조직의 보안을 방어하는 것은 성을 강화하는 것과 같습니다. 공격자가 공격할 위치와 벽을 어떻게 뚫으려고 하는지 이해해야 합니다. 그리고 해커들은 느슨한 비밀번호 정책이든 잊어버린 백도어든 항상 약점을 찾고 있습니다. 더 강력한 방어력을 구축하려면 해커처럼 생각하고 그들의 움직임을 예측해야 합니다. 암호를 해독하기 위한 해커의 전략, 그들이 악용하는 취약점, 이를 막기 위해 방어를 강화할 수 있는 방법에 대해 자세히 알아보려면 계속 읽어보세요.
최악의 비밀번호 분석
취약하고 일반적으로 사용되는 비밀번호는 해커의 가장 쉬운 표적이 됩니다. 매년 전문가들은 가장 자주 사용되는 비밀번호 목록을 “123456” 그리고 “비밀번호” 해마다 나타납니다. 이러한 비밀번호는 해커의 공격 전략의 쉬운 결과입니다. 수년간의 보안 경고에도 불구하고 사용자는 여전히 간단하고 기억하기 쉬운 비밀번호를 사용합니다. 이는 종종 해커가 빠르게 알아낼 수 있는 예측 가능한 패턴이나 개인 정보를 기반으로 합니다. 소셜 미디어나 공개 기록에서 수집합니다.
해커는 이러한 일반적인 비밀번호의 데이터베이스를 컴파일하고 이를 무차별 대입 공격에 사용하여 올바른 비밀번호에 도달할 때까지 가능한 비밀번호 조합을 순환합니다. 해커에게는 최악의 비밀번호가 최고의 기회를 제공합니다. “와 같은 키보드 워크인지쿼티,’ 또는 ‘와 같은 일반적인 문구사랑해요,’ 이러한 비밀번호의 단순성 덕분에 특히 다단계 인증이 설정되어 있지 않은 경우 해커가 계정에 직접 접근할 수 있는 경로를 제공합니다.
비밀번호를 해독하는 데 얼마나 걸리나요?
비밀번호를 해독하는 데 걸리는 시간은 크게 다음 세 가지에 따라 달라집니다.
- 비밀번호의 길이와 강도
- 그것을 해독하는 데 사용되는 방법
- 해커가 사용하는 도구
해커는 최신 비밀번호 해독 도구를 사용하여 단 몇 초 만에 짧고 간단한 비밀번호, 특히 소문자나 숫자만 사용하는 비밀번호를 해독할 수 있습니다. 그러나 다양한 문자 유형(예: 대문자, 소문자, 기호 및 숫자)을 포함하는 비밀번호와 같이 더 복잡한 비밀번호는 해독하기가 훨씬 더 어렵고 시간도 훨씬 더 오래 걸립니다.
무차별 대입 공격과 사전 공격은 해커들이 가장 많이 사용하는 비밀번호 해독 방법 중 두 가지입니다.
- 에서 무차별 공격해커는 도구를 사용하여 가능한 모든 비밀번호 조합을 체계적으로 시도합니다. 즉, 취약한 7자리 비밀번호는 단 몇 분 안에 해독될 수 있지만 기호와 숫자가 포함된 더 복잡한 16자리 비밀번호는 몇 달, 몇 년이 걸릴 수 있습니다. , 또는 균열하는 데 더 오랜 시간이 걸립니다.
- ~ 안에 사전 공격해커는 사전 정의된 일반적인 단어 또는 비밀번호 목록을 사용하여 올바른 조합을 추측하므로 이 방법은 자주 사용되거나 간단한 비밀번호에 특히 효과적입니다.
얼마나 많은 최종 사용자가 취약하거나 손상된 비밀번호를 사용하고 있는지 알고 싶으십니까? Specops Password Auditor를 사용하여 Active Directory를 무료로 스캔하여 중복, 공백, 동일, 손상된 비밀번호 및 기타 비밀번호 취약성을 식별하십시오.
