Passwords aplenty
넘처나는 암호들
Dec 18th 2009 | LOS ANGELES
From Economist.com
How to stay sane as well as safe while surfing the web
어떻게 안전하면서도 헷갈리지 않게 웹을 이용할 수 있을까?
AT THIS time of the year, your correspondent crosses the Pacific to Japan for a month or so. He repeats the trip during the summer. He considers it crucial in order to keep abreast of all the ingenious technology which, once debugged by the world’s most acquisitive consumers, will wind up in American and European shops a year or two later.
이맘 때, 특파원은 태평양을 건너 일본을 한달 남짓 방문한다. 그는 여름에도 이와 같은 일을 한다. 그는 이것이 첨단 기술에 발 맞추어 가는데 필수적이라고 생각한다. 이 기술들은 세계에서 가장 열정적인 일본의 소비자들에 의해 검수 받았고, 한두해 뒤에는 미국과 유럽의 상점들에 활기를 불어 넣을 것이다.
Each time he packs his bags, though, he is embarrassed by having to include a dog-eared set of notes that really ought to be locked up in a safe. This is his list of logons and passwords for all the websites he uses for doing business and staying in touch with the rest of the world. At the last count, the inch-thick list accumulated over the past decade or so—your correspondent’s sole copy—includes access details for no fewer than 174 online services and computer networks.
하지만 짐을 꾸릴때 마다 그는 정말 안전하게 보관되어야 할 귀퉁이가 접힌 한아름의 노트들을 집어 넣는데 골머리를 앓는다. 여기에는 일을 위해 접속하는 웹사이트들과 다른 나라의 사람들과 연락을 위한 로그인 정보와 비밀번호들이 적혀있다. 최근까지 10여년이 넘게 축적된 두꺼운 리스트에는 그 한사람을 위한 카피만 해도 최소 174개 이상의 온라인 서비스와 컴퓨터 네트워크 정보가 기록되어있다.
He admits to flouting the advice of security experts: his failings include using essentially the same logon and password for many similar sites, relying on easily remembered words—and, heaven forbid, writing them down on scraps of paper. So his new year’s resolution is to set up a proper software vault for the various passwords and ditch the dog-eared list.
그는 보안 전문가의 조언을 무시한 것을 후회한다. 그의 잘못은 비슷한 웹사이트들을 위해 같은 로그인 정보와 비밀번호를 사용한 것, 쉽게 기억할 수 있는 단어들을 사용한 것, 또한 당치도 않게 그 정보를 종이에 적어놓은 것이다. 따라서 그의 신년 계획은 적당한 소프트웨어를 찾아 비밀번호를 관리하고 그 낡은 리스트를 버리는 것이다.
Your correspondent’s one consolation is that he is not alone in using easily crackable words for most of his passwords. Indeed, the majority of online users have an understandable aversion to strong, but hard-to-remember, passwords. The most popular passwords in Britain are “123” followed by “password”. At least people in America have learned to combine letters and numbers. Their most popular ones are “password1” followed by “abc123”.
그의 단 하나 위안거리는 그가 자신의 비밀번호로 쉽게 깨지는 단어를 선택해서 쓰는 유일한 사람은 아니라는 점이다. 사실, 온라인의 대다수는 강력하지만 외우기 어려운 암호를 쓰기 싫어하는, 일견 이해가 되는 꺼려함을 가지고 있다. 영국에서 가장 많이 쓰이는 비밀번호는 "123"이고 이에 뒤이어 "password"이다. 미국 사람들은 문자와 숫자를 섞어야 한다는 사실을 배운 것 같다. 그들이 가장 많이 쓰는 암호는 "password1"이고 뒤이어 "abc123"이다.
Unfortunately, the easier a password is to remember, the easier it is for thieves to guess. Ironically, the opposite—the harder it is to remember, the harder it is to crack—is often far from true. That is because, not being able to remember long, jumbled sets of alphanumeric characters interspersed with symbols, people resort to writing them down on Post-it notes left lying around the office or home for all and sundry to see.
불행히도, 외우기 쉬운 간단한 비밀번호는 도둑들에게도 추측하기 쉽다. 역설적으로, 그 정반대, 즉 외우기도 어렵고 따라서 깨지기도 쉬운 비밀번호라는 것도 사실과는 거리가 멀다. 이것은, 너무 길고 알파벳과 숫자가 뒤죽박죽이 되어 기호 사이에 흩어져 외우기 어렵기 때문에, 사람들은 이를 포스트 잇 노트에 써서 사무실이나 집에 전부 붙여놓게 된다.
Apart from stealing passwords from Post-it notes and the like, intruders basically use one of two hacks to gain access to other people’s computers or networks. If time and money is no problem, they can use brute-force methods that simply try every combination of letters, numbers and symbols until a match is found. That takes a lot of patience and computing power, and tends to be the sort of thing only intelligence agencies indulge in.
