] 데이터베이스, 다양한 온라인 비즈니스 및 소셜 계정의 해시[clarification needed] 암호와 기타 일반적인 암호가 포함된다. 그러한 목록에 있는 모든 항목은 단순히 수정되는 비밀번호처럼 약한 것으로 간주된다.

오늘날에는 사용하기 쉽도록 만들어진 임의의 비밀번호 생성 프로그램이 있지만, 그것들은 보통 비밀번호를 기억하기 어렵고 무작위로 생성되어, 종종 사람들이 그들 자신의 비밀번호를 선택하는 것을 선호하게 만든다. 그러나, 온라인 소셜 미디어의 보급으로 사람들에 대한 정보 획득이 훨씬 쉬워진 반면, 개인의 생활 방식, 오락 선호도 및 기타 주요 개인주의적인 자질들이 대개 비밀번호 선택에 영향을 미치기 때문에 이것은 본질적으로 불안하다.

비밀번호 추측 유효성 검사

인증에 암호를 사용하는 시스템은 액세스 권한을 얻기 위해 입력한 암호를 확인할 수 있는 방법이 있어야 한다. 유효한 암호가 단순히 시스템 파일이나 데이터베이스에 저장되는 경우, 시스템에 대한 충분한 액세스 권한을 얻는 공격자는 모든 사용자 암호를 얻게 되며, 공격 받은 시스템의 모든 계정과 사용자가 동일하거나 유사한 암호를 사용하는 다른 시스템에 대한 액세스 권한을 공격자에게 부여한다. 이러한 위험을 줄이는 한 가지 방법은 암호 자체 대신 각 암호의 암호 해시만 저장하는 것이다. 시큐어 해시 알고리즘(SHA) 시리즈와 같은 표준 암호 해시는 되돌리기 매우 어렵기 때문에 해시 값을 손에 넣은 공격자는 암호를 직접 복구할 수 없다. 그러나 해시 값에 대한 지식은 공격자가 오프라인에서 신속하게 추측을 테스트할 수 있게 해준다. 암호 크래킹 프로그램은 많은 수의 평가판 암호를 정리한 암호 해시에 대해 테스트할 수 있는 널리 이용 가능하다.

컴퓨터 기술의 발전은 추측된 비밀번호가 시험될 수 있는 비율을 계속 증가시키고 있다. 예를 들어 2010년 조지아 공대 연구소GPGPU를 사용하여 암호를 훨씬 더 빨리 해독하는 방법을 개발했다.[5] 엘컴소프트는 2007년 8월 더 빠른 비밀번호 복구를 위해 공통 그래픽 카드 사용을 발명했고 곧 미국에 해당 특허를 출원했다.[6] 2011년까지 표준 데스크탑 컴퓨터에서 그 시간 동안 고급 그래픽 프로세서를 사용하여 초당 최대 11만 2천 개의 암호를 테스트할 수 있다고 주장하는 상용 제품이 출시되었다.[7] 이런 장치는 하루 만에 6글자짜리 단일 케이스 비밀번호를 깨트릴 것이다. 이 작업은 유사한 GPU를 사용하는 사용 가능한 컴퓨터 수에 비례하는 추가 속도 향상을 위해 많은 컴퓨터에 분산될 수 있다는 점에 유의하십시오. 계산에 비교적 오랜 시간이 걸리는 특수스트레칭 해시를 사용할 수 있어 추측이 일어날 수 있는 속도를 줄인다. 키 스트레칭을 사용하는 것이 가장 좋은 방법이라고 여겨지지만, 많은 일반적인 시스템들은 그렇지 않다.

빠른 추측이 가능한 또 다른 상황은 암호키를 형성하기 위해 암호를 사용하는 경우다. 이 경우 공격자는 추측된 암호가 암호화된 데이터를 해독하는 데 성공했는지 신속하게 확인할 수 있다. 예를 들어, 한 상용 제품은 초당 10만 3천 의 WPA PSK 암호를 시험한다고 주장한다.[8]

암호 시스템이 암호의 해시만 저장하면 공격자는 일반 암호 변형에 대해 해시 값을 사전 계산하고 일정 길이보다 짧은 모든 암호에 대해 해시 값을 모두 계산할 수 있어 일단 해시가 확보되면 암호를 매우 빠르게 복구할 수 있다. 사전 계산된 암호 해시의 매우 긴 목록은 무지개 테이블을 사용하여 효율적으로 저장할 수 있다. 이 공격 방법은 해시와 함께 암호 소금이라고 하는 임의의 값을 저장함으로써 포일이 될 수 있다. 해시를 계산할 때 소금이 암호와 결합되므로 레인보우 테이블을 사전 계산하는 공격자는 가능한 모든 소금 값을 사용하여 각 암호에 대해 해시를 저장해야 한다. 32비트 숫자로 말하면 소금의 범위가 충분히 크면 이것은 실현 불가능한 것이 된다. 불행히도, 공통적으로 사용되는 많은 인증 시스템은 염분을 채택하지 않으며 레인보우 테이블은 몇몇 그러한 시스템에 대해 인터넷에서 이용할 수 있다.

