비밀번호가 도난당하는 방법(및 비밀번호를 안전하게 유지하기 위한 10가지 간단한 단계)
게시 됨: 2022-03-15
"RockYou2021: 84억 항목으로 온라인 유출 사상 최대 규모의 암호 편집"
"경찰, 해킹된 클라우드 서버에 2억 2500만 개의 도용된 비밀번호 발견"
이러한 헤드라인은 불행히도 새로운 것이 아닙니다. 비밀번호 유출/도난의 위험은 이제 잘 알려져 있습니다. 기술 마법사는 궁극적으로 암호 사용을 대체할 도구를 개발하고 테스트했지만 전환이 조만간 완전히 구현되지는 않을 것으로 예상됩니다.
대부분의 웹사이트와 앱은 생체 데이터를 통한 인증을 허용하지 않습니다. 현실은 많은 사람들이 여전히 암호 관리자를 사용하지 않고 온라인 뱅킹과 같은 중요한 것을 포함하여 여러 웹사이트와 애플리케이션에서 동일한 암호를 재사용하지 않는다는 것입니다.
즉, 자산을 보호하려면 비밀번호를 보호하기 위한 예방 조치를 취하는 것이(비밀번호 관리자를 사용하지 않는 한) 필수적입니다.
그러나 우리가 거기에 가기 전에 프로세스를 이해하는 것이 이를 방지하는 데 큰 역할을 할 수 있으므로 데이터 누출/도난이 어떻게 발생하는지 살펴보는 것이 가장 좋습니다.
비밀번호 해킹 및 도난 방법
그들은 목표가 비즈니스를 수행한 회사를 대표한다고 주장할 수 있습니다. 그들은 종종 법 집행 요원, 세무 대리인, 사회 보장국 직원을 포함한 정부 관리를 사칭합니다. 때때로 그들은 표적의 가족이나 친구를 대신하여 전화를 걸었다고 주장합니다.
이러한 범죄자들은 요청한 정보를 제공하여 즉시 조치를 취하지 않을 경우 긴급한 느낌을 전달하려고 시도하고, 체포되거나 혜택을 받을 수 없도록 목표를 위협할 수도 있습니다.
이러한 자격 증명은 일치 항목을 찾고 액세스 권한을 얻으려는 수많은 사이트에 대해 신속하게 테스트하는 응용 프로그램에 로드됩니다. 매년 이러한 유형의 공격이 수억 건 기록됩니다.
자격 증명을 훔치는 앱과 기능은 실제로 키로거, 즉 비밀번호뿐 아니라 모든 키 입력을 기록한 다음 이를 악의적인 행위자에게 전송하는 멀웨어 패키지일 수 있습니다.
자격 증명 도용 멀웨어는 평판이 좋은 기업의 사이트처럼 보이도록 설계된 사이트에도 구축될 수 있습니다. 예를 들어, 공격자는 표적의 은행 계좌에서 의심스러운 활동이 관찰되었으며 표적이 즉시 암호를 변경하려면 자신의 계정에 로그인해야 한다고 주장하는 피싱 메시지를 보낼 수 있습니다.
피해자는 메시지의 링크를 클릭하고 합법적인 은행 사이트로 이동하여 비밀번호 재설정 프로세스를 시작하기 위해 로그인 자격 증명을 입력하라는 지시를 받습니다. 그렇게 하면 공격자에게 피해자의 은행 계좌 자격 증명이 제공됩니다.
일부 악성 유사 사이트는 임의의 개인이 우연히 해당 사이트에 접속하여 사용자 이름과 비밀번호를 빼돌릴 수 있기를 바라는 마음에서 만들어집니다.
이것의 하이테크 버전은 메시지 가로채기(man-in-the-middle) 공격입니다. 공용 Wi-Fi 네트워크는 쉽게 사용 가능한 도구를 사용하여 네트워크 트래픽을 모니터링하고 네트워크를 사용하는 사용자로부터 계정 로그인 자격 증명을 비롯한 민감한 데이터를 훔치는 공격자가 자주 사용합니다.
때때로 사이버 범죄자는 사용자 데이터를 훔치는 것이 유일한 목적인 합법적인 비즈니스인 것처럼 보이도록 설계된 자체 공용 Wi-Fi 네트워크를 만듭니다. 공용 Wi-Fi 네트워크는 본질적으로 안전하지 않습니다.
실제로 암호를 훔치려고 하는 공격자의 수와 마찬가지로 사용 중인 암호의 수도 계속 증가하고 있습니다. 비밀번호 보호는 심각하게 받아들여야 하므로 가능한 한 많은 팁을 구현하세요.
"경찰, 해킹된 클라우드 서버에 2억 2500만 개의 도용된 비밀번호 발견"
이러한 헤드라인은 불행히도 새로운 것이 아닙니다. 비밀번호 유출/도난의 위험은 이제 잘 알려져 있습니다. 기술 마법사는 궁극적으로 암호 사용을 대체할 도구를 개발하고 테스트했지만 전환이 조만간 완전히 구현되지는 않을 것으로 예상됩니다.
