가끔 패스워드 유출사고가 나죠? (재사용한 경우) 모든 사이트가 다 유출되었다 가정해야 할듯합니다.

엉터리로 만든 웹사이트나 서비스들이 의외로 많습니다. 그렇기 때문에 더욱이 중복 패스워드 사용을 피해야 해요.

참고로 리버스가 가능했다면 올바른 해쉬가 아니라 어설픈 인코딩을 했던가 아니면 dictionary나 rainbow table 등의 다른 여러가지 방법들을 통해서 크랙이 된거예요. 해쉬는 원웨이 펑션이라 리버스가 안 됩니다.

hash inverse function이 없는거지 password reverse engineering이 안되는게 아니죠.

"Hash를 다 reverse engineering 가능한 경우" 라고 표현하셨기에 용어가 생소하신 분들이 불필요한 불안감을 가지실까봐 해쉬는 리버스가 안 된다는 점을 말씀드리고 싶었습니다. Hash reverse engineering(자체가 좀 이상한 표현이지만)과 password cracking은 다른 개념이니까요. 그래서 크랙이 된 것이지 해쉬가 리버스 된 건 아니라고 꼭 집어서 설명드렸습니다.

패스워드 털려도 2FA나 Authenticator가 있기는 한데

모든 웹싸이트에서 지원을 하지 않기는 하지요... 현 웹싸이트 포함.

좋은 아이디어 감사드려요. 어떤 옵션이 있는지 한 번 찾아봐야겠네요.

마일모아님 댓글 감사드립니다. ;)

더 아시고 전분적인 분들 계시겠지만, 용도에 따라 보안도 다르긴하겠지만

보통 금융, 개인 정보 많이 들어간 곳은 2FA나 Autenticator, MFA.

저희 마일모아 BBS는 extra layer 필요하다면 OAuth정도 추가하는 것도 좋을 듯해요. 예) 도용방지 펑

구지 도용방지를 제외한 개인정보는 이메일 하고 쓴글들이어서 현BBS에서는 그닥 필요하지는 않을 것 같다는 개인적인 생각입니다.

굳이 마모를 털 큰 동기는 없어보이지만, 일단 SSL은 적용되어 있고, 음... 아에 패스워드를 없애버리고 새로운 기계에선 늘 email로 otp 받아서 로그인하는 정도? 요즘 항공사중 그런데 좀 있는 듯 하네요.

맞아요, 보안은 소중해요. ㅋㅋ 

저처럼 손안대고 코풀기를 좋아하는 앤드유저들은 다음 제차확인 스탭 때문에 귀찮아지죠.

공동인증서??

죄송합니다 

보안 출입증부터 시작하셔야죠... 통합으로 해드릴까요 개별로 해드릴까요

https://www.milemoa.com/bbs/board/10492471

ㅋㅋ

패드워드에 특수문자를 입력하거나 길이를 길게하거나는 보안과는 딱히 관련이 없어요
(아주 쉬운 패스워드 Helloworld123이나 password123 또는 아이디와 패드워드를 동일하게하는 경우를 제외)

그렇다고 모든 사이트에 원타임 페스워드를 넣고 엑셀에 관리하자니 그것도 쉬운일은 아니구요

그래서 비밀번호 생성 팁이 있는데요
패스워드 포맷을 도메인 이름 앞 3자리 + 공통패스워드로 만드는 것입니다

해당 사이트(www.milemoa.com)를 기준으로
도메인 이름 앞 3자리 = mil

공통 패스워드 = MyPassword@123

두개를 합치면 아래와 같습니다.
milMyPassword@123

이렇게 패스워드를 구성하면 모든 사이트마다 고유한 패스워드를 갖지만 패턴이 있기때문에 사용자는 엑셀에 패드워드를 관리 할 필요가 없어이죠.

저렇게 보안에 취약한 사이트도 문제지만, 공공 와이파이를 연결한 상태에서 민감한 정보 입력하는 것을 피하는 것입니다.

와이파이 관리자가 마음만 먹으면 비밀번호 탈취를 할 수 있기때문이죠.

괜찮은 방법이네요 유용한 팁 알아갑니다.

