최근 여러 회사에서 일반 텍스트 형식으로 암호를 저장하는 것을 인정했습니다. 메모장에 비밀번호를 저장하고 .txt 파일로 저장하는 것과 같습니다. 암호는 보안을 위해 솔트 처리하고 해싱해야합니다. 2019 년에는 왜 그런 일이 발생하지 않습니까?
암호를 일반 텍스트로 저장하면 안되는 이유
회사에서 암호를 일반 텍스트로 저장하면 암호 데이터베이스 또는 암호가 저장된 다른 파일이있는 모든 사용자가 읽을 수 있습니다. 해커가 파일에 액세스하면 모든 암호를 볼 수 있습니다.
일반 텍스트로 암호를 저장하는 것은 끔찍한 방법입니다. 회사는 암호를 솔팅하고 해싱해야합니다. 이는 "암호에 추가 데이터를 추가 한 다음 되돌릴 수없는 방식으로 스크램블"하는 또 다른 방법입니다. 일반적으로 누군가 데이터베이스에서 비밀번호를 훔쳐도 사용할 수 없다는 의미입니다. 로그인하면 회사에서 암호가 저장된 스크램블 버전과 일치하는지 확인할 수 있지만 데이터베이스에서 "뒤로 작업"하여 암호를 확인할 수는 없습니다.
그렇다면 회사는 왜 암호를 일반 텍스트로 저장합니까? 안타깝게도 회사는 보안을 심각하게 생각하지 않는 경우가 있습니다. 또는 편의를 위해 보안을 타협하기로 선택합니다. 다른 경우에는 회사가 암호를 저장할 때 모든 것을 올바르게 수행합니다. 그러나 일반 텍스트로 암호를 기록하는 과도한 로깅 기능을 추가 할 수 있습니다.
여러 회사에서 암호를 잘못 저장했습니다
당신은 이미 나쁜 관행의 영향을받을 수 있습니다. 로빈 후드 , 구글 , 페이스 북 , GitHub, Twitter 등은 일반 텍스트로 비밀번호를 저장했습니다.
Google의 경우 회사는 대부분의 사용자를 위해 적절하게 암호를 해싱하고 솔팅했습니다. 그러나 G Suite Enterprise 계정 비밀번호 일반 텍스트로 저장되었습니다. 이 회사는 도메인 관리자에게 암호를 복구 할 수있는 도구를 제공했을 때부터 남은 관행이라고 말했습니다. Google이 비밀번호를 제대로 저장했다면 불가능했을 것입니다. 암호가 올바르게 저장되면 암호 재설정 프로세스 만 복구에 작동합니다.
페이스 북도 암호 저장 허용 일반 텍스트에서는 문제의 정확한 원인을 제공하지 않았습니다. 그러나 이후 업데이트에서 문제를 유추 할 수 있습니다.
… 읽을 수있는 형식으로 저장되는 Instagram 비밀번호의 추가 로그를 발견했습니다.
때때로 회사는 처음에 암호를 저장할 때 모든 것을 올바르게 수행합니다. 그런 다음 문제를 일으키는 새로운 기능을 추가하십시오. Facebook 외에도 로빈 후드 , Github , 및 트위터 실수로 기록 된 일반 텍스트 암호.
로깅은 앱, 하드웨어 및 시스템 코드의 문제를 찾는 데 유용합니다. 그러나 회사에서 로깅 기능을 철저히 테스트하지 않으면 해결하는 것보다 더 많은 문제가 발생할 수 있습니다.
Facebook 및 Robinhood의 경우 사용자가 로그인을 위해 사용자 이름과 암호를 제공하면 로깅 기능이 입력 된 사용자 이름과 암호를보고 기록 할 수 있습니다. 그런 다음 해당 로그를 다른 곳에 저장했습니다. 이러한 로그에 액세스 할 수있는 사람은 계정을 인계하는 데 필요한 모든 것을 가지고있었습니다.
드문 경우지만 T-Mobile Australia와 같은 회사는 보안의 중요성을 간과 할 수 있습니다. 안에 삭제 이후 트위터 거래소 , T-Mobile 담당자는 회사가 암호를 일반 텍스트로 저장한다고 사용자에게 설명했습니다. 이러한 방식으로 암호를 저장하면 고객 서비스 담당자가 확인 목적으로 암호의 처음 네 글자를 볼 수있었습니다. 다른 트위터 사용자가 누군가 회사 서버를 해킹하면 얼마나 나쁜지 적절하게 지적했을 때 담당자는 다음과 같이 응답했습니다.
우리의 보안이 놀랍도록 훌륭해서 이런 일이 일어나지 않으면 어떻게 될까요?
회사는 그 트윗을 삭제하고 나중에 발표했다 모든 암호는 곧 솔트 처리되고 해시됩니다. . 하지만 얼마 지나지 않아 회사가 누군가가 시스템을 침해했습니다 . T-Mobile은 훔친 비밀번호가 암호화되었다고 말했지만 해싱 비밀번호만큼 좋지는 않습니다.
기업이 암호를 저장하는 방법
회사는 일반 텍스트 암호를 저장해서는 안됩니다. 대신 암호는 소금에 절인 후 해시 . 소금에 절인 것이 무엇인지 아는 것이 중요합니다. 암호화 및 해싱 .
솔팅은 비밀번호에 추가 텍스트를 추가합니다.
솔팅 암호는 간단한 개념입니다. 이 프로세스는 기본적으로 제공 한 암호에 추가 텍스트를 추가합니다.
