사전 단어로 구성된 기억하기 쉬운 긴 암호가 정말 안전할까요?

Question 1

예, 아니오. 이 주제에 대해 Security.SE에서 많은 논의가 있었습니다. 다음의 인용문부터 시작해 보겠습니다.Jeff Goldberg의 답변:

XKCD 만화가 효과적으로 전달하지 못하는 점은 단어 선택이 (균등하게) 무작위여야 한다는 것입니다. 인간에게 무작위로 단어를 선택하도록 요청하면 구체적인 명사에 대한 편견이 심해집니다. 그러한 편견은 악용될 수 있고 악용될 것입니다.

이것은 아마도 XKCD 계획에 대한 가장 중요한 공격일 것입니다. 인간은 무작위로 뭔가를 생각해내는 데 끔찍합니다. "나는 내 멋진 개와 고양이를 사랑해요"는 확실히 충분히 "길지만" 예측할 수 없는 것은 아닙니다.

(여담으로, Jeff는 XKCD 체계가 실제로 Randall Munroe의 독창적인 것이 아니라는 점을 지적합니다.

"XKCD와 유사한" 비밀번호에 대한 전반적인 아이디어는 적어도 XKCD와 같은 비밀번호로 거슬러 올라갑니다.S/Key 일회용 비밀번호1980년대 초반부터.

)

그만큼가장 많은 투표를 받은 답변우리가 무엇으로부터 방어하고 있는지 알아야 한다는 사실을 상기시켜줍니다.

비밀번호에 대한 일관된 조언이 없는 많은 이유 중 하나는 모든 것이 위협 모델링 문제로 귀결되기 때문입니다. 정확히 무엇을 방어하려고 합니까?

예를 들어, 귀하를 특별히 표적으로 삼고 귀하의 비밀번호 생성 시스템을 알고 있는 공격자로부터 보호하려고 하십니까? 아니면 당신은 유출된 데이터베이스의 수백만 명의 사용자 중 한 명인가요? GPU 기반 비밀번호 크래킹을 방어하고 계십니까? 아니면 단지 약한 웹 서버를 방어하고 계십니까? 악성 코드에 감염된 호스트에 있습니까?

나는 공격자가 암호를 생성하는 정확한 방법을 알고 있으며 단지 당신을 표적으로 삼고 있다고 가정해야 한다고 생각합니다. xkcd 만화는 두 예 모두에서 세대의 모든 세부 사항이 알려져 있다고 가정합니다.

이 짧은 목록을 살펴보십시오. 이 프로필에 적합하다면 XKCD 구성표가 적합할 것입니다.

1. 비밀번호는 한 곳에서만 사용됩니다.

2. 정직한 사람과 스크립트 키드를 귀하의 계정이나 데이터에 접근하지 못하게 하는 것에만 관심이 있습니다.

3. 음... 3은 정말 없어요.

솔직하게 말하면, 당신이 기꺼이 사용하지 않는 한다이스웨어기억에 남는 비밀번호를 생성하려면 심각한 XKCD 체계를 사용하지 마세요.Troy Hunt가 얼마 전에 이 내용을 분석했습니다.. 그가 해당 게시물의 끝 부분에서 말했듯이 "가장 좋은" 비밀번호 조언은 완전히 임의의 비밀번호와 비밀번호 관리자를 사용하는 것입니다.

그래서 저는 총 130개의 계정을 추적하고 있습니다. 이 글을 읽고 30개 미만의 계정을 가진 사람은 거의 없을 것입니다. 지금 당장은 그 모든 계정을 떠올릴 수 없더라도(지금까지 만든 모든 계정을 정말로 기억할 수 있습니까?) 솔직하게 추가하세요. 자주 사용하지 않는 것까지 모두 모아서 무엇을 얻을 수 있는지 확인하십시오. 그리고 지금 30개의 계정이 없다면, 그렇게 되기까지 얼마나 걸리나요? 최근 60대 아버지와 함께 비밀번호 관리 연습을 했고 기술 관련 배경이 없었기 때문에 최악의 경우 일반 온라인 사용자는 손가락과 발가락으로 셀 수 있는 것보다 더 많은 계정을 갖게 될 것이 거의 확실하며 확실히 더 많은 계정을 갖게 될 것입니다. 그들이 자신의 기억을 적용할 수 있는 것보다.

계정이 130개는 아니지만 비밀번호 관리자에는 손가락과 발가락보다 더 많은 계정이 있는 것은 확실합니다. 업무용 컴퓨터의 비밀번호를 변경할 때마다 비밀번호를 외울 수 있을 때까지 약 3주 정도의 시간이 걸립니다. 그리고 그것은 제가 실제로 직접 입력한 2~4개의 비밀번호 중 하나입니다! 이를 30~100개의 계정으로 확장해 보면 단순히 작동하지 않습니다.

Answer