이런 방법이..저도 참고해서 써야겠습니다다

패스워드에 길이를 길게 하는 것은 보안과 매우 관련이 있고 가장 권장되는 방법입니다. 특수문자 대문자 이런거 넣는거보다 그냥 길게 하는게 무조건 훨씬 더 안전합니다.

엑셀..같은데에 넣는것은 매우 위험한 방법이고, 원글에서 언급된 것처럼 패스워드 매니저 프로그램 + 랜덤 패스워드를 쓰는 것이 가장 안전한 방법이겠지만 유료서비스의 비용이나 관리 문제도 있고 하니, 말씀해주신 방법처럼이라도 패스워드를 조금씩 다르게 하는 방법은 적어도 똑같은 패스워드를 쓰는것보다는 훨씬 나은 방법이 맞는것 같습니다.

동의합니다. 컴퓨터 보안을 좀 깊게 공부했어서 첨언드리자면

1. 패스워드 길이를 길게, 더 다양한 문자를 써서 만드건 당연히 보안과 관련이 있고 좋습니다. 왜냐하면 가장 단순한 형태의 공격인 brute force에 덜 취약해지기 때문입니다.

2.도메인 앞 3글자 붙이는 방식도 결국 공통 패스워드 노출되면 다른 웹사이트도 다 뚫리는 건 마찬가지라 추천하기 어려운 방식입니다.

3.공공 와이파이 같은데 접속해도 거의 모든 웹사이트는 HTTPS로 암호화 되기 때문에 와이파이 단에서 웹사이트 비밀번호 보는 거는 불가능합니다.

웹 사이트를 안전하게 쓰는 방법에 대해서는 이미 답은 오래 전에 나왔습니다. 패스워드 매니저 쓰세요. 1Passowrd / Bitwarden 정도 일단 추천합니다만, 뭐 쓸지 너무 고민하시는 거 보다 뭐라도 쓰시면 안 쓰는 것 보다는 무조건 더 낫습니다. 패스워드 매니저 쓰세요. 구독 서비스 중 가장 돈 쓸만한 항목입니다.

이 방법의 위험성은 특정 한사이트만 털리면 역시 다른 사이트가 털린다는 것입니다.

이방법 추천 안합니다.. 두세군데 털리면.. 모든 비번 털릴거 같아요..  차라리 bitwarden 같은 거 사용하는게 더 좋을거 같아요. 

저도 이런 식으로 비밀번호를 조합하곤 했는데, 문제는 password를 3개월마다 reset해야 하는 사이트들은 이렇게 관리하기가 불가능합니다. 더군다나, 과거에 사용했던 password를 재 사용하지 못 하게 하는 곳도 많아서 약간 변형했다가 다시 제자리로 돌아가는 것도 쉽지 않구요. 

Reset 시기 관련한 내용을 조합하면 되죠!

2024 년 1월이면 JA24 를 포함하는등등이요.

사이트마다 없거나 각각 다른 리셋 정보를 비번에 포함시키면 그걸 외우는 것 자체가 일이 되겠죠.

더구나 관리 철저한 사이트들은 예전 비밀번호와 일부가 비슷해도 허용 안하는 경우가 있어서 특정 문자열을 추가하는 방법은 안될 수도 있습니다.

현재로선 믿음직한 관리 프로그램을 사용하는 것이 최선으로 보이네요.

3개월마다 변경이면 좀 어렵기는 한데 1년에 한번정도 reset 이면 보통 2 trial 정도면 올해와 작년 정도만 시도해보면 login 되는것 같아요.

일부포함 허용이 안되는곳은 어렵긴한데... 꼭 별로 중요하지 않은곳들이 이런rule 은 열씸히 만들더라고요. 중요한 곳들은 다 2 factor authentication 으로 가는데....  

Gas 요금 확인이랑 납부만 가능한 웹사이트 주제에 비밀번호 rule 을 너무 복잡하게 해놔서 고생한 기억이;;;

복잡성과 특히 길이는 패스워드에 아주 중요한 역할을 합니다. 보안과 딱히 관련 없다는 말은 틀린 말이에요. 왜 그렇게 생각하셨는지 궁금하긴 한데, 본문 속 케이스처럼 비밀번호가 플레인텍스트로 유출됐을 경우엔 그럴 수 있지만 오히려 그게 비정상적인 상황이죠.

