패스워드 크래킹
: 컴퓨터 시스템에 저장되거나 전송된 데이터에서 암호를 복구하는 프로세스를 말함
→ 일반적인 방식으로 암호 추측을 반복하거나 암호의 사용 가능한 암호화 해시와 비교하여 확인하는 것
패스워드 크래킹 종류
1) 사전 공격/사전 대입 공격(Dictionary Attack)
- 패스워드로 자주 사용되는 사전에 존재하는 단어, 키보드 자판의 일련순, 주민등록번호, 이름 등을 미리 사전 파일로 만든 후 이를 하나씩 대입하여 패스워드 일치 여부를 확인하여 패스워드 크래킹
2) 무차별 공격/무작위 대입 공격(Brute Force Attack)
- 패스워드에 사용될 수 있는 문자열의 범위(영문자, 숫자, 특수문자 등)를 정하고 그 범위에서 생성 가능한 패스워드를 생성하여 이를 하나씩 대입, 패스워드 일치 여부를 확인하여 크래킹
* 크리덴셜 스터핑(Credential Stuffing): 신원 확인에 필요한 개인정보(자격증명)를 다양한 방식으로 탈취하여 사이트에 방문해 무작위 대입 공격을 시도함
* 크리덴셜(Credential): 암호화된 개인정보, 로그인 자격증명
3) 혼합 공격(Hybrid Attack)
- 사전 대입 공격+무작위 대입 공격 진행
- 사전 파일에 있는 문자열에 문자, 숫자 등을 추가로 무작위 대입하여 패스워드 일치 여부를 확인하는 패스워크 크래킹 방법
- 문자열 뒤에 숫자나 문자를 추가하는 형태의 패스워드가 많이 나옴
4) 레인보우 테이블(Rainbow Table)을 이용한 공격
- 해시 테이블과 R함수의 반복 수행하여 일치하는 해시 값을 통해서 패스워드를 찾아내는 방식
- 해커들이 하나의 패스워드에서 시작해 특정한 변이 함수를 이용해서 여러 변이 패스워드를 생성하여 모아놓은 리스트
→ 각 패스워드의 해시를 고리처럼 연결하여 일정 수의 패스워드와 해시로 이루어진 체인을 무수히 만들어 놓은 테이블
→ 빠르게 비교하여 찾아내기 위해서 생성
* Salt를 이용하여 방어 가능
- Salt: 해시 함수를 돌리기 전에 원문에 임의의 문자열을 덧붙이는 것을 말함
참고
'기타' 카테고리의 다른 글
| [정보보안기사/시스템] 윈도우 인증 서비스(LSA, SAM, SRM 등), 인증 알고리즘, 인증 구조 (1497) | 2023.05.08 |
|---|---|
| [정보보안기사/시스템] 윈도우 인증 서비스(LSA, SAM, SRM 등) (1507) | 2023.04.25 |
| [Security] 위험, 위협 그리고 취약점에 대한 차이점 (0) | 2020.09.10 |