해커가 사용하는 상위 10가지 비밀번호 크래킹 기술

해커가 귀하의 온라인 계정을 폭로하기 위해 사용하는 암호 크래킹 기술을 이해하는 것은 그러한 일이 절대 발생하지 않도록 하는 좋은 방법입니다.

항상 암호를 변경해야 하며 때로는 생각보다 더 긴급하게 변경해야 하지만 도난을 방지하는 것은 계정 보안을 유지하는 좋은 방법입니다. 언제든지  www.haveibeenpwned.com 으로 이동 하여 자신이 위험에 처해 있는지 확인할 수 있지만 단순히 비밀번호가 해킹당하지 않을 만큼 안전하다고 생각하는 것은 잘못된 생각입니다.

따라서 해커가 귀하의 암호를 얻는 방법(안전한지 여부)을 이해하는 데 도움이 되도록 해커가 사용하는 상위 10가지 암호 크래킹 기술 목록을 작성했습니다. 아래 방법 중 일부는 확실히 구식이지만 아직 사용되고 있지 않다는 의미는 아닙니다. 주의 깊게 읽고 무엇을 완화해야 하는지 알아보십시오.

해커가 가장 많이 사용하는 10가지 비밀번호 크래킹 기법

1. 피싱

해킹하는 쉬운 방법이 있습니다. 사용자에게 비밀번호를 물어보세요. 피싱 이메일은 의심하지 않는 독자를 해커가 액세스하려는 서비스와 관련된 스푸핑된 로그인 페이지로 안내합니다. 일반적으로 사용자에게 보안에 대한 끔찍한 문제를 바로잡도록 요청합니다. 그런 다음 해당 페이지에서 암호를 훑어보고 해커는 자신의 목적을 위해 암호를 사용할 수 있습니다.

어쨌든 사용자가 암호를 기꺼이 알려줄 때 굳이 암호를 해독하는 데 어려움을 겪을 이유가 무엇입니까?

2. 사회 공학

사회 공학은 피싱이 실제 세계에 고착되는 경향이 있는 받은 편지함 외부의 전체 "사용자에게 질문" 개념을 적용합니다.

소셜 엔지니어가 가장 좋아하는 것은 IT 보안 기술자로 위장하여 사무실에 전화를 걸어 네트워크 액세스 암호를 묻는 것입니다. 이것이 얼마나 자주 작동하는지 알면 놀랄 것입니다. 일부는 접수원에게 얼굴을 맞대고 같은 질문을 하기 위해 회사에 들어가기 전에 정장과 명찰을 착용하는 데 필요한 생식선을 가지고 있습니다.

많은 기업이 적절한 보안을 갖추고 있지 않거나 사람들이 획일적이거나 흐느끼는 이야기 때문에 민감한 장소에 접근할 수 있도록 허용하는 것과 같이 그렇게 해서는 안 될 때 사람들이 너무 친절하고 신뢰한다는 것이 여러 번 나타났습니다.

3. 멀웨어

맬웨어는 사용자가 입력하는 모든 것을 기록하거나 로그인 프로세스 중에 스크린샷을 찍은 다음 이 파일의 복사본을 해커 센트럴에 전달하는 스크린 스크레이퍼라고도 하는 키로거와 같은 다양한 형태로 제공됩니다.

일부 맬웨어는 웹 브라우저 클라이언트 암호 파일의 존재를 찾아 복사합니다. 적절하게 암호화되지 않으면 사용자의 검색 기록에서 쉽게 액세스할 수 있는 저장된 암호가 포함됩니다.

4. 사전 공격

사전 공격은 사전에서 찾을 수 있는 단어가 포함된 간단한 파일을 사용하므로 이름이 간단합니다. 즉, 이 공격은 많은 사람들이 비밀번호로 사용하는 단어를 정확하게 사용합니다.