암호 강도 측정값으로서의 엔트로피

정보 엔트로피 측면에서 암호 강도를 규정하는 것이 컴퓨터 업계에서는 통상적으로 일반적인데, 이는 비트 단위로 측정되며 정보이론에서 나온 개념이다. 확실하게 암호를 찾는 데 필요한 추측의 수 대신, 그 숫자의 베이스-2 로그가 주어지는데, 이 로그는 일반적으로 암호에서 "엔트로피 비트"의 수라고 일컬어지지만, 이는 정보 엔트로피와 정확히 같은 수량은 아니다.[9] 이런 식으로 계산된 엔트로피 42비트의 암호는 예를 들어 공정한 동전 던지기처럼 무작위로 선택한 42비트의 문자열처럼 강할 것이다. 달리 말하면, 42비트의 엔트로피가 있는 비밀번호는 맹수 검색 중에 모든 가능성을 소진하기 위해 2회42(4,398,046,511,104)의 시도가 필요할 것이다. 따라서 암호 엔트로피를 1비트 증가시키면 필요한 추측 횟수가 두 배로 늘어나 공격자의 업무가 두 배로 어려워진다. 평균적으로, 공격자는 정확한 암호를 찾기 전에 가능한 수의 반을 시도해야 한다.[4]

임의 암호

주요 기사: 임의 암호 생성기

임의 암호는 각 기호가 동일하게 선택될 가능성이 있는 무작위 선택 프로세스를 사용하여 특정 기호의 집합에서 추출한 특정 길이의 기호의 문자열로 구성된다. 기호는 문자 집합의 개별 문자(: ASCII 문자 집합), 발음 가능한 비밀번호를 형성하도록 설계된 음절 또는 단어 목록의 단어(즉, 암호문자 형성)가 될 수 있다.

무작위 암호의 강도는 기본 숫자 생성기의 실제 엔트로피에 따라 달라지지만, 실제로는 무작위가 아닌 유사성인 경우가 많다. 많은 공개 암호 생성기는 제한된 엔트로피를 제공하는 프로그래밍 라이브러리에서 발견된 임의의 숫자 생성기를 사용한다. 그러나 대부분의 최신 운영체제는 암호화된 방식으로 강력한 무작위 번호 생성기를 제공하며, 암호 생성에 적합하다. 일반 주사위를 이용해 임의의 비밀번호를 생성하는 것도 가능하다. 강력한 방법을 참조하십시오. 임의의 비밀번호 프로그램은 예를 들어, 항상 문자, 숫자 및 특수 문자를 혼합하여 결과 암호가 로컬 비밀번호 정책을 준수하는지 확인할 수 있는 기능을 가지고 있다.

N 가능한 기호의 집합에서 길이 기호 L의 문자열을 임의로 선택하는 프로세스에 의해 생성되는 암호의 경우, 가능한 암호의 수는 힘 L로 기호의 수를 증가시켜 찾을 수 있다. 즉, NL. L이나 N 중 하나를 증가시키면 생성된 암호가 강화된다. 정보 엔트로피가 측정한 임의 암호의 강도는 암호의 각 기호가 독립적으로 생성된다고 가정할 때 가능한 암호 수의 기본 2 로그 또는 로그에2 불과하다. 따라서 무작위 암호의 정보 엔트로피 H는 다음 공식에 의해 주어진다.

여기서 N은 가능한 기호의 수이고 L은 암호의 기호 수입니다. H비트로 측정된다.[4][10] 마지막 식에서 로그는 어떤 기초가 될 수 있다.

서로 다른 기호 집합에 대한 기호당 엔트로피
기호 집합 기호수
N		 기호당 엔트로피
H
아라비아 숫자(0-9) (예: PIN) 10 3.322비트
16진수 숫자(0–9, A–F) (예: WEP 키) 16 4.000비트
대소문자를 구분하지 않는 라틴 문자(a-z 또는 A-Z) 26 4.700비트
대소문자 무감각 영숫자(a–z 또는 A–Z, 0–9) 36 5.170비트
대소문자 구분 라틴 문자(a-z, A-Z) 52 5.700비트
대소문자 구분 영숫자(a–z, A–Z, 0–9) 62 5.954비트
공백을 제외한 모든 ASCII 인쇄 가능 문자 94 6.555비트
모든 라틴어-1 보충 문자 94 6.555비트
모든 ASCII 인쇄 가능 문자 95 6.15비트
확장 ASCII 인쇄 가능한 모든 문자 218 7.768비트
이진(0–255 또는 8비트 또는 1바이트) 256 8.000비트
다이스웨어 단어 목록 7776 단어당 12.925비트

이진 바이트는 보통 두 개의 16진 문자를 사용하여 표현된다.

N 기호 집합에서 임의로 추출한 암호를 사용하여 원하는 강도 H를 달성하는 데 필요한 길이 L을 찾으려면 다음을 계산한다.

여기서 은 다음 최대 정수로 반올림하는 것을 의미한다.

다음 표는 공통 기호 세트에 대해 원하는 암호 엔트로피를 얻기 위해 실제로 임의로 생성된 암호의 필요한 길이를 나타내기 위해 이 공식을 사용한다.

N 기호가 포함된 기호 세트에 대해 원하는 암호 엔트로피 H를 달성하는 데 필요한 실제 임의로 생성된 암호의 길이 L
원하는 비밀번호
엔트로피 H		 아랍어
숫자		 16진법 대소문자 불감증 대소문자 구분 모든 ASCII 전체 확장
ASCII		 다이스웨어
단어 목록
라틴어
알파벳의		 알파-
숫자상의		 라틴어
알파벳의		 알파-
숫자상의		 인쇄할 수 있는 문자
8비트(1바이트) 3 2 2 2 2 2 2 2 1단어
32비트(4바이트) 10 8 7 7 6 6 5 5 3단어
40비트(5바이트) 13 10 9 8 8 7 7 6 4단어
64비트(8바이트) 20 16 14 13 12 11 10 9 5단어
80비트(10바이트) 25 20 18 16 15 14 13 11 7단어
96비트(12바이트) 29 24 21 19 17 17 15 13 8단어
128비트(16바이트) 39 32 28 25 23 22 20 17 10단어
160비트(20바이트) 49 40 35 31 29 27 25 21 13단어
192비트(24바이트) 58 48 41 38 34 33 30 25 15단어
224비트(28바이트) 68 56 48 44 40 38 35 29 18단어
256비트(32바이트) 78 64 55 50 45 43 39 33 20단어

인간이 생성한 암호

사람들은 만족스러운 비밀번호를 만들기에 충분한 엔트로피를 달성하는데 서툴기로 악명 높다. 50만 명의 사용자가 참여한 한 연구에 따르면, 평균 암호 엔트로피는 40.54비트로 추정되었다.[11]

