해킹으로 누출된 3개 웹사이트의 계정 데이터베이스에서 각각 50개 그리고 통합해서 250개를 사용 빈도 순으로 정렬한 패스워드 리스트라고 합니다. 총 116782개의 비밀번호가 대상이었다고 하고 이외에 브루트포스 공격의 성공 확률과 많이 사용되는 패스워드 길이와 문자 종류도 분석해 놨네요. 다만 데이터 양이 제법 되는 만큼 스크롤 압박이 살짝 있습니다..–_-;
[via Jimmy Ruska’s Blog]
Singles.org에서 가장 흔한 비밀번호 50개
2009년 2월 21일 기독교인 데이트 네트워크인 singles.org에서 프로필 주소의 숫자만 바꾸면 바로 다른 유저의 아이디와 비밀번호에 접근할 수 있는 어처구니 없는 사고가 발생했습니다. 곧바로 이 보안구멍을 이용한 Bot이 등장했고 이어서 40758개의 계정 정보가 누출되었습니다. 비밀번호 패턴을 보면 사이트 정체성을 드러내 듯 기독교 관련 단어가 많이 보이는군요.
phpBB에서 가장 흔한 비밀번호 50개
2009년 1월 phpBB.com의 뉴스레터 매니저인 PHPlist의 헛점을 이용해 일주일 동안 로그인한 유저들의 비밀번호를 훔쳐냈습니다. 해커는 아직 잡히지 않았지만 재밌게도 Blogspot 계정으로 블로그를 만들어 이 리스트를 일반에 공유했습니다. (28644개의 아이디와 비밀번호)
Myspace에서 가장 흔한 비밀번호 50개
2006년 마이스페이스 대상의 피싱 공격으로 누출된 데이터입니다. (총 47380개의 이메일과 비밀번호)
아무래도 10대 사용자가 많다보니 군데군데 비속어가 눈에 띄네요.. –_-
3가지 통합해서 가장 흔한 비밀번호 250개
해당 데이터베이스에 대해 브루트포스 공격이 얼마나 효율성을 가지는지도 분석했네요. 사전 단어만으로 55%의 결과를 보인 phpBB는 정말 안습이지만 최소 6자리 이상의 비밀번호를 강제하는 마이스페이스에서는 그나마 나은 결과를 보여주는군요. (Milw0rm은 milw0rm.com 사이트의 해킹된 패스워드 데이터를 적용한 거고 Insidepro는 흔히 쓰는 패스워드로 구성된 영어 단어 리스트라고 합니다.)
비밀번호 길이 순서입니다. 생각 외로 제법 긴 패스워드 길이를 사용하는 것 같은데 63자리도 10명이나 보이네요.. ㅎㅎ
마지막으로 가장 사용 빈도가 높은 알파벳, 숫자, 특수문자 리스트입니다.
이상의 데이터로 얻을 수 있는 짦은 교훈
- 특이한 아이디 만드는 데만 신경 쓰지 말고 패스워드도 특이하게 만들자.
- 단순 브루트포스 공격 방지를 위해 꼭 특수문자 몇 개를 넣어주자.
- 길이는 최소 8자 이상
- 해당 웹사이트에 캡챠코드나 잦은 패스워드 오류 시 로그인 제한 같은 시스템이 있으면 더욱 좋음.
'Information' 카테고리의 다른 글
| 서울시립도서관의 장서현황 및 자료현황 (0) | 2009.08.07 |
|---|---|
| 액셀에서 셀병합 단축키 사용법 (0) | 2009.04.20 |
| 식약청, '비타민 음료' 표시 기준 위반 제품 적발. 헐;;;;;; (0) | 2009.04.02 |
| 건망증을 예방하는 6가지 (0) | 2008.12.16 |
| 멜라민 (0) | 2008.09.23 |