"letmein" 또는 "superadministratorguy"와 같은 단어를 교묘하게 그룹화해도 이러한 방식으로 암호가 해독되는 것을 방지할 수는 없습니다. 몇 초 이상 걸리지 않습니다.

5. 레인보우 테이블 공격

레인보우 테이블은 이름에서 알 수 있는 것처럼 화려하지는 않지만 해커의 경우 비밀번호가 끝에 있을 수 있습니다. 가능한 가장 간단한 방법으로 레인보우 테이블을 미리 계산된 해시(비밀번호를 암호화할 때 사용되는 숫자 값) 목록으로 요약할 수 있습니다. 이 테이블에는 주어진 해싱 알고리즘에 대해 가능한 모든 비밀번호 조합의 해시가 포함되어 있습니다. 레인보우 테이블은 암호 해시를 크랙하는 데 필요한 시간을 단순히 목록에서 찾는 것으로 줄여주기 때문에 매력적입니다.

그러나 레인보우 테이블은 거대하고 다루기 힘든 것입니다. 알고리즘을 해싱하기 전에 암호에 임의의 문자를 추가하여 찾으려는 해시가 "소금 처리"된 경우 테이블을 실행하려면 심각한 컴퓨팅 성능이 필요하고 테이블은 쓸모가 없게 됩니다.

기존에 소금에 절인 레인보우 테이블에 대한 이야기가 있지만 실제로 사용하기 어려울 정도로 큽니다. 사전 정의된 "무작위 문자" 세트와 12자 미만의 암호 문자열로만 작동할 가능성이 높습니다. 그렇지 않으면 테이블의 크기가 국가 수준의 해커에게도 금지되기 때문입니다.

6. 스파이더링

노련한 해커들은 많은 회사 암호가 비즈니스 자체와 연결된 단어로 구성되어 있다는 사실을 깨달았습니다. 기업 문헌, 웹사이트 판매 자료, 심지어 경쟁업체 및 상장된 고객의 웹사이트를 연구하면 무차별 대입 공격에 사용할 사용자 정의 단어 목록을 구축할 수 있는 탄약을 제공할 수 있습니다.

정말 정통한 해커는 프로세스를 자동화하고 주요 검색 엔진에서 사용하는 웹 크롤러와 유사한 스파이더링 응용 프로그램이 키워드를 식별한 다음 해당 목록을 수집하고 대조하도록 했습니다.

7. 오프라인 크래킹

암호를 보호하는 시스템이 서너 번 잘못 추측한 후 자동 추측 응용 프로그램을 차단하여 사용자를 잠그면 암호가 안전하다고 상상하기 쉽습니다. 글쎄요, 대부분의 암호 해킹이 손상된 시스템에서 '얻은' 암호 파일의 해시 집합을 사용하여 오프라인에서 발생한다는 사실이 아니라면 사실일 것입니다.

종종 문제의 대상은 제3자에 대한 해킹을 통해 손상되어 시스템 서버 및 가장 중요한 사용자 암호 해시 파일에 대한 액세스를 제공합니다. 그런 다음 암호 크래커는 대상 시스템이나 개별 사용자에게 경고하지 않고 코드를 해독하는 데 필요한 만큼 오래 걸릴 수 있습니다.

8. 무차별 대입 공격

사전 공격과 유사하게 무차별 대입 공격에는 해커에게 추가 보너스가 제공됩니다. 단순히 단어를 사용하는 대신 무차별 대입 공격을 통해 aaa1에서 zzz10까지 가능한 모든 영숫자 조합을 통해 사전에 없는 단어를 탐지할 수 있습니다.

암호가 몇 자 이상인 경우 빠르지는 않지만 결국에는 암호를 알아낼 것입니다. 무차별 암호 대입 공격은 비디오 카드 GPU의 성능 활용을 포함하여 처리 능력과 컴퓨터 번호(예: 온라인 비트코인 ​​채굴기 같은 분산 컴퓨팅 모델 사용) 측면에서 컴퓨팅 성능을 추가함으로써 단축할 수 있습니다.