일반 비밀번호 끝에 숫자와 문자를 추가하는 것과 같습니다. 암호에 "Password"를 사용하는 대신 "Password123"을 입력 할 수 있습니다 (이러한 암호 중 어느 것도 사용하지 마십시오). 솔팅은 유사한 개념입니다. 시스템이 암호를 해시하기 전에 추가 텍스트를 추가합니다.
따라서 해커가 데이터베이스에 침입하여 사용자 데이터를 훔친다고해도 실제 암호가 무엇인지 확인하기가 훨씬 더 어려워집니다. 해커는 어느 부분이 솔트이고 어느 부분이 암호인지 알지 못합니다.
회사는 솔트 된 데이터를 비밀번호에서 비밀번호로 재사용해서는 안됩니다. 그렇지 않으면 도난 당하거나 파손되어 쓸모 없게 될 수 있습니다. 적절하게 다양한 솔트 데이터는 충돌을 방지합니다 (나중에 자세히 설명).
암호화는 비밀번호에 적합한 옵션이 아닙니다.
암호를 올바르게 저장하기위한 다음 단계는 해시하는 것입니다. 해싱을 암호화와 혼동해서는 안됩니다.
데이터를 암호화 할 때 키를 기반으로 약간 변환합니다. 누군가 키를 알고 있으면 데이터를 다시 변경할 수 있습니다. "A = C"라고 표시된 디코더 링을 사용해 본 적이 있다면 데이터를 암호화 한 것입니다. “A = C”라는 것을 알면 그 메시지가 단지 타원형 광고라는 것을 알 수 있습니다.
해커가 암호화 된 데이터가있는 시스템에 침입하여 암호화 키도 훔친다면 암호는 일반 텍스트 일 수도 있습니다.
해싱은 암호를 횡설수설로 변환합니다.
암호 해싱은 기본적으로 암호를 이해할 수없는 텍스트 문자열로 변환합니다. 해시를 보는 사람은 횡설수설을 볼 것입니다. "Password123"을 사용한 경우 해싱으로 인해 데이터가 "873kldk # 49lkdfld # 1"로 변경 될 수 있습니다. 회사는 암호를 어디에 저장하기 전에 해시해야합니다. 이렇게하면 실제 암호가 기록되지 않습니다.
이러한 해싱의 특성은 암호화보다 암호를 저장하는 더 나은 방법입니다. 암호화 된 데이터를 복호화 할 수 있지만 데이터를 "해시"할 수는 없습니다. 따라서 해커가 데이터베이스에 침입하면 해시 된 데이터를 잠금 해제 할 키를 찾을 수 없습니다.
대신 암호를 제출할 때 회사에서하는 일을해야합니다. 암호 추측을 솔트 (해커가 사용할 솔트를 알고있는 경우)하고 해시 한 다음 파일에있는 해시와 비교하여 일치합니다. Google 또는 은행에 비밀번호를 제출하면 동일한 단계를 따릅니다. Facebook과 같은 일부 회사는 오타를 설명하기위한 추가“추측” .
해싱의 주된 단점은 두 사람이 동일한 비밀번호를 사용하면 해시로 끝납니다. 그 결과를 충돌이라고합니다. 이것이 비밀번호에서 비밀번호로 변경되는 솔트를 추가하는 또 다른 이유입니다. 적절하게 솔트되고 해시 된 비밀번호는 일치하는 항목이 없습니다.
해커는 결국 해시 된 데이터를 뚫고 나갈 수 있지만, 대부분은 생각할 수있는 모든 비밀번호를 테스트하고 일치를 바라는 게임입니다. 이 과정은 여전히 시간이 걸리므로 자신을 보호 할 시간이 주어집니다.
데이터 침해로부터 보호하기 위해 수행 할 수있는 작업
회사가 비밀번호를 부적절하게 처리하는 것을 막을 수 없습니다. 안타깝게도 평소보다 더 일반적입니다. 회사에서 암호를 올바르게 저장하더라도 해커가 회사 시스템을 침해하고 해시 된 데이터를 훔칠 수 있습니다.
이러한 현실을 감안할 때 비밀번호를 재사용해서는 안됩니다. 대신 다른 복잡한 비밀번호 사용하는 모든 서비스에. 이렇게하면 공격자가 한 사이트에서 귀하의 비밀번호를 발견하더라도 다른 웹 사이트에서 귀하의 계정에 로그인하는 데이 비밀번호를 사용할 수 없습니다. 복잡한 암호는 암호를 추측하기 쉬울수록 해커가 해싱 프로세스를 더 빨리 돌파 할 수 있기 때문에 매우 중요합니다. 암호를 더 복잡하게 만들면 손상을 최소화 할 시간을 벌 수 있습니다.
고유 한 암호를 사용하면 손상을 최소화 할 수도 있습니다. 해커는 기껏해야 하나의 계정에 액세스 할 수 있으며 수십 개보다 더 쉽게 단일 암호를 변경할 수 있습니다. 복잡한 암호는 기억하기 어렵 기 때문에 비밀번호 관리자 추천 . 암호 관리자는 암호를 생성하고 기억하며 거의 모든 사이트의 암호 규칙을 따르도록 조정할 수 있습니다.
일부는 LastPass 과 1 암호 , 현재 비밀번호가 도용되었는지 확인하는 서비스도 제공합니다.
또 다른 좋은 옵션은 2 단계 인증 활성화 . 이렇게하면 해커가 암호를 도용하더라도 계정에 대한 무단 액세스를 방지 할 수 있습니다.
회사가 비밀번호를 잘못 처리하는 것을 막을 수는 없지만 비밀번호와 계정을 적절하게 보호하여 오류를 최소화 할 수 있습니다.