제안하신 방법은 중복 패스워드 사용에 비해서는 낫겠지만 여전히 패스워드 생성에 패턴을 둔다는 것 자체가 추천할만한 건 아닙니다. 어떤 상황에서도 엑셀에 패스워드를 관리하는 건 더더욱 하지 않기를 권장합니다. 패스워드 매니저들 요즘 엄청 잘 나옵니다. 

마지막으로... 와이파이 관리자가 마음만 먹으면 비밀번호를 탈취할 수 있다는 거 어떤 식으로 가능한지 설명해 주실 수 있을까요?

unencrypted traffic 이야기하시는 것 같은데, 요즘은 아예 encryption이 안되면 접속이 안되는 경우도 있습니다. (예: 크롬, 보안경고 무시하면 접속가능). 그런 정도만 주의해도 wifi 쓰는데 문제 없을 듯 한데요.

22 요새는 어지간히면 다 https죠. 특히나 한국 사이트들은 다 정부에서 강제 시켰을 겁니다. 

물론 와이파이 사용하려면 무조건 루트인증서를 신뢰하게 만든다던지 man in the middle attack을 가능하게 하는 환경이면 모르겠습니다만...

요즘은 센시티브한 데이터가 오가는 서비스/웹사이트 중에 https 사용하지 않는 곳을 찾기가 더 힘든 상황인데, 스태커님께서 네트워크 관리자는 마음만 먹으면 다 들여다볼 수 있는 것처럼 비약적으로 말씀하셔서(again 불필요한 불안감 조성을 막고자) 질문 아닌 질문으로 설명을 부탁드려봤습니다.

윗분 말씀처럼 네트워크 관리자는 MITM로 들여다 볼 수 있는 능력은 있습니다, DLP를 엔드 포인트에서만이 아닌 네트워크에서도 탐지하는 기업이나 관공서가 예가 될 수 있겠네요. 

TLS 트래픽의 데이터를 들여다 보려면 프록시 서버를 사용한 HTTPS interception/inspection과 같은 DLP를 사용해야 가능할텐데, 클리이언트 디바이스에 이를 알리고 trusted certificates가 설치돼야 하는 경우라 스태커님깨서 말씀하신 것처럼 퍼블릭 네트워크의 관리자가 다 들여다 볼 수 있다는 얘기와는 조금 다른 특수 상황이라고 생각합니다.

어떤 상황에서도 불가능하다고 하는 얘기는 아니었고, 비약적으로 퍼블릭 네트워크의 관리자가 다 들여다 볼 수 있다는 말이 주는 불필요한 불안감을 막고 싶어서 생각하시는 그런 게 아니라는 얘기를 하고 싶었어요.  

제 경우에는 엑셀에 정리하고 엑셀 자체를 패스워드로 락 해놓았는데요, 패스워드 락 걸린 엑셀파일도 해킹되기 쉬운가요?

패스워드라도 걸어두면 그나마 좀 낫긴 하지만, 엑셀 패스워드는 금방 풀어버리는 프로그램들도 있어요. 그다지 믿을만한 보안 장치가 아닙니다. 해킹은 둘째 치고 파일 깨지거나 지워지면 복구 플랜이 필요할텐데, 그 엑셀 파일은 어떻게 백업 해두시나요?

저는 엑셀에 lock 걸어두고 20년간 icloud 에서만 열고 닫고 하는데 아직까진 안전하네요.

요즘은 그냥 전화기 App에서 face ID로 열고 닫고 하니 그나마 PW 쓸일도 별로 없고 2step verification 다해 노으니 참! 해커들도 먹고살기 힘들겠다는 생각이 들기도 하네요.

나쁜 사람들이 일개 개인 컴퓨터를 공들여 해킹할 가능성도 그리 높진 않을테니, 엑셀 파일에 락 걸어두고 클라우드에 저장해서 쓰는 정도면 뭐 보통은 별 탈 없겠습니다. 가정집 문 안 잠그고 다닌다고 해서 꼭 그 집에 도둑이 들진 않지만, 그 동네에 도둑이 들게 되면 그 집은 비교적 손쉽게 털리게 된다고 생각하면 비슷하겠네요.