9. 숄더 서핑

소셜 엔지니어링의 또 다른 형태인 숄더 서핑(shoulder surfing)은 자격 증명, 암호 등을 입력하는 동안 사람의 어깨 너머로 엿보는 것을 수반합니다. 개념은 매우 낮은 기술이지만 얼마나 많은 암호와 민감한 정보가 있는지 놀라게 될 것입니다. 이런 식으로 도난 당하므로 이동 중에 은행 계좌 등에 액세스할 때는 주변을 잘 살펴야 합니다.

가장 자신감 있는 해커는 소포 배달원, 에어컨 서비스 기술자 또는 사무실 건물에 액세스할 수 있는 모든 것을 가장합니다. 그들이 들어오면 서비스 직원 "유니폼"은 방해받지 않고 돌아다니고 실제 직원이 입력하는 암호를 기록할 수 있는 일종의 무료 패스를 제공합니다. 또한 로그인이 적힌 LCD 화면 전면에 붙은 모든 포스트잇을 눈으로 볼 수 있는 좋은 기회를 제공합니다.

10. 맞춰봐

물론 암호 크래커의 가장 좋은 친구는 사용자의 예측 가능성입니다. 작업 전용 소프트웨어를 사용하여 진정한 무작위 암호를 생성하지 않는 한 사용자가 생성한 '무작위' 암호는 그런 종류가 아닐 가능성이 높습니다.

대신, 우리가 좋아하는 것에 대한 뇌의 정서적 애착 덕분에 이러한 무작위 암호는 우리의 관심사, 취미, 애완 동물, 가족 등에 기반을 둘 가능성이 있습니다. 실제로 비밀번호는 소셜 네트워크에서 채팅하고 프로필에 포함하기를 좋아하는 모든 항목을 기반으로 하는 경향이 있습니다. 비밀번호 크래커는 사전 또는 무차별 암호 대입 공격에 의지하지 않고 소비자 수준의 비밀번호를 해독하려고 시도할 때 이 정보를 보고 몇 가지(종종 올바른) 추측을 할 가능성이 매우 높습니다.

주의해야 할 기타 공격

해커에게 부족한 것이 있다면 그것은 창의성이 아니다. 다양한 기술을 사용하고 끊임없이 변화하는 보안 프로토콜에 적응하는 이러한 침입자는 계속 성공합니다.

예를 들어, 소셜 미디어를 사용하는 사람이라면 누구나 첫 번째 자동차, 좋아하는 음식, 14세 생일 최고의 노래에 대해 이야기하도록 요청하는 재미있는 퀴즈와 템플릿을 보았을 것입니다. 이러한 게임은 무해해 보이고 게시하기에 확실히 재미있지만 실제로는 보안 질문 및 계정 액세스 확인 답변을 위한 공개 템플릿입니다.

계정을 설정할 때 실제로 귀하와 관련이 없지만 쉽게 기억할 수 있는 답변을 사용해 보십시오. "당신의 첫 번째 차는 무엇이었습니까?" 진실하게 대답하는 대신 꿈의 차를 대신 넣으십시오. 그렇지 않으면 보안 답변을 온라인에 게시하지 마십시오.

액세스 권한을 얻는 또 다른 방법은 단순히 비밀번호를 재설정하는 것입니다. 침입자가 비밀번호를 재설정하는 것에 대한 최선의 방어선은 자주 확인하는 이메일 주소를 사용하고 연락처 정보를 최신 상태로 유지하는 것입니다. 가능한 경우 항상 2단계 인증을 활성화하십시오. 해커가 비밀번호를 알아내더라도 고유한 인증 코드가 없으면 계정에 액세스할 수 없습니다.