비밀번호를 포스트 잇 노트에서 몰래 훔쳐 보는 등의 방법과는 별도로 칩입자들은 사람들의 컴퓨터나 네트워크 접근 권한을 얻기 위해 보통 하나 혹은 두개 정도의 해킹 방법을 사용한다. 만약 시간이나 돈이 충분하면 막무가내로 가능한 모든 문자, 숫자, 기호들을 넣어서 비밀번호를 찾아낼 수 있다. 이 방법은 엄청난 인내와 컴퓨팅 파워를 필요로 하기 때문에 첩보 기관에서나 쓰이는 기술이 되었다.
A more popular, though less effective, way is to use commercial software tools such as “L0phtCrack” or “John the Ripper” that can be found on the internet. These use dictionaries, lists of popular passwords and rainbow tables (lookup tools that turn long numbers computed from alphanumeric characters back into their original plain text) to recover passwords.
더 인기있지만 덜 효과적인 방법 하나는 "L0phtCrack"나 "John the Ripper" 같은 인터넷에서 찾을 수 있는 상용 소프트웨어 도구를 사용하는 것이다. 이 소프트웨어들은 사전과 인기있는 비밀번호들의 리스트, 또 레인보우 테이블(알파벳/숫자로부터 계산된 긴 숫자들을 다시 원래의 텍스트로 돌리는 기능을 하는 도구)을 비밀번호를 알아내기 위해 사용한다.
According to Bruce Schneier, an independent security expert, today’s password crackers “can test tens—even hundreds—of millions of passwords per second.” In short, the vast majority of passwords used in the real world can be guessed in minutes. And do not think you are being smart by replacing the letters “l” or “i” in a password with the number “1”; or the letter “s” with the number “5” or the symbol “$”. Cracking programs check all such alternatives, and more, as a matter of course.
보안 전문가 브루스 슈나이더에 따르면, 오늘날의 비밀번호를 도용하고자 하는 사람들은 수천만, 수억개의 비밀번호를 1초에 테스트해 볼수 있다고 한다. 즉, 거의 대부분의 일상적으로 통용되는 비밀번호는 몇 분이면 알아낼 수 있다. 또 비밀번호에서 단지 글자 ‘ㅣ’이나 ‘i’를 숫자 ‘1’로 바꾸거나, 글자 ‘s’를 숫자 ‘5’ 혹은 기호 ‘$’로 바꾼다고 충분할 것이라고 생각하는 것은 금물이다. 해킹 프로그램들도 당연히 그런 수법들을 체크하는 것 이상을 한다.
What should you do to protect yourself? Chose passwords that are strong enough to make cracking them too time consuming for thieves to bother.
비밀번호를 지키기 위해서는 그렇다면 어떤 일을 해야 할까? 충분히 강력해서 알아내는데 시간이 오래걸리고 따라서 도둑들이 짜증나도록 하는 비밀번호를 선택해야 한다.
The strength of a password depends on its length, complexity and randomness. A good length is at least eight symbols. The complexity depends on the character set. Using numbers alone limits the choice to just ten symbols. Add upper- and lower-case letters and the complexity rises to 62. Use all the symbols on a standard ASCII keyboard and you have 95 to choose from.
비밀번호의 강력함은 그것의 길이, 복잡도, 임의성에 달려있다. 최소 8글자 이상의 길이를 가져야 한다. 복잡도는 어떤 글자 집합을 사용하는 지에 달려있다. 숫자만을 사용한다면 10개의 선택지 밖에 주어지지 않는다. 소문자, 대문자 알파벳을 사용한다면 복잡도는 62까지 올라간다. ASCII 표준 키보드에 나오는 모든 기호를 사용하면 95개 중 선택할 수 있다.
The third component, randomness, is measured by a concept borrowed from thermodynamics—the notion of entropy (the tendency for things to become disordered). In information theory, a tossed coin has an entropy of one “bit” (binary digit). That is because it can come down randomly in one of two equally possible binary states.
세번째 요소인 임의성은 열역학에서 차용한 개념인 "엔트로피"로 측정된다. (어떤것이 혼란스러워 지려하는 경향성) 정보 이론에서, 던져진 동전은 1 bit의 엔트로비를 가진다. (이진수) 이것은 가능한 2개의 상태에서 동일한 확률로 하나가 선택되기 때문이다.
At the other extreme, when you set the encryption of a Wi-Fi link, you are usually given the choice of 64-bit or even 128-bit security. Those bit-numbers represent the entropy (or randomness) of the encryption used. A password with 64 bits of entropy is as strong as a string of data comprising 64 randomly selected binary digits. Put another way, a 64-bit password would require 2 raised to the power of 64 attempts to crack it by brute force—in short, 18 billion billion attempts. A 64-bit password was finally cracked in 2002 using brute-force methods. It took a network of volunteers nearly five years to do so.