아무튼 엑셀이 패스워드 관리를 위해 디자인 된 프로그램은 아니다 보니 패스워드 매니저들에 비해 보안성이나 편의성에서 아주 아주 크게 밀립니다. 검색해 보면 좋은 글들이 많을테니 여기서 괜히 글 길어지게 비교하진 않겠습니다. 최소 수십개에서 최대 수백개에 달하는 패스워드를 엑셀에서 관리하려면 시간 꽤나 써야 할 것 같은데, 20년 간 해오신 것도 대단하시네요. 뭐든 개인의 선택이니 이미 하고 계신 걸 하지 마십사 설득할 마음은 없습니다. 다만 글 보시고 이제 패스워드 관리를 시작하시는 분들께서 패스워드 매니저 대신 엑셀을 선택하는 일은 막고 싶네요.

아 엑셀파일 패스워드 해킹하는 툴이 또 따로 있었군요. 제 경우엔 엑셀파일은 클라우드에 백업해 두고요. 이 엑셀파일 패스워드는 특별히 더욱 길고 복잡한 패스워드를 정해 놨어요.. 정말 백개는 쉽게 넘는 아이디 정리가 쉽지 않네요 ㅜㅜ 

댓글에 많이 언급되는 패스워드 매니저들로 넘어오세요. 훨씬 편하고 안전하게 관리하실 수 있습니다. 금방 익숙해지고 나면 내가 왜 이제껏 엑셀로 이러고 있었나 하는 생각이 드실 겁니다.

패턴으로 하시려면 password spectre 같은 앱도 있습니다.

정확히는 그 앱 내부에서 이름, 아이디, 솔트 같은 규칙으로 암호를 만드는데 결과물 자체는 패턴이 없어 보이는 겁니다.

그래서 로컬 디바이스에 저장되는 패스워드도 없고 패스워드를 만들어내는 규칙만 있습니다.

(물론 여러개 유출되서 비교하면 찾아낼수도 있겠지만요)

https://spectre.app

좋네요. 이정도 app 은 직접 만들어서 써도 될것 같아요.

Lastpass를 고려하신다면 여러번 보안사고가 난 적이 있다는 점을 리마인더 드릴께요

https://www.milemoa.com/bbs/board/9762248

믿을 곳 하나 없네요 ;;

bitwarden 한번 찾아보세요.. 아직 사고는 없는거 같아요.. 레딧에서 많이 추천하구요. 

확인해 보겠습니다. 고맙습니다.

+11

저도 이것 사용하고 마음의 평화가 찾아왔어요. 

이젠 마일모아 패스워드도 이걸로 해결하죠.  

명심해야 하는 것은 메인 패스워드는 길고 복잡하게 만들어야합니다. 

그리고 공짜입니다. 

+1

1패스워드도 좋긴한데 얼마 안하지만 유료구요. 저는 회사에선 원패스워드, 개인으론 빗워덴 쓰는데 장단점이 있는것 같습니다.

 여러번 이걸 강조 드리고 싶습니다. 

안그래도 요즘 하루에 몇 번씩 개인 지메일 어카운트에 로긴 시도하는 아르헨티나, 독일, 중국, 터키 IP 때문에 너무 짜증나는 중입니다. 어제는 두 번이나 로긴에 성공 했더라구요. Authentication 한 번 더하는걸로 바꿔놓긴했지만, 이런 창과 방패의 싸움을 언제까지 계속하게될지.... 

아이폰을 사용하시는 경우에는 Password 메니져를 추천합니다.  패스워드를 생성해주기도 하고,  그리고 중복된 패스워드를 사용시 이것에 대해서 경고도 해주고요.  아이폰 앱의 패스워드도 저장을 해주고요.  사파리하고도 연동이 되어서 아주 편하더군요.   크롬도 비슷한 기능이 있는데,  편결일수도 있는데 브로우져를 통해서 저장이 되니 뭔가 허술해 보이기도 해서 사실 간단한 웹사이트가 아니면 쓰지를 않습니다. 

"그간 password 유출로 보고된 모든 사례에서 전부 plain text가 그대로 유출되었습니다."

죄송한데요. 다른분들은 다 이해하신 것 같은데 저는 무슨 말인지 잘 모르겠어요... 예를 들어 비번이 milemoa였다면 milemoa가 (plain text) 그대로 유출되었다는 뜻인가요?

