패스워드 크래킹

보안기사/01. 시스템 보안

이우정 2021. 6. 7. 13:42

728x90

- 공격자가 사용자의 패스워드를 평문 형태로 알아내는 공격

Cracking (깨지다, 부서지다, 깨뜨리다, 부수다)

- 쉽지만 강력한 공격방법

- 운영중인 시스템의 관리자 권한 탈취

- 서버 case : 취약한 패스워드나 임시 사용자의 패스워드 공격

- 개인 case : 인터넷 사이트에서 사용하는 동일한 패스워드 공격

( 크리덴셜 스터핑 : 사용자의 계정, 비밀번호, 암호화 된 개인정보를 획득하여 여러 사이트에 무작위 대입 하는 공격 )

종류

1. 사전 공격 (Dictionary Attack)

- 패스워드로 자주 사용되는 단어를 사전 파일로 만들어놓고, 자동화 툴로 사전파일 단어를 대입하여 일치 여부 확인

=> 패스워드가 길면 평균적으로 오랜 시간이 걸림

2. 무차별 대입 / 무작위 대입 공격 (Brute Force Attack)

- 패스워드로 사용될 수 있는 영문자(대소문자), 숫자, 특수문자 등을 무작위로 패스워드 자리에 대입하여 패스워드를 알아내는 기법

3. 혼합 공격 (Hybrid Attack)

- 두 공격 방법을 혼합하여 기존 사전 파일 문자열에 문자, 숫자 등을 추가 대입하여 공격

4. 레인보우 테이블 공격 (Rainbow Table Attack)

- 패스워드와 해시로 이루어진 테이블을 무수히 만들어놓은 체인을 이용

- R함수 : 모든 값을 저장하지 안고 특정 값만 저장하여 패스워드를 역으로 알아냄 -> 테이블에 사용

5. 충돌 공격 (Collision Attack)

- 해시 함수 특성상 같은 문자의 경우 같은 해시값을 가져 충돌이 발생함

- 무작위로 대입하여 같은 해시값이 나올 때까지 반복

=> 솔트(salt) 기술 병합으로 방지 (패스워드 + 해시 + 솔트 -> 다른 해시값 결과)

6. 사회공학적 공격 (Guessing Attack)

- 사용자의 인적사항, 행동, 실수 등을 통해 알아냄

ex) 공동체 내의 공통적인 암호 등을 유추하여 패스워드를 알아냄

패스워드 크래킹 툴

- 존 더 리퍼 (John the ripper)

- Ophcracker : 레인보우 테이블

- 카인과 아벨 (Cain & Abel) : 윈도우 GUI, 스니핑, ARP 포이즈닝, 중간자 공격 (MITM)

- 히드라 (Hydra) : 네트워크 패스워드 트래킹 툴

- 메두사 (Medusa) : ,,

- 에어크랙 (Aircrack) : 무선 네트워크 패스워드 크래킹 툴

개인정보의 기술적, 관리적 보호조치 기준

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화본호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

728x90