비밀번호 위험 관리
귀하의 조직에서 가장 큰 비밀번호 보안 위험은 무엇입니까? 사용자의 행동. 최종 사용자는 여러 계정에서 비밀번호를 재사용하거나 취약하거나 기억하기 쉬운 비밀번호를 사용하는 경향이 있어 해커에게 큰 이점을 제공합니다. 해커가 한 계정의 비밀번호를 해독하면 다른 서비스에서도 동일한 비밀번호를 시도하는 경우가 많습니다. 이러한 전술을 크리덴셜 스터핑이라고 합니다. 사용자가 여러 사이트에서 비밀번호를 재사용했다면 어떻게 될까요? 그들은 해커에게 디지털 생활의 열쇠를 효과적으로 제공했습니다.
이러한 위험을 관리하려면 조직에서 올바른 비밀번호 위생을 장려해야 합니다. 최종 사용자에게 여러 사이트나 계정에서 비밀번호를 재사용하지 않도록 촉구하세요. 사용자 교육을 넘어서십시오. 실패한 로그인 시도 횟수를 제한하는 잠금 임계값과 같은 시스템 보호 장치를 구현합니다. 또한 최종 사용자를 위한 다단계 인증을 구현하고 길이, 복잡성 및 변경 간격을 적용하는 강력한 비밀번호 정책을 배포합니다.
암호 및 식별 교정
해커와 도구가 더욱 정교해짐에 따라 조직에서는 비밀번호 구성을 재고해야 합니다. 사용자는 기억하기 쉽지만 해커는 추측하기 어려운 관련 없는 단어의 조합인 암호의 시대를 맞이하십시오. 예를 들어, “hardwood llama spacecraft”와 같은 암호는 임의의 숫자와 문자로 구성된 짧은 암호보다 훨씬 더 안전하지만 사용자가 기억하기도 더 쉽습니다.
암호의 길이(종종 16자 이상)와 단어 조합의 예측 불가능성으로 인해 무차별 대입 공격이나 사전 공격이 성공하기가 훨씬 더 어려워집니다. 여기에서 최종 사용자가 암호 문구를 생성하도록 돕는 방법에 대한 추가 조언을 찾을 수 있습니다.
또한 또 다른 보안 계층을 추가하기 위해 신원 증명 조치를 구현하는 것도 고려해 보세요. 사용자에게 이메일이나 SMS 확인을 통해 신원을 확인하도록 요구하면 해커가 비밀번호를 유출하더라도 보호 기능이 강화됩니다.
프로처럼 방어하려면 해커처럼 생각하세요
해커처럼 생각함으로써 그들을 더 어렵게 만드는 방법을 더 잘 이해할 수 있습니다. 해커는 약하고 재사용되는 비밀번호와 예측 가능한 패턴을 이용해 비밀번호 모범 사례를 무시하거나 MFA를 활성화하지 않는 사용자를 악용합니다.
견고한 보안 정책은 강력한 비밀번호 보호의 기초이며 Specops 비밀번호 정책은 요구 사항을 맞춤화하는 데 도움이 되는 간단한 솔루션입니다. 조직에서는 규정 준수 및 규정 요구 사항을 적용하고, 암호 규칙 설정을 사용자 정의하고, 사용자 정의 사전을 생성하고, 암호 문구를 적용하고, Active Directory에서 40억 개가 넘는 손상된 암호를 지속적으로 검색할 수도 있습니다.
이러한 공격을 효과적으로 방어하려면 조직에서 격차를 줄여야 합니다. 해커가 추측하기 어려운 길고 고유한 암호를 구현하도록 사용자에게 권장합니다. 추가 보안을 제공하기 위해 신원 확인 방법을 구현합니다. 또한 업계 최고의 도구를 활용하여 비밀번호 보안 모범 사례를 시행할 수 있습니다.