네. Clear text라고 표현했어야 하나요? 그간 여러 신용정보회사들에선 모호하게 표현했는데 구글One에서 보여주는 리포트에선 유출된 비번이 뭔지도 보여주는데 모든 경우가 clear text였어요.

저도 이해가 잘 안가는데,

예를 들어서 @password1234 가 패스워드였다면 @, 1234 는 빠지고 password 만 있었다는 얘기인지요??

number, special character 는 빠지고 그냥 text 만 있었다는 얘기인가요??

제대로 다룬다면, 웹사이트 등에서는 @password1234를 해시 함수란걸 써서 250a24691402a5fa6f0ffb2bb5888b39 같이 (예시는 가장 엉터리 해시중 하나인 md5) 전혀 다른 형태의 값으로 만들어 데이터베이스에 저장을 해야합니다. 해시함수란건 A->B 는 쉬워도 B->A는 안되는게 원칙이거든요. 따라서 B가 탈취되더라도 A가 알려지지 않아야 합니다. 근데 오리지널 암호인 A가 어찌되었건 돌아다닌다는 뜻이지요. 

맞습니다. 이건 구글One이 생성한 Dark Web report의 예인데요. Linkedin 2016년 유출사건입니다.

제가 일부러 지웠는데 실제 유출된 email과 password가 뭐였는지 앞 2자리만 표시해주면서 다음 글자들은 지웠다. 니 패스워드가 아니라 남의 것일수도 있으니까. 근데 앞 2자리만 봐도 제것이란걸 알아요. 정확히 기억이 나니까.

2016년의 Linkedin은 구멍가게가 아니라 실제 패스워드를 저장할 수준의 회사는 절대 아니고 hash만 유출된 것으로 확인되었어요. 근데 거기서 멈추는게 아니라 실제 입력했던 패스워드가 그대로 공개된채로 dark web에 돌아다닌단 것이에요. 매우 충격적이죠. 제가 쓴 패스워드는 일반적인 공격에서 깨질 패스워드는 절대 아닌데, 별로 민감하지 않은 곳들은 재사용을 좀 하고 있었거든요. 추정하기로는 같은 email을 id로 쓰고 같은 passwd를 쓴게 한번이라도 raw password로 저장된 것이 영세사이트에서 털린적이 있었다면 그 정보가 돌아다니다가 linkedin 유출된 hash와 비교해보고 맞으면 linkedin clear text password도 db에 추가되어 계속 정보가 축적되면서 유통되고 있거나 될 수 있다고 구글원이 경고하는 것 같습니다. 저는 가끔 darkweb에 돌아다니는 엄청 방대한 양의 유출된 id/password를 받아다 보안검색을 하는데 제 패스워드를 발견한 적은 한번도 없어서 구글원 리포트를 보기 전까진 가능성은 있지만 실제로 이렇게 돌아다닌다고 생각한 적이 한번도 없었거든요. 실제 그런 형태로 돌아다니는건지 구글이 조합해 이렇게 쓰일수 있다 보여주는 것 뿐인지는 알수 없는데, 구글원 리포트가 그런 의미에선 엄청 경각심을 갖도록 만들어졌다 볼 수 있습니다.

이런 상태면 기존 ssn 유출된 db랑 join된 이메일, 이름, SSN, 생일, 주소, (유츌)패스워드들 및 가입된 website들 다 가진 상당히 치밀한 개인정보 DB도 돌아다니고 있을 가능성이 높다 생각되는 것이구요. ATT에서 7100만명, TMobile에서 4000만명 이상 정보가 유출된 것으로 알고 있어요. 참고로 저는 2021년 시점 ATT/TMobile 모두 가입상태가 아니었지만 이전 가입자 정보까지 다 털린 것이거나 MVNO정보도 함께 털린 것으로 추정됩니다.

이쯤 되면 전에 마모님이 공개한 본인 명의로 Castro씨가 대출 받아가고 잠수탄 사례가 특별히 운이 없는 사례가 아니라 그냥 일반적인 사례일 수 있단 것이에요.

https://www.milemoa.com/bbs/board/10526641

그리고 더한 일이 벌어질수도 있단 것이구요. 온라인이 참 편해진 만큼 동시에 진정한 wild wild west가 되었다고나 할까요?