해커로부터 자신을 보호하는 모범 사례

• 모든 계정에 대해 강력하고 고유한 암호를 유지하고 암호 관리자를 사용할 수 있습니다.
• 임의로 링크를 클릭하거나 이메일에 있는 파일을 다운로드하지 마십시오. 전혀 하지 않는 것이 가장 좋지만 활성화 이메일은 이를 방지합니다.
• 주기적으로 보안 업데이트를 확인하고 적용하십시오. 대부분의 업무용 컴퓨터는 이를 허용하지 않을 수 있으며 시스템 관리자가 이러한 사항을 처리합니다.
• 새 컴퓨터나 드라이브를 사용할 때 암호화 사용을 고려하십시오. 데이터가 있는 HDD/SSD를 암호화할 수 있지만 추가 정보로 인해 몇 시간 또는 며칠이 걸릴 수 있습니다.
• 필요한 항목에만 액세스 권한을 부여한다는 의미인 최소 권한 개념을 사용합니다. 기본적으로 귀하 또는 친구 및 가족이 컴퓨터를 일상적으로 사용하는 경우 관리자가 아닌 사용자 계정을 만드십시오.

자주 묻는 질문

사이트마다 다른 비밀번호가 필요한 이유는 무엇인가요?

암호를 알려주어서는 안 되며 익숙하지 않은 콘텐츠를 다운로드해서는 안 된다는 것을 아마 알고 계실 것입니다. 하지만 매일 로그인하는 계정은 어떻습니까? Grammarly와 같은 임의 계정에 사용하는 것과 동일한 비밀번호를 은행 계좌에 사용한다고 가정합니다. Grammarly가 해킹되면 사용자는 귀하의 은행 비밀번호도 갖게 됩니다.

계정을 보호하려면 어떻게 해야 하나요?

기능을 제공하는 모든 계정에서 2FA를 사용하고, 각 계정에 고유한 암호를 사용하고, 문자와 기호를 혼합하여 사용하는 것이 해커에 대한 최선의 방어선입니다. 앞서 언급했듯이 해커가 계정에 액세스하는 방법은 매우 다양하므로 소프트웨어와 앱을 최신 상태(보안 패치용)로 유지하고 익숙하지 않은 다운로드를 피하십시오.

암호를 유지하는 가장 안전한 방법은 무엇입니까?

독특하고 이상한 여러 암호를 유지하는 것은 매우 어려울 수 있습니다. 계정이 손상되는 것보다 암호 재설정 프로세스를 거치는 것이 훨씬 낫지만 시간이 많이 걸립니다. 암호를 안전하게 유지하기 위해 Last Pass 또는 KeePass와 같은 서비스를 사용하여 모든 계정 암호를 저장할 수 있습니다.

고유한 알고리즘을 사용하여 암호를 기억하기 쉽게 만들면서 암호를 유지할 수도 있습니다. 예를 들어 PayPal은 hwpp+c832와 같은 형식일 수 있습니다. 기본적으로 이 비밀번호는 URL(https://www.paypal.com)의 각 줄의 첫 글자이며 집에 있는 모든 사람의 출생 연도의 마지막 숫자입니다(예시). 계정에 로그인할 때 이 비밀번호의 처음 몇 글자를 알려주는 URL을 보십시오.

암호를 해킹하기 더 어렵게 만들기 위해 기호를 추가하되 기억하기 쉽게 구성하십시오. 예를 들어 "+" 기호는 엔터테인먼트와 관련된 모든 계정에 대한 것이고 "!" 금융 계정에 사용할 수 있습니다.

온라인 안전 실천

전 세계적으로 커뮤니케이션이 순식간에 이루어질 수 있는 글로벌 시대에는 모든 사람이 좋은 의도를 가지고 있는 것은 아니라는 점을 기억하는 것이 중요합니다. 암호 및 소셜 미디어 정보 유출 인식을 적극적으로 관리하고 업데이트하여 온라인에서 자신을 보호하십시오. 공유는 배려이지만 사이버 범죄자의 손쉬운 표적이 되기 위한 개인 정보는 아닙니다.