대부분의 웹사이트와 앱은 생체 데이터를 통한 인증을 허용하지 않습니다. 현실은 많은 사람들이 여전히 암호 관리자를 사용하지 않고 온라인 뱅킹과 같은 중요한 것을 포함하여 여러 웹사이트와 애플리케이션에서 동일한 암호를 재사용하지 않는다는 것입니다.
즉, 자산을 보호하려면 비밀번호를 보호하기 위한 예방 조치를 취하는 것이(비밀번호 관리자를 사용하지 않는 한) 필수적입니다.
그러나 우리가 거기에 가기 전에 프로세스를 이해하는 것이 이를 방지하는 데 큰 역할을 할 수 있으므로 데이터 누출/도난이 어떻게 발생하는지 살펴보는 것이 가장 좋습니다.
비밀번호 해킹 및 도난 방법 
추측 - 가장 간단한 방법
2020년에 가장 많이 사용된 세 가지 비밀번호는 "123456", "123456789" 및 "password"인 것으로 나타났습니다. HaveIBeenPwned에서 사용할 수 있는 도구를 사용하여 검색했을 때(꼭 방문할 가치가 있음) 이러한 암호는 침해된 데이터를 스캔하는 동안 수천만 번 나타나는 것으로 나타났습니다. 2022년 1월 기준 보고 결과는 다음과 같습니다.- 123456 - 37,359,195경기
- 123456789 - 16,629,796경기
- 비밀번호 - 9,545,824경기
피싱 및 기타 사회 공학 공격 변종
사이버 범죄자는 종종 전화(비싱), 이메일(피싱), 문자 메시지(스미싱) 또는 소셜 미디어 계정을 통해 표적에게 직접 연락합니다. 이러한 공격에서 사기꾼은 일반적으로 다른 사람을 가장하여 피해자가 로그인 자격 증명과 같은 민감한 정보를 제공하도록 설득합니다.그들은 목표가 비즈니스를 수행한 회사를 대표한다고 주장할 수 있습니다. 그들은 종종 법 집행 요원, 세무 대리인, 사회 보장국 직원을 포함한 정부 관리를 사칭합니다. 때때로 그들은 표적의 가족이나 친구를 대신하여 전화를 걸었다고 주장합니다.
이러한 범죄자들은 요청한 정보를 제공하여 즉시 조치를 취하지 않을 경우 긴급한 느낌을 전달하려고 시도하고, 체포되거나 혜택을 받을 수 없도록 목표를 위협할 수도 있습니다.
무차별 대입 및 스터핑 공격
언급한 바와 같이 해커는 무작위 암호를 빠르게 생성하고 테스트하여 대상 계정에 대한 액세스를 제공할지 여부를 결정할 수 있는 도구를 사용할 수 있습니다. 무차별 대입(brute-forcing)의 변형인 스터핑(stuffing)은 침해에 노출되고 다크 웹을 통해 범죄자가 사용할 수 있는 이전에 도난당한 자격 증명을 사용하는 것과 관련됩니다.이러한 자격 증명은 일치 항목을 찾고 액세스 권한을 얻으려는 수많은 사이트에 대해 신속하게 테스트하는 응용 프로그램에 로드됩니다. 매년 이러한 유형의 공격이 수억 건 기록됩니다.
자격 증명 도용 멀웨어
피싱 이메일의 악성 링크를 클릭하거나, 감염된 이메일 첨부 파일을 열거나, 실수로 공격자의 웹 사이트를 방문하거나, 평판이 좋은 출처에서 제공하지 않은 앱을 설치할 때 장치가 자격 증명 도용 맬웨어에 감염될 수 있습니다.자격 증명을 훔치는 앱과 기능은 실제로 키로거, 즉 비밀번호뿐 아니라 모든 키 입력을 기록한 다음 이를 악의적인 행위자에게 전송하는 멀웨어 패키지일 수 있습니다.
자격 증명 도용 멀웨어는 평판이 좋은 기업의 사이트처럼 보이도록 설계된 사이트에도 구축될 수 있습니다. 예를 들어, 공격자는 표적의 은행 계좌에서 의심스러운 활동이 관찰되었으며 표적이 즉시 암호를 변경하려면 자신의 계정에 로그인해야 한다고 주장하는 피싱 메시지를 보낼 수 있습니다.
피해자는 메시지의 링크를 클릭하고 합법적인 은행 사이트로 이동하여 비밀번호 재설정 프로세스를 시작하기 위해 로그인 자격 증명을 입력하라는 지시를 받습니다. 그렇게 하면 공격자에게 피해자의 은행 계좌 자격 증명이 제공됩니다.
일부 악성 유사 사이트는 임의의 개인이 우연히 해당 사이트에 접속하여 사용자 이름과 비밀번호를 빼돌릴 수 있기를 바라는 마음에서 만들어집니다.