따라서 300만 개 이상의 8자 암호에 대한 한 분석에서 문자 "e"는 150만 번 이상 사용된 반면 문자 "f"는 25만 번밖에 사용되지 않았다. 균일한 분포는 각 문자가 약 90만 번 사용되었을 것이다. 가장 일반적인 숫자는 "1"인 반면, 가장 일반적인 문자는 a, e, o, r이다.[12]

사용자는 비밀번호를 형성할 때 큰 문자 집합을 완전히 사용하지 않는다. 예를 들어 2006년 마이스페이스 피싱 계획에서 얻은 해킹 결과 3만4000개의 비밀번호가 드러났고, 이 중 8.3%만이 사례와 숫자, 기호를 혼용했다.[13]

전체 ASCII 문자 집합(숫자, 혼합 대소문자 및 특수 문자)의 사용과 관련된 최대 강도는 각각의 가능한 암호가 동일한 가능성이 있는 경우에만 달성된다. 이것은 모든 비밀번호가 아마도 대문자와 소문자, 숫자 및 영숫자가 아닌 문자와 같은 여러 문자 클래스의 문자를 포함해야 함을 암시하는 것으로 보인다. 사실 그러한 요건은 패스워드 선택의 패턴이며 공격자의 「작업 요인」(클로드 섀넌의 용어로)을 감소시킬 것으로 기대할 수 있다. 이것은 비밀번호 "강도"의 감소다. 더 나은 요구 사항은 온라인 사전, 이름 목록 또는 어떤 주(미국) 또는 국가(EU)의 번호판 패턴을 포함하지 않는 암호를 요구하는 것이다. 만약 패턴 있는 선택이 필요하다면, 인간은 편지를 대문자로 쓰고, 한 두 개의 숫자를 추가하고, 특별한 성격을 갖는 등 예측 가능한 방법으로 그것들을 사용할 가능성이 높다. 이러한 예측가능성은 임의의 비밀번호와 비교할 때 비밀번호 강도 증가가 경미하다는 것을 의미한다.

NIST 특별 간행물 800-63-2

NIST 특별 간행물 800-63(2004년 6월)(개정 2)은 인간이 생성한 암호의 엔트로피 근사치를 위한 계획을 제안했다.[4]

이 방법을 사용하면 대문자 및 알파벳이 아닌 OR이 없는 8자 사용자 선택 암호는 두 문자 집합 중 하나이지만 엔트로피가 18비트인 것으로 추정된다. NIST 간행물은 개발 당시 암호의 실제 선택에 관한 정보가 거의 없었다는 점을 인정한다. 나중에 새로 이용할 수 있는 실제 데이터를 사용하여 인간이 선택한 암호 엔트로피에 대한 연구는 NIST 체계가 인간이 선택한 암호의 엔트로피 추정에 대한 유효한 측정 기준을 제공하지 않는다는 것을 입증했다.[14] SP 800-63의 2017년 6월 개정(개정 3)에서는 이 접근법이 삭제된다.[15]

사용성 및 구현 고려사항

국가 키보드 구현이 다르기 때문에 94개의 ASCII 인쇄 가능한 문자를 어디에서나 모두 사용할 수 있는 것은 아니다. 이것은 국내 컴퓨터의 키보드를 이용하여 원격 시스템에 로그인하고자 하는 국제 여행자에게 문제를 일으킬 수 있다. 자판 배열참조하십시오. 태블릿 컴퓨터스마트폰과 같은 많은 휴대용 장치들은 특수 문자를 입력하기 위해 복잡한 시프트 시퀀스나 키보드 앱 스와핑을 필요로 한다.

인증 프로그램은 암호에서 허용하는 문자가 다양하다. 일부에서는 사례 차이를 인식하지 못하고(예: 대문자 "E"는 소문자 "E"와 동등한 것으로 간주되며, 다른 기호들은 일부 다른 기호들을 금지한다. 지난 수십 년 동안 시스템은 암호에 더 많은 문자를 허용해왔지만, 여전히 제한은 존재한다. 시스템은 또한 허용되는 최대 암호 길이에서 다양하다.

실제적인 문제로서, 암호는 최종 사용자에게 합리적이고 기능적일 뿐만 아니라 의도된 목적에 충분히 강력해야 한다. 기억하기 어려운 비밀번호는 잊어버릴 수도 있고, 따라서 종이에 쓰여질 가능성이 더 높기 때문에 일부는 보안 위험을 고려한다.[16] 이와는 대조적으로, 다른 이들은 사용자들이 도움 없이 비밀번호를 기억하도록 강요하는 것은 약한 비밀번호만을 수용할 수 있기 때문에 더 큰 보안 위험을 야기한다고 주장한다. 브루스 슈나이어에 따르면, 대부분의 사람들은 지갑이나 지갑에 능숙하다고 하는데, 이것은 서면 비밀번호를 저장하기에 "훌륭한 장소"라고 한다.[17]

필요한 엔트로피 비트

암호에 필요한 엔트로피의 최소 비트 수는 해당 응용 프로그램의 위협 모델에 따라 달라진다. 키 스트레칭을 사용하지 않으면 엔트로피가 더 많은 암호가 필요하다. 2005년 6월에 발행된 RFC 4086 "안보를 위한 무작위 요구사항"은 위협 모델 몇 가지 예와 각 모델에 대해 원하는 엔트로피를 계산하는 방법을 제시한다.[18] 이들의 대답은 온라인 공격만 예상할 경우 필요한 엔트로피 29비트와 암호나 키를 장기간 보안해야 하고 스트레칭이 적용되지 않는 암호화와 같은 응용 프로그램에 사용되는 중요한 암호키에 필요한 엔트로피 96비트의 엔트로피 사이에서 다양하다. 2010년 조지아 공대 연구소의 분할된 키에 기반한 연구는 최소 길이 요건으로 12자 무작위 암호를 권장했다.[5][19] 컴퓨팅 파워는 지속적으로 증가하므로 오프라인 공격을 방지하기 위해 필요한 엔트로피 비트도 시간이 지남에 따라 증가해야 한다는 점을 명심하십시오.

