8글자 암호는 2시간반 만에 풀린다
NTLM hash 취약
Windows NTLM으로 hash된 8글자 패스워드는 2.5시간이면 크랙될 수 있는 것으로 드러났다. 암호 크래킹 툴인 HashCat 개발자는 2.14일 트위터를 통해 이 사실을 알렸다. 사용된 장비는 Nvidia RTX 2080Ti GPU를 8개 장착했다.이 정도 장비를 구입하려면 약 1만 달러 정도가 든다. 한편 25달러를 주고 아마존 클라우드를 임대하면, 이 작업을 12분이면 끝낼 수 있다고 주장하는 해커도 있다.
일반화는 어려워
8문자 암호에 대한 크래킹 테스트는 많이 행해져 왔는데, 해시에 사용된 알고리즘에 따라 큰 차이를 보인다. IBM이 2017년에 해시캣을 사용한 연구에서는, NTLM에 대한 크래킹 속도는 334 GH/s(giga hash per second)를 기록한 반면, bcrypt에 대해선 118.6 KH/s(kilo hash per second)에 불과했다. 대략 3천 배 차이가 나는 셈이다.bcrypt는 강력한 해시 함수이지만, NTLM은 오래되고 약한 해시 함수이다. NTLM은 마이크로소프트에서 만든 것으로, 이미 Kerberos로 대체됐다. 다만 오래된 프로그램에서는 아직도 사용 중이며, 이와의 호환성을 위해 사용되는 부분도 있다. 예컨대 Windows 암호를 로컬 기기에 저장할 때와, Active Directory Domain Controllers의 NTDS.dit 파일이 그렇다.
오프라인 암호도 중요
암호 크래킹에 대응해서는 여러 가지 의견이 제시되고 있다. 12자 이상의 암호 사용, 암호 관리 프로그램을 이용해 훨씬 긴 암호 사용 등이다. 또한 평범하지만 관련성 없는 단어를 5개 정도 섞어서 사용하는 것이 더 안전하다는 주장도 있다. 예를 들어 correcthorsebatterystaple 같은 것 말이다.그리고 강력한 암호화 지원과 설정은 오피스 문서 암호 같은 오프라인 암호에서 더 중요하다. 온라인 암호의 경우, 사이트의 신뢰성이 더 중요하다. 견고한 사이트는 2단계 인증을 지원하고, brute-force attack에 대한 여러 대응책을 갖고 있다. 이런 곳이라면 8자리 암호도 충분하다. 그러나 엉성한 사이트는 어떻게 해서든 털리기 쉬워서, 사용자가 아무리 강력한 암호를 만들어도 소용이 없다.
관련 자료
참고 자료
댓글
댓글 쓰기