얼마전에 뉴저지에 있는 한 휴대전화회사 대리점 직원이 해커에게 sim카드 위조하는걸 도와주고 비트코인 받았다가 체포된 일이 있는데

동기만 충분하다면 휴대전화까지 이런 식으로 탈취해 더 큰 일을 벌이는 것이 가능하다는 것이죠.

https://www.justice.gov/usao-nj/pr/former-telecommunications-company-manager-admits-role-sim-swapping-scheme

2016년이 아니라 2012년에 링크드인이 해킹 당했었습니다. 문제는 그 당시 링크드인이 "Unsalted" SHA-1 해쉬를 해서 금방 패스워드들이 크랙이 됐고요. 그 크랙된 패스워드들이 2016년에 다크웹에 릴리즈 됐던 사건입니다. 

설명 감사합니다. 정말 어마무시하네요. 저는 한국은 심해도 미국은 덜 한 줄 알았는데 더 심하네요. 마모님 케이스 보고 저도 크레딧 프리즈 시키려고 했는데 전번을 바꾼 상태라 본인인증이 안돼서 안되더라구요. 어쩔 수 없이 각 은행에서 크레딧 변동만 확인하고 있어요.

다들 너무 전문적인 용어로 자세히 말씀해 주셔서 오히려 혼란스러운 측면이 있는데, plain clear 다 잊어버리시고 그냥 패스워드 전체, 예를 들어 @password1234 가 그대로 공개되어 해킹된 사이트의 다른 개인정보와 함께 돌아다니고 있다는 뜻입니다. 패스워드는 암호화시켜 별도로 관리해야 하는데 관리가 허술했다거나 특별한 침입이 있었다는 이야기죠.

감사합니다. 너무 무지해서 잘 못알아듣고 있었는데 이해가 갑니다. 패스워드가 해쉬(?)라는 복잡한 언어로 재저장되어 있어 그게 털려도 원 패스워드는 안털려야 정상인데 그걸 제대로 못하는 사이트들이 털리면서 원 패스워드가 돌아다닌다. 대충 이렇게 감을 잡았습니다. 

네, 맞습니다.

보통 이메일 - 패스워드 구성으로 로그인을 많이들 하니까 한군데서 털리면 나쁜 놈들이 그걸 이용해서 다른 사이트도 들여다볼 가능성이 높아지니 문제가 커지는 거죠. 사이트별로 패스워드를 별도로 관리하면 좋지만 일일이 외우기 어려우니 별도의 프로그램이나 자기만의 패턴을 이용해서 각자 신경써서 비밀번호를 관리해야 한다는 것이구요.

감사합니다.

그냥 '패스워드가 다 유출되었다'라고 하면 더 알기 쉽지 않았을까 덕구님께 여쭤봅니다. ㅎㅎ

저도 얼마전 체이스에서 니 패스워드 다크웹에 있더라... 라고 와서 확인해보니 제 이멜 패스워드가 맞긴 한데 아주 예전에 쓰던게 유출된거더라구요.

그 패스워드는 벌써 4-5년은 된 것 같은데.

아 죄송합니다. 제가 한국어 쓰기 연습하는데가 마모라서 조금 서투릅니다. 체이스에서 알려줄때도 구체적으로 패스워드 내용까지 구체적으로 유출되었다고 알려주나보네요?

"그 패스워드는 벌써 4-5년은 된 것 같은데" - 예전 패스워드라도 몇개 다크웹에 유출되면.. 비슷한 패턴을 찾을수 있고.. 그럼 다른 유출안된 곳 패스워드도 유추가 가능하다는게 제일 위험한거 같습니다. 특히 이멜로 로인이 되면 패스워드만 찾으면 되니까요.  사실 마음먹고.. 다크웹 자료로 AI 툴 잘(?) 개발하면.. 패스워드는 쉽게 찾을거 같아요..

심난하군영

이 분야에서 일하고있어 이런 글 올라오면 재미있고 기분이 좋네요, 원글님께서 쓰신 내용은 credential stuffing 공격 기법이고 의외로 쉽게 통하는 기법중 하나입니다

2FA/MFA 꼭 설정해 놓으시고 https://haveibeenpwned.com/ 같은 곳 가끔씩 체크하셔서 개인정보 관리에 조금 신경써주세요~