상단 끝은 암호화에 사용되는 키를 선택하는 엄격한 요건과 관련이 있다. 1999년, 전자 프론티어 재단 프로젝트는 특수 설계된 하드웨어를 사용하여 56비트 DES 암호화를 하루도 안 되어 깼다.[20] 2002년에 배포되었다.이 4년 9개월 23일 만에 64비트 키를 깼다.[21] 2011년 10월 12일자로 배포되었다.현재 하드웨어를 사용하여 72비트 키를 크래킹하는 데 약 45,579일 또는 124.8년이 걸릴 것으로 순추정한다.[22] 현재 기본 물리학의 한계로 이해되고 있기 때문에, 어떤 디지털 컴퓨터(또는 조합)도 브루트 포스 공격을 통해 256비트 암호화를 깨뜨릴 수 있을 것이라는 기대는 없다.[23] 양자컴퓨터가 실제로 그렇게 할 수 있을지는 이론적 분석이 그러한 가능성을 제시하지만 여전히 알 수 없다.[24]

강력한 암호에 대한 지침

공통지침

좋은 패스워드를 선택하는 지침은 일반적으로 지능적인 추측을 통해 패스워드를 발견하기 어렵게 하기 위해 고안되었다. 소프트웨어 시스템 보안 지지자들에 의해 옹호되는 일반적인 지침은 다음과 같다.[25][26][27][28][29]

  • 일반적인 지침으로 최소 8자[30] 길이의 암호를 고려하십시오. 미국과 영국의 사이버 보안 부서들은 짧고 복잡한 암호보다 길고 쉽게 기억할 수 있는 암호를 추천한다.[31][32]
  • 가능한 경우 암호를 임의로 생성하십시오.
  • 동일한 암호를 두 번 사용하지 마십시오(예: 여러 사용자 계정 및/또는 소프트웨어 시스템).
  • 문자 반복, 키보드 패턴, 사전 단어, 문자 또는 숫자 시퀀스를 사용하지 마십시오.
  • 사용자 이름, 상위 이름 또는 날짜와 같이 사용자 또는 계정과 공개적으로 연결되거나 연결될 수 있는 정보를 사용하지 마십시오.
  • 친척이나 애완동물 이름, 낭만적인 링크(현재 또는 과거) 및 인명 정보(예: ID 번호, 조상 이름 또는 날짜)와 같이 사용자의 동료 또는 지인이 사용자와 연관되어 있다고 알 수 있는 정보를 사용하지 마십시오.
  • 앞에서 언급한 취약한 구성요소의 단순한 조합으로 구성된 비밀번호를 사용하지 마십시오.
  • "80&3T4"와 같은 긴 문자열의 임의 문자보다 "SomethingLICETHIS"와 같은 암호를 해킹하는 것이 더 어렵다고 생각해 보십시오!*G$\#ET415".[33]

암호에서 소문자, 대문자, 숫자, 기호를 강요하는 것은 일반적인 정책이었지만, 해독을 용이하게 하여 실제로 보안을 떨어뜨리는 것으로 밝혀졌다. 연구는 그러한 기호의 일반적인 사용이 얼마나 예측 가능한지를 보여주었고, 미국,[34] 영국 정부의 사이버[35] 보안 부서는 암호 정책에 포함되도록 강요하는 것에 대해 권고한다. 복잡한 기호는 또한 비밀번호를 기억하는 것을 훨씬 어렵게 만들며, 이것은 쓰기, 비밀번호 재설정, 비밀번호 재사용을 증가시킨다. 이 모든 것들은 비밀번호 보안을 향상시키기 보다는 낮춘다. 비밀번호 복잡성 규칙의 원저자인 빌 버어는 사과하고 연구결과에 따라 보안을 실제로 감소시킨다고 시인했다. 이는 2017년에 언론에 널리 보도되었다.[36] 온라인 보안 연구원과[37] 컨설턴트들도 비밀번호에 대한 모범 사례 조언의[38] 변화를 지지하고 있다.

일부 지침에서는 비밀번호를 적는 것을 권장하는 반면, 다른 지침에서는 사용자가 액세스해야 하는 비밀번호 보호 시스템의 수가 많다는 점에 주목하여, 작성된 비밀번호 목록이 모니터나 잠금 해제된 책상 서랍이 아닌 안전한 장소에 보관되어 있는 한 비밀번호를 적는 것을 권장한다.[39] 비밀번호 관리자의 사용은 NCSC가 권장한다.[40]

암호에 사용할 수 있는 문자 집합은 다른 웹 사이트 또는 암호를 입력해야 하는 키보드 범위에 의해 제한될 수 있다.[41]

취약한 암호의 예

참고 항목: 암호 크래킹가장 일반적인 암호 목록

어떤 보안 조치와 마찬가지로 암호도 강도가 다양하며, 어떤 암호는 다른 암호보다 약하다. 예를 들어 사전 단어와 난독화가 있는 단어(예: 암호의 문자는 숫자로 대체됨 - 공통 접근법으로 대체됨) 간의 강도 차이는 몇 초 더 소요될 수 있으며, 이로 인해 강도가 거의 추가되지 않는다. 아래 예제는 취약 패스워드를 구성할 수 있는 다양한 방법을 예시하며, 이 모든 방법은 엔트로피가 극히 낮아 고속에서 자동으로 테스트할 수 있는 단순한 패턴에 기초한다.[12]

