전문가들은 암호에 의존하지 않아도 될 때라고 말합니다.

January 05, 2022
에뉴스 인터넷 보안

주요 내용

사이버 보안 전문가는 암호 자체가 더 이상 계정 보안에 적합하지 않다고 제안합니다.
사용자는 가능한 한 다단계 인증(MFA)을 활성화해야 합니다.
그러나 MFA를 약한 암호 생성에 대한 변명으로 사용해서는 안 됩니다.

스마트폰에서 이중 인증을 사용하여 랩톱 컴퓨터에 로그인하는 사람. — 오스카 웡 / 게티 이미지

가장 강력한 암호와 가장 엄격한 암호 정책은 온라인 서비스 공급자가 서버의 잘못된 구성으로 인해 자격 증명을 유출할 때 별로 소용이 없습니다.

그런 일이 드문 일이라고 생각한다면 2021년 최대 데이터 유출 서비스 제공업체의 기술적 문제로 인한 것입니다. 실제로 2021년 12월에 사이버 보안 전문가들이 Amazon Web Services의 S3 버킷에 이러한 잘못된 구성을 연결하는 데 도움을 주었습니다. 세가 소유, 암호를 포함한 모든 종류의 민감한 정보가 포함되어 있습니다.

보안업체 구루쿨(Gurucul)의 CEO는 "비밀번호 사용은 더 이상 사용되지 않아야 하고 계정에 로그인하는 다른 방법을 찾아야 한다"고 말했다. 사류 나야르, 이메일을 통해 Lifewire에 말했습니다.

비밀번호 문제

십이월에, 태양이 보고했다 영국 국가범죄수사국(NCA)이 5억 개 이상의 비밀번호를 제공한 것으로 알려졌다. 내가 전화를 받았습니까? (HIBP) 서비스는 조사 중에 적발되었습니다.

HIBP를 사용하면 사용자가 보안 침해로 비밀번호가 유출되었는지, 해커에 의해 남용되기 쉬운지 확인할 수 있습니다. HIBP의 설립자에 따르면, 트로이 헌트, NCA에서 제공한 2억 개 이상의 비밀번호 데이터베이스에 이미 존재하지 않음.

"브라우저의 계정 자격 증명 저장 기능은 매우 편리하지만... 사용자는 사용을 자제하는 것이 좋습니다."

"그것은 문제의 순전한 규모를 가리키며, 문제는 암호, 자신의 성실함을 증명하는 구식 방법입니다. 암호를 제거하고 대안을 찾기 위한 조치를 취하라는 요청이 있었다면 반드시 그래야 합니다." 바버 아민, 디지털 ID 전문가의 COO인 Veridium은 NCA가 최근 HIPB에 기여한 것에 대한 응답으로 이메일을 통해 Lifewire에 말했습니다.

Amin은 해커가 이제 AI 기반 분석 도구를 사용하여 개인이 암호를 생성하는 패턴을 식별하기 때문에 유출된 자격 증명이 기존 계정을 손상시키지 않는다고 덧붙였습니다. 본질적으로 유출된 자격 증명은 손상되지 않은 다른 계정의 보안도 위협합니다.

비밀번호 등

Nayyar는 암호보다 더 나은 보호 메커니즘을 옹호하면서 계정에 다단계 인증을 설정할 수 있는 옵션이 있는 사용자가 그렇게 해야 한다고 제안합니다.

론 브래들리, 타사 위험 보증을 위한 모범 사례 개발을 지원하는 회원 조직인 Shared Assessments의 부사장도 이에 동의합니다. "가능한 모든 곳에서 다단계 인증, 특히 돈을 움직이는 앱을 켜십시오."

암호만으로 계정을 보호하는 것을 단일 요소 인증이라고 합니다. 다단계 인증 또는 MFA는 그 위에 구축되며 사용자에게 다른 정보를 요청하여 로그인 프로세스에 추가 단계를 추가하여 계정을 보호합니다. 여러 은행을 비롯한 많은 서비스에서 은행에 등록된 사용자의 휴대폰 번호로 인증 코드를 전송하여 MFA를 구현합니다.

이중 인증을 사용하는 노트북과 스마트폰의 그림. — 마크 Kolpakov / 게티 이미지

그러나 이 검증 메커니즘은 다음과 같은 공격 메커니즘에 취약합니다. SIM 스왑 공격, 공격자는 소유자의 이동 통신사를 속여 공격자의 SIM 카드에 번호를 재할당하도록 속여 대상의 휴대 전화 번호를 제어합니다.

T-Mobile은 일부 고객을 대상으로 한 그러한 공격을 인정하면서 SIM 스왑 공격이 일반적이고 업계 전반에 걸친 발생.

대신 MFA를 활성화하는 더 나은 옵션은 Duo Security, Google Authenticator, Authy, Microsoft Authenticator 및 기타 전용 MFA 앱과 같은 앱을 사용하는 것입니다.

암호 스프롤

그러나 우리가 이야기한 모든 사이버 보안 전문가는 MFA를 사용하여 암호를 보호하기 위한 적절한 조치를 취하지 않은 것에 대한 변명이 되어서는 안 된다고 경고했습니다.

Bradley는 "은행 비밀번호가 너무 길고 복잡하기 때문에 자신의 은행 비밀번호가 무엇인지 모르는 1인 센터의 일원이 되십시오"라고 조언했습니다.

그는 사용자가 암호와 관련하여 암호 관리자에 대한 투자를 고려해야 한다고 덧붙였습니다. 무료 암호 관리자가 부족하지 않고 웹 브라우저에도 내장되어 있지만 전문가들은 무료 암호 관리자가 없는 것보다 낫다고 제안하지만 사용자는 사용할 때 주의해야 합니다. 하나.

"은행 비밀번호가 너무 길고 복잡하기 때문에 자신의 은행 비밀번호가 무엇인지 모르는 1인 센터의 일원이 되십시오."

하는 동안 최근 위반 조사 안철수연구소 사이버보안 연구원들은 한 기업 내부망에서 사내망에 침입한 VPN 계정이 재택근무 중인 직원의 PC에서 유출된 사실을 발견했다.

이 PC는 암호를 추출하도록 특별히 설계된 악성 코드를 포함하여 다양한 악성 코드에 감염되었습니다. Google Chrome 및 Microsoft와 같은 Chromium 기반 웹 브라우저에 내장된 비밀번호 관리자에서 가장자리.

"브라우저의 계정 자격 증명 저장 기능은 매우 편리하지만, 악성코드 감염 시 계정 인증 정보 사용 자제 권고" 연구원.