2016/08/16 패스워드 미터
1. 패스워드 미터란 ? 사용자가 만드는 패스워드에 대해 안전한지 불안전한지 피드백 체크해주는 기능으로 사용자로 하여금 안전하고 강력한 패스워드 생성을 할 수 있도록 도와준다.
2. 기존 패스워드 유출 사례 분석(논문, wiki) - 평균적으로 1.75개의 chunk이루어져 있으며
문자-숫자 / 문자-숫자-문자 / 문자-숫자-문자-숫자 의 구조로 많이 생성한다.
사용 문자는 Letter > Number > Symbol 순이다.
3. 기존 패스워드 강도 측정 방식
- 규칙 기반 : 특수문자, 소문자, 숫자를 몇자리 이상으로 사용하라 등
- adaptive : 사이트 별로 패스워드 강도를 측정 예를 들어 사이트 이름이 비밀번호에 들어가는지 분석
- Analyzer and Modifier : 분석후 자신들이 더 안전한 비밀번호를 제안
4. 패스워드 미터 분석(논문) -
2. 기존 패스워드 유출 사례 분석(논문, wiki) - 평균적으로 1.75개의 chunk이루어져 있으며
문자-숫자 / 문자-숫자-문자 / 문자-숫자-문자-숫자 의 구조로 많이 생성한다.
사용 문자는 Letter > Number > Symbol 순이다.
3. 기존 패스워드 강도 측정 방식
- 규칙 기반 : 특수문자, 소문자, 숫자를 몇자리 이상으로 사용하라 등
- adaptive : 사이트 별로 패스워드 강도를 측정 예를 들어 사이트 이름이 비밀번호에 들어가는지 분석
- Analyzer and Modifier : 분석후 자신들이 더 안전한 비밀번호를 제안
4. 패스워드 미터 분석(논문) -
- 트래픽이 많은 웹 사이트 선정
- 클래스 : 대문자, 소문자, 숫자, 특수문자의 집합
규칙 n : 패스워드 구성에 n개의 클래스를 사용 (n은 1,2,3)
규칙별 80개 총 240개 패스워드를 샘플로 선정
규칙 n이 증가할 수록 정보량과 엔트로피(불확실성)이 높아짐을 확인
- 패스워드 안정성 검증도구로 Hashcat, Zxcvbn을 이용해 1일 이하 예상 크래킹 시간을 가지는 패스워드를 크래킹 된 패스워드로 선정.
규칙 n이 증가할수록 80개 샘플중에서 크래킹 안 되는 비밀번호가 많았다.
- 각 사이트에서 패스워드 미터를 표현하는 방법에 대해 알아보고 특징을 찾아봄
동일한 규칙 n으로 만든 패스워드들이 서로 다른 강도로 판정되고 있음 (단, 논문에서 측정한 안정성 강도와 사이트에서 측정하는 비밀번호 강도는 다를 수 있음)
- 크래킹 도구로 크래킹이 된 패스워드들 또한 안전하다고 미터링 해주는 경우가 많았다. 이를 오판으로 보고 240개 패스워드 샘플들에 대해 모두 조사해본 결과 규칙 1에 대해 옥션의 경우 21퍼 / 규칙 2에 대해 네이버의 경우 52퍼 / 규칙 3에 대해 네이버의 경우 22.5퍼 정도의 오판율을 가졌다
5. 패스워드 미터 문제점 및 제안(논문) : 크래킹 저항성 측정이 포함되어야 한다. 이에 대해 사전 공격에 의한 사전등을 이용해 검사하는 함수로 사용
규칙 기반 패스워드 미터 환경에서는 사용자가 패스워드를 재사용하는 일이 많다. 기계 학습을 통해 기존 사용자가 사용했던 리스트를 이용해 자주 사용되는 패턴들은 약한 강도의 패스워드로 판단하는 기능이 있을 필요가 있다.
댓글
댓글 쓰기