  • 기본 암호(시스템 공급업체에서 제공하고 설치 시 변경될 예정): 암호, 기본값, 관리자, 게스트 기본 암호 목록은 인터넷에서 널리 이용 가능하다.
  • 사전 단어: 카멜레온, 레드섹스, 샌드백, 토끼 홉!, 인텐시브크라브트리 등, 영어 이외의 사전의 단어 포함.
  • 번호가 추가된 단어(암호1, 사슴2000, 존1234 등)는 시간을 거의 뺏기지 않고 자동으로 테스트할 수 있다.
  • 간단한 난독화가 있는 단어: p@ssw0rd, l33th4x0r, g0ldf1sh 등은 별도의 추가 노력 없이 자동으로 테스트할 수 있다. 예를 들어 DigiNotar 공격에서 손상된 도메인 관리자 암호가 Pr0d@dm1n이었던 것으로 알려졌다.[42]
  • 이중 단어: 게딱지, 스톱스톱, 트리트리, 패스 패스 등
  • 키보드 행의 공통 시퀀스: qwerty, 123456, asdfgh, fred
  • 911, 314159..., 27182..., 112 등 잘 알려진 숫자에 기초한 숫자 시퀀스.
  • 식별자: jsmith123, 1970년 1/1/1/1234, 555–1234, 사용자 이름 등
  • 영어 이외의 언어에서 취약한 암호(예: 스페인어) 및 ji32k7au4a83(중국어 보포모포 키보드 인코딩)[43]
  • 번호판 번호, 사회 보장 번호, 현재 또는 과거 전화번호, 학생 ID, 현재 주소, 이전 주소, 생일, 스포츠 팀, 친척 또는 애완동물의 이름/닉네임/생일/초기 등 개인과 개인적으로 관련된 모든 것은 간단한 조사 후 자동으로 테스트할 수 있다.
  • 날짜: 날짜는 패턴을 따르고 암호를 약하게 만든다.

암호는 여러 가지 공격 체계의 강점에 대응하여 [44]약할 수 있는 다른 방법이 많다. 핵심 원리는 암호는 높은 엔트로피(일반적으로 무작위성에 준하는 것으로 간주)를 가져야 하며 어떤 "클러버" 패턴으로도 쉽게 파생될 수 없어야 하며, 암호는 사용자를 식별하는 정보와 혼합되어서는 안 된다는 것이다. 온라인 서비스는 종종 해커가 알아낼 수 있는 복구 암호 기능을 제공하고 그렇게 함으로써 암호를 우회한다. 이해하기 어려운 복원 암호 질문을 선택하면 암호를 더욱 안전하게 보호할 수 있다.[45]

암호 변경 지침 재고

2012년 12월, 윌리엄 체스윅은 ACM 매거진에 실린 기사를 썼는데, 오늘날 일반적으로 권장되고 때로는 따르는 표준을 사용하여 만들어진 암호를 얼마나 쉽게, 또는 어렵게 해독할 수 있을지 수학적인 가능성을 포함하고 있다. 윌리엄은 기사에서 표준 8자 영숫자 암호는 초당 1000만 번의 시도라는 흉포한 무력 공격을 견뎌낼 수 있으며 252일 동안 손상되지 않은 상태를 유지할 수 있다는 것을 보여주었다. 초당 1,000만 번의 시도는 대부분의 사용자가 접근할 수 있는 멀티 코어 시스템을 사용하는 시도의 허용 속도다. 현대의 GPU를 사용할 때 초당 70억의 비율로 훨씬 더 많은 양의 시도가 이루어질 수 있다. 이 속도라면 약 0.36일(즉, 9시간) 내에 동일한 8자 전체 영숫자 암호가 깨질 수 있다. 암호의 복잡성을 13자 전체 영숫자 암호로 증가시키면 암호를 해독하는 데 필요한 시간이 초당 70억 번의 시도로 90만 년 이상으로 증가한다. 이것은 물론, 사전 공격이 훨씬 더 빨리 깨질 수 있다는 일반적인 단어를 비밀번호가 사용하지 않는다고 가정하는 것이다. 이 강도의 암호를 사용하면 미국 정부를 포함한 많은 조직이 요구하는 만큼 자주 변경해야 할 의무가 줄어들며, 이는 단기간에 합리적으로 깨질 수 없기 때문이다.[46][47]

암호 정책

주요 기사: 암호 정책

암호 정책은 만족스러운 암호를 선택하기 위한 지침이다. 본 문서는 다음을 목적으로 한다.

  • 사용자가 강력한 암호를 선택할 수 있도록 지원
  • 암호가 대상 모집단에 적합한지 확인
  • 비밀번호 취급과 관련하여 사용자에게 권장사항 제공
  • 분실되었거나 절충이 의심되는 비밀번호를 변경하도록 권고하다.
  • 암호 블랙리스트를 사용하여 취약하거나 쉽게 추측할 수 있는 암호의 사용을 차단하십시오.

숫자, 기호 또는 상/하한 케이스와 같이 암호에 포함되어야 하는 문자를 규정하는 데 사용된 이전 암호 정책. 이것이 여전히 사용 중이지만, 그것은 대학 연구,[48] 이 정책의 원래 선동자[49], 그리고 미국과[51] 영국의 사이버 보안 부서(및 기타 관련 정부 보안 기관[50])에 의해 덜 안전하다는 것이 밝혀졌다.[52] 기존에는[53] 구글, 페이스북 등 주요 플랫폼에서 사용하던 암호 복잡성 규칙이 실제로 보안성을 떨어뜨린 발견에 따른 요건을 없앴다.[54] 이는 인적 요소가 균열보다 훨씬 더 큰 위험이며, 강제적인 복잡성으로 인해 대부분의 사용자가 예측성이 높은 패턴(종단 번호, E를 위한 스왑 3 등)으로 이어져 실제로 암호를 해독하는 데 도움이 되기 때문이다. 따라서 암호의 단순성과 길이(패스워드프레이즈)가 새로운 베스트 프랙티스가 되고 복잡성은 사라진다. 강제적인 복잡성 규칙은 또한 지원 비용을 증가시키고 사용자 마찰을 일으키고 사용자 가입을 저해한다.