숄더 서핑 및 메시지 가로채기 공격
"숄더 서핑"이라는 용어는 다른 사람의 어깨 너머로 컴퓨터 또는 장치 디스플레이에 있는 내용을 관찰하고 암호 또는 기타 민감한 정보를 찾으려고 시도하는 전술을 설명합니다.이것의 하이테크 버전은 메시지 가로채기(man-in-the-middle) 공격입니다. 공용 Wi-Fi 네트워크는 쉽게 사용 가능한 도구를 사용하여 네트워크 트래픽을 모니터링하고 네트워크를 사용하는 사용자로부터 계정 로그인 자격 증명을 비롯한 민감한 데이터를 훔치는 공격자가 자주 사용합니다.
때때로 사이버 범죄자는 사용자 데이터를 훔치는 것이 유일한 목적인 합법적인 비즈니스인 것처럼 보이도록 설계된 자체 공용 Wi-Fi 네트워크를 만듭니다. 공용 Wi-Fi 네트워크는 본질적으로 안전하지 않습니다.
10가지 간단한 단계로 해킹으로부터 내 비밀번호를 보호하는 방법
다음은 비밀번호, 계정 및 민감한 정보를 보호하기 위해 쉽게 구현할 수 있는 전략입니다.- 기본 경험 법칙: 암호 관리자/저장소를 얻으십시오. 암호를 안전하게 유지하도록 특별히 설계된 응용 프로그램입니다. 그것들을 사용하면 하나의 마스터 비밀번호만 기억하면 됩니다(아직도 아래 규칙을 따릅니다!).
- 실제 단어를 포함하지 마십시오. 가능하면 "추측"할 것 같지 않은 자신만의 단어를 만드십시오(예: "Radamabla").
- 자신에 대한 생일 및 기타 쉽게 식별할 수 있는 데이터(예: 성)를 사용하지 마십시오.
- 약한(단순한) 암호를 사용하지 마십시오. 비밀번호는 길고 복잡해야 하며 대문자와 소문자, 숫자 및 특수 문자를 포함해야 합니다.
- 계정마다 다른 비밀번호를 사용하세요. 한 계정이 손상되더라도 다른 계정은 동일한 자격 증명을 사용하기 때문에 위험하지 않습니다(특히 이메일 계정과 금융 계정에서 비밀번호를 반복하지 마십시오).
- 가능한 모든 곳에서 2FA(2단계 인증)를 사용합니다. 이렇게 하면 로그인 프로세스에 다른 구성 요소가 추가됩니다. 대부분의 경우 문자나 이메일을 통해 기기로 전송되는 PIN입니다. 공격자가 로그인 자격 증명을 도용할 수 있는 경우에도 이 추가 요소 없이는 로그인을 완료할 수 없습니다.
- 이메일, 문자 또는 소셜 미디어 메시지의 출처를 신뢰할 수 있는지, 특히 메시지에 이상하거나 의심스러운 것이 있는 경우가 아니면 첨부 파일을 열거나 포함된 링크를 클릭하지 마십시오.
- 웹사이트를 방문할 때 HTTPS를 사용하고 있는지 확인하십시오. 잠긴 자물쇠는 이 보안 프로토콜의 사용을 나타내는 브라우저 상단의 사이트 URL 왼쪽에 표시되어야 합니다. 일부 범죄자는 이제 사이트에서 HTTPS를 사용하기 시작했습니다. 따라서 이 방법은 사기꾼으로부터 정보를 보호하는 데 100% 효과적이지 않지만 이 권장 사항을 따르면 악성 사이트를 피하는 데 도움이 됩니다.
- 장치의 운영 체제가 최신 상태이고 업데이트를 자동으로 다운로드 및 설치하도록 설정되어 있는지 확인하십시오. 또한 모든 장치에서 맬웨어 방지/바이러스 백신 응용 프로그램을 실행하고 있는지 확인하십시오.
- 기기에 VPN(가상 사설망) 앱도 설치되어 있고 해당 앱을 사용 중인 경우가 아니면 공용 Wi-Fi를 사용하지 마십시오. VPN은 귀하의 장치에서 오가는 데이터를 암호화합니다. 악의적인 행위자가 가로채더라도 데이터를 해독하고 읽을 수 없습니다. VPN이 없고 공용 Wi-Fi를 사용해야 하는 경우 계정에 로그인하거나 메시징 서비스를 통해 민감한 정보를 보내지 마십시오.
마지막 생각들
10년 이상 동안 기술 간행물은 암호의 종말을 예측했지만 여전히 여기에 있습니다.실제로 암호를 훔치려고 하는 공격자의 수와 마찬가지로 사용 중인 암호의 수도 계속 증가하고 있습니다. 비밀번호 보호는 심각하게 받아들여야 하므로 가능한 한 많은 팁을 구현하세요.