암호 만료는 일부 이전 암호 정책에서 사용되었지만 모범 사례로 간주되지[55] 않았으며 미국이나 영국 정부 또는 암호 만료 기능을 제거한[56] 마이크로소프트는 지원하지 않는다. 암호 만료는 이전에 다음 두 가지 목적으로 사용하려고 시도했다.[57]

  • 암호를 해독하는 데 걸리는 시간이 100일로 추정될 경우, 암호 만료 시간이 100일 미만일 경우 공격자에게 충분한 시간을 보장할 수 있다.
  • 암호가 손상된 경우 암호를 정기적으로 변경해야 하는 경우 공격자의 액세스 시간이 제한될 수 있다.

그러나 암호 만료에는 다음과 같은 단점이 있다.[58][59]

  • 사용자에게 자주 비밀번호 변경을 요구하는 것은 간단하고 약한 비밀번호를 장려한다.
  • 정말 강력한 암호를 가지고 있다면 그것을 바꾸는 것은 별로 의미가 없다. 이미 강력한 암호를 변경하면 새 암호의 강도가 낮아질 위험이 있다.
  • 손상된 암호는 공격자가 백도어를 설치하기 위해 종종 권한 상승에 의해 즉시 사용될 수 있다. 일단 이 작업이 완료되면 암호 변경으로 인해 향후 공격자 액세스가 차단되지는 않는다.
  • 절대 비밀번호를 변경하지 않는 것에서 모든 인증 시도(통과 또는 실패 시도) 시도에 대한 암호 변경으로 이동하면 공격자가 무차별 공격 시 암호를 추측하기 전에 평균적으로 수행해야 하는 시도 횟수가 두 배로 증가한다. 비밀번호 길이만 늘리면 매번 비밀번호를 바꾸는 것보다 훨씬 더 많은 보안이 확보된다.

암호 생성 및 처리

주어진 길이와 문자 집합에서 가장 크래킹하기 어려운 암호는 임의의 문자열이다. 충분히 길면 (문자가 많기 때문에) 무차별적인 힘 공격과 (엔트로피가 높기 때문에) 추측 공격을 저항한다. 그러나 그러한 암호는 일반적으로 기억하기가 가장 어렵다. 비밀번호 정책에서 그러한 비밀번호의 요건을 부과하는 것은 메모리 오류에 대한 보호 조치로 사용자가 비밀번호를 기록하거나, 모바일 기기에 저장하거나, 다른 사람과 공유하도록 권장할 수 있다. 어떤 사람들은 이들 각각의 사용자 리조트가 보안 위험을 증가시킨다고 생각하는 반면, 다른 사람들은 사용자들이 그들이 접속하는 수십 개의 계정 각각에 대해 별개의 복잡한 비밀번호를 기억하기를 기대하는 불합리함을 제안한다. 예를 들어 2005년 보안 전문가 브루스 슈나이어는 자신의 비밀번호를 다음과 같이 적으라고 권고했다.

간단히 말해서, 사람들은 사전 공격으로부터 신뢰성 있게 방어할 수 있을 만큼 좋은 비밀번호를 더 이상 기억할 수 없고, 너무 복잡해서 기억하기 어려운 비밀번호를 선택한 다음 그것을 적어두면 훨씬 더 안전하다. 우리는 모두 작은 종이조각을 확보하는 데 능숙하다. 나는 사람들이 비밀번호를 작은 종이에 적고, 다른 값진 작은 종이와 함께 그것을 지갑에 보관할 것을 권고한다.[39]

다음 조치는 신중하게 사용할 경우 강력한 암호 요구 사항의 수용을 증가시킬 수 있다.

  • 연수 계획 또한 암호 정책을 따르지 않는 사람에 대한 교육(암호 분실, 부적절한 암호 등)도 업데이트했다.
  • 비밀번호 변경의 필요성(비밀번호 만료)을 줄이거나 완전히 제거하여 강력한 비밀번호 사용자에게 보상. 사용자-초센 암호의 강도는 암호를 설정하거나 변경할 때 제안된 암호를 검사하고 평가하는 자동 프로그램을 통해 추정할 수 있다.
  • 사용자가 무단 액세스를 알아차릴 수 있다는 희망으로 마지막 로그인 날짜와 시간을 각 사용자에게 표시하여 손상된 암호를 제안한다.
  • 사용자가 자동 시스템을 통해 비밀번호를 재설정할 수 있도록 하여 헬프 데스크 통화량을 줄인다. 그러나, 예를 들어, 비밀번호 재설정 질문에 대한 쉽게 추측하거나 조사된 답변은 강력한 비밀번호 시스템의 장점을 우회한다.
  • 사용자가 자신의 비밀번호를 선택할 수 없도록 하는 임의로 생성된 비밀번호를 사용하거나, 최소한 옵션으로 임의로 생성된 비밀번호를 제공하는 것.

기억 기법

암호 정책은 때때로 암호를 기억하는 데 도움이 되는 메모리 기술을 제안한다.

  • 니모닉 암호: 일부 사용자는 니모닉 구문을 개발하여 사용자가 기억하기 비교적 쉬운 임의의 암호를 생성하는데 사용한다. 예를 들어, 기억나는 구절의 각 단어의 첫 글자. 연구에서는 ASCII 인쇄 가능 문자의 임의 암호에 대해 6.6 비트가 사용된 것과 비교하여 이러한 암호의 암호 강도는 문자당 약 3.7 비트로 추정한다.[60] 바보 같은 것이 더 기억에 남을 수 있다.[61] 임의로 표시되는 암호를 더 기억에 남는 또 다른 방법은 무작위로 선택한 문자 대신 임의 단어(다이스웨어 참조)나 음절을 사용하는 것이다.
  • 팩트 후 니모닉: 암호가 설정되고 나면 적합한 니모닉을 발명하십시오.[62] 그것은 합리적일 필요도 없고, 합리적일 필요도 없고, 단지 기억에 남을 뿐이다. 이것은 비밀번호가 임의로 허용된다.
  • 암호의 시각적 표현: 암호는 누른 키의 순서에 기초하여 기억되며, 키 자체의 값이 아니다. 예를 들어 시퀀스!qAsdE#2는 미국 키보드의 rhomboid를 나타낸다. 그러한 패스워드를 만드는 방법은 사이코패스라고 불리며,[63] 더욱이 그러한 공간적인 패턴의 패스워드를 개선할 수 있다.[64][65]
  • 암호 패턴: 암호의 어떤 패턴이든 추측(자동화 여부)을 쉽게 하고 공격자의 작업 요소를 감소시킨다.
    • 예를 들어, 다음과 같은 대/소문자를 구분하지 않는 형태의 암호를 Environment password라고 한다: 자음, 모음, 자음, 숫자, 숫자(예: 핀레이45).[66] 모음과 자음 문자가 번갈아 나타나는 패턴은 비밀번호를 발음하기 쉽고 따라서 기억하기 쉽도록 하기 위한 것이었다. 불행하게도, 그러한 패턴은 암호의 정보 엔트로피를 심각하게 감소시켜, 무차별적인 암호 공격을 훨씬 더 효율적으로 만든다. 2005년 10월 영국에서는 영국 정부의 직원들에게 이런 형태로 비밀번호를 사용하라는 권고를 받았다.[citation needed]

암호 보호

컴퓨터 사용자들은 일반적으로 "어떤 일이 있어도 절대 비밀번호를 쓰지 말라" "두 개 이상의 계정에 대해 동일한 비밀번호를 사용하지 말라"[67]고 조언한다. 그러나 일반 컴퓨터 사용자는 수십 개의 암호로 보호된 계정을 가질 수 있다. 암호가 필요한 계정이 여러 개인 사용자는 종종 포기하고 모든 계정에 대해 동일한 암호를 사용한다. 다양한 암호 복잡성 요건이 고강도 암호 생산에 동일한(기억적인) 체계를 사용하지 못하게 하는 경우, 자극적이고 상충되는 암호 요건을 충족하기 위해 지나치게 단순화된 암호가 생성되는 경우가 많다. 마이크로소프트(MS) 전문가는 2005년 보안 컨퍼런스에서 "암호 정책에 따라 비밀번호를 적어야 한다고 주장한다"고 말한 것으로 알려졌다. 나는 68개의 다른 비밀번호를 가지고 있다. 만약 내가 그것들을 적는 것이 허락되지 않는다면, 내가 무엇을 할 것인지 추측해봐라. 한 사람 한 사람 한 사람 한 사람에게도 같은 암호를 사용할 생각이라고 말했다.[68]

소프트웨어는 수많은 계정의 암호를 암호화된 형태로 저장할 수 있는 인기 있는 휴대용 컴퓨터에 사용할 수 있다. 비밀번호는 종이에 손으로 암호화 할 수 있으며 암호화 방법과 키를 기억한다.[69] 심지어 더 좋은 방법은 일반적으로 사용 가능하고 테스트된 암호 알고리즘이나 해싱 함수를 사용하여 약한 암호를 암호화하고 암호를 암호로 사용하는 것이다.[70]

하나의 "마스터" 패스워드를 소프트웨어와 함께 사용하여 마스터 패스워드와 어플리케이션의 이름에 근거하여 각 어플리케이션에 대한 새로운 패스워드를 생성할 수 있다. 이 접근방식은 스탠포드의 PwdHash,[71] 프린스턴의 Printon의 Password Multiers [72]및 기타 상태 비저장 암호 관리자에 의해 사용된다. 이 방법에서는 마스터 비밀번호가 노출되면 모든 비밀번호가 훼손되고 마스터 비밀번호를 잊어버리거나 잘못 입력하면 분실되기 때문에 마스터 비밀번호 보호가 필수적이다.

비밀번호 관리자

주요기사 : 비밀번호 관리자

많은 수의 암호를 사용하는 데 있어 합리적인 방법은 독립 실행형 응용 프로그램, 웹 브라우저 확장 또는 운영 체제에 내장된 관리자를 포함하는 암호 관리자 프로그램에 암호를 기록하는 것이다. 암호 관리자는 사용자가 수백 개의 다른 암호를 사용할 수 있도록 하며 암호화된 암호 데이터베이스를 여는 암호 한 개만 기억하면 된다. 말할 필요도 없이, 이 단일 비밀번호는 강력하고 잘 보호되어야 한다(어디서나 기록되어서는 안 된다). 대부분의 비밀번호 관리자는 암호화된 보안 임의 비밀번호 생성기를 사용하여 강력한 비밀번호를 자동으로 작성할 수 있으며, 생성된 비밀번호의 엔트로피를 계산할 수 있다. 좋은 비밀번호 관리자는 키 기록, 클립보드 기록 및 기타 다양한 메모리 스파이 기법과 같은 공격에 대한 저항력을 제공할 것이다.

참고 항목

참조

  1. ^ "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.
  2. ^ "Why User Names and Passwords Are Not Enough SecurityWeek.Com". www.securityweek.com. Retrieved 2020-10-31.
  3. ^ "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.
  4. ^ a b c d "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.
  5. ^ a b "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.
  6. ^ 미국 특허 7929707, 안드레이 V. "암호 복구를 위한 병렬 산술 공동 프로세서로 그래픽 프로세서를 사용"이라는 벨렌코는 Elcomsoft사에 2011-04-19를 발행했다. Ltd.
  7. ^ Elcomsoft.com Wayback Machine, ElcomSoft 암호 복구 속도 표, NTLM 암호, Nvidia Tesla S1070 GPU, 2011-02-01 액세스에 2006-10-17 보관
  8. ^ Elcomsoft Wireless Security Examiner, HD5970 GPU Archived 2011-02-19, Wayback Machine에서 2011-02-11에 액세스
  9. ^ James Massey (1994). "Guessing and entropy" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.
  10. ^ 슈나이어, B: 응용 암호학, 2e, 페이지 233 ff. 존 와일리 앤 선즈
  11. ^ Florencio, Dinei; Herley, Cormac (May 8, 2007). "A Large-Scale Study of Web Password Habits" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.
  12. ^ a b Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.
  13. ^ Bruce Schneier (December 14, 2006). "MySpace Passwords aren't so Dumb". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.
  14. ^ Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.
  15. ^ "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.
  16. ^ A. Allan. "Passwords are Near the Breaking Point" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.
  17. ^ Bruce Schneier. "Schneier on Security". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.
  18. ^ Randomness Requirements for Security. doi:10.17487/RFC4086. RFC 4086.
  19. ^ "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.
  20. ^ "EFF DES Cracker machine brings honesty to crypto debate". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.
  21. ^ "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.
  22. ^ "72-bit key project status". Distributed.net. Retrieved October 12, 2011.
  23. ^ Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.
  24. ^ "Quantum Computing and Encryption Breaking". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.
  25. ^ Microsoft Corporation, 강력한 암호: Wayback Machine보관된 2008-01-01을 생성하고 사용하는 방법
  26. ^ Bruce Schneier, Wayback Machine보관된 2008-02-23 보안 암호 선택
  27. ^ 구글, 주식회사, 당신의 비밀번호는 얼마나 안전한가? 웨이백 머신보관된 2008-02-22
  28. ^ 메릴랜드 대학교, 웨이백 머신보관된 올바른 비밀번호 선택 2014-06-14
  29. ^ Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.
  30. ^ "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.
  31. ^ "Password Policy - Updating your approach". UK National Cyber Security Centre. Retrieved 17 May 2021.
  32. ^ "Choosing and Protecting Passwords CISA". www.cisa.gov. Retrieved 2022-01-12.
  33. ^ "Father of modern-day password regrets original guidance". CBS News.
  34. ^ "Digital Identity Guidelines". USA National Institute for Standards and Technology. Retrieved 17 May 2021.
  35. ^ "Password administration for system owners". UK National Cyber Security Centre. Retrieved 17 May 2021.
  36. ^ "Password Rules - Founder of Password Complexity Says SORRY!". Retrieved 17 May 2021.
  37. ^ "CyLab Usable Privacy and Security Laboratory (CUPS)". Carnegie Mellon University (USA). Retrieved 17 May 2021.
  38. ^ Bruce, Schneier. "Changes in Password Best Practices". Schneier on Security. Retrieved 17 May 2021.
  39. ^ a b "Write Down Your Password - Schneier on Security". www.schneier.com. Archived from the original on 2008-04-13.
  40. ^ "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.
  41. ^ e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. 일부 웹사이트에서 영숫자 이외의 것을 허용하지 않는 것은 Kanhef, Easks, For Differently Reasons (2009년 6월 30일, 주제 게시) 2010년 1월 20일에 접속한 웨이백 머신에서 2011년 4월 6일에 보관된 것으로 표시된다.
  42. ^ "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.
  43. ^ Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.
  44. ^ 비드웰, 페이지 87
  45. ^ "Guidelines for choosing a good password". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.
  46. ^ William, Cheswick (2012-12-31). "HTML version - Rethinking Passwords". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  47. ^ William, Cheswick (2012-12-31). "ACM Digital Library - Rethinking Passwords". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  48. ^ "Practical Recommendations for Stronger, More Usable Passwords Combining Minimum-strength, Minimum-length, and Blocklist Requirements" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.
  49. ^ "Bill Burr, Founder of Password complexity rules says SORRY!". Retrieved 17 May 2021.
  50. ^ "Passwords in online services". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.
  51. ^ "Digital Identity Guidelines". USA National Institute of Standards and Technology. Retrieved 17 May 2021.
  52. ^ "Password guidance" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.
  53. ^ "Create a Strong Password". Google Inc. Retrieved 17 May 2021.
  54. ^ "Login and Password Help". FaceBook Inc. Retrieved 17 May 2021.
  55. ^ "Password Rules - Founder of Password Complexity Says SORRY!". Retrieved 17 May 2021.
  56. ^ "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.
  57. ^ "In Defense of Password Expiration". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.
  58. ^ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  59. ^ Eugene Spafford. "Security Myths and Passwords". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.
  60. ^ Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "A Large-scale Analysis of the Mnemonic Password Advice" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.
  61. ^ 니모닉 장치(인디아나폴리스, Ind.: 2010년 1월 19일에 접속한 Bepko Learning Ctr, University College 2010년 6월 10일 웨이백 기계보관
  62. ^ 암호 기억(ChangingMinds.org) 2010년 1월 19일에 액세스한 Wikiwix에 2010-01-21 보관
  63. ^ Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "How to Create Memorizable and Strong Passwords". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.
  64. ^ Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "Security analysis and improvements to the PsychoPass method". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.
  65. ^ "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.
  66. ^ Anderson, Ross (2001). Security engineering: A guide to building dependable distributed systems. John Wiley & Sons, Inc. ISBN 978-0470068526.
  67. ^ Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk. Archived from the original on 2017-05-13. Retrieved 2017-05-22.
  68. ^ Microsoft 보안 전문가: 암호를 기록해 두십시오. 웨이백 머신보관된 2016-02-05, c\net 검색된 2016-02-02
  69. ^ Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From EgypT를 통해 Enigma(IBM, 2005년 7월 26일) 2010년 1월 19일에 액세스한 웨이백 머신에 2010년 8월 3일 보관.
  70. ^ "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.
  71. ^ Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "Stronger Password Authentication Using Browser Extensions" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.
  72. ^ J. Alex Halderman; Brent Waters; Edward W. Felten (2005). A Convenient Method for Securely Managing Passwords (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.

외부 링크