반면, Wi-fi 링크에 대한 암호를 설정할때는 보통 64bit 혹은 128bit의 보안을 설정해야 한다. 이 bit들은 사용되는 암호의 엔트로비 (임의성)을 나타낸다. 64bit의 비밀번호는 2진수 중에 64번 임의로 선택된 일련의 데이터 만큼의 강력함을 가진다. 다르게 말해서, 64비트의 비밀번호를 알아내기 위해서는 2의 64제곱, 10억이 180억개 있는 것 만큼 시도를 필요로 한다. 64비트 비밀번호는 이러한 단순한 방법에 의해 2002년 깨진 전례가 있다. 자원자들이 동원되어 거의 5년이 걸렸다.
The National Institute of Standards and Technology, the American government’s standards-measuring laboratory in Gaithersburg, Maryland, recommends 80-bit passwords for state secrets and the like. Such security can be achieved using passwords with 12 symbols, drawn from the full set of 95 symbols on the standard American keyboard. For ordinary purposes, that would seem overkill. A 52-bit password based on eight symbols selected from the standard keyboard is generally adequate.
미국 정부의 표준 제정 연구소로 메릴랜드 게이터스버그에 위치한 표준 기술 국가 기구은 주 기밀 문서 등에 대해 80bit의 비밀번호를 권장한다. 이는 95개의 심볼로 이루어진 미 표준 키보드에서 12개를 뽑아서 비밀번호로 사용하는 것과 같다. 일반적인 목적으로 이는 너무 과해 보인다. 표준 키보드에서 뽑아낸 8개의 심볼로 이루어진 52bit의 비밀번호라면 일반적으로 충분하다.
How to select the eight? Best to let a computer program generate them randomly for you. Unfortunately, the result will be something like 6sDt%k&3 that probably needs to be written down. One answer, only slightly less rigorous, is to use a mnemonic constructed from the first letters (plus contractions) of an easily remembered phrase like “Murder Considered as One of the Fine Arts” (MCa1otFA) or “To be or not to be: that is the question” (2Bo-2b:?).
어떻게 8개를 선택해야할까? 컴퓨터 프로그램이 임의로 8개를 선택하게 하는 것이 가장 좋을 것이다. 불행히도, 결과는 "6sDt%k&3" 과 같아서 어딘가에 적어 놓아야 할 것이다. 하나의 해결책은 조금 덜 정확 하지만, 첫 글자들로만 이루어진(축소법도 함께) "Murder Considered as One of the Fine Arts" (MCa1otFA)나 "To be or not to be: that is the question" (2Bo-2b:?) 같은 기억 부호를 사용하는 것이다.
Given a robust 52-bit password, you can then use a password manager to take care of the dozens of easily guessable ones used to access various web services. There are a number of perfectly adequate products for doing this. In an early attempt to fulfil his new year’s pledge, your correspondent has been experimenting with LastPass, a free password manager that works as an add-on to the Firefox web browser for Windows, Linux or Macintosh. Versions also exist for Internet Explorer on Windows and Safari on the Mac.
다양한 웹서비스들의 접근을 위해 쉽게 추측할 수 있는 다수의 비밀번호를 관리해주는 비밀번호 관리자를 강력한 52비트의 비밀번호 하나로 사용할 수 있을 것이다. 이러한 기능을 완벽하게 구현한 다수의 제품들이 있다. 특파원이 그의 신년 맹세를 지키기 처음으로 사용한 것은 LastPass라는 비밀번호 관리자이다. 이것은 윈도우나 리눅스, 매킨토시에서의 파이어폭스 웹 브라우져의 Add-on 형태로 구동된다. 물론 윈도우의 인터넷 익스플로러나, 맥에서의 사파리를 위한 버젼도 있다.
Once installed and given a strong password of its own, plus an e-mail address, LastPass encrypts all the logons and passwords stored on your computer. So, be warned: forget your master password and you could be in trouble—especially if you have let the program delete (as it urges you to let it do) all the vulnerable logons and passwords on your own computer.
인스톨 후에 이 프로그램 자체를 위한 강력한 비밀번호를 하나, 그리고 이메일을 위한 것 하나를 부여하면 LastPass는 모든 로그인 정보와 비밀번호를 암호화해서 설치된 컴퓨터에 저장한다. 따라서 이 프로그램을 위한 마스터 비밀번호를 잃어버리지 않아야 하고, 또 저장되어있는 모든 취약한 비밀번호를 삭제하라고 시키는 경우도 (확인 과정이 있지만) 곤란해 질 수 있다.
Thereafter, to visit various web services, all you have to do is log into LastPass and click the website you wish to check out. The tool then automatically logs you on securely to the selected site. It will even complete all the forms needed to buy goods online if you have stored your home address, telephone number and credit-card details in the vault as well.
그 이후, 다양한 웹 서비스에 접속하기 위해서는 간단히 LastPass에 로그인해서 접속하기 원하는 웹사이트를 클릭하기만 하면 된다. LastPass가 자동적으로 안전한 방법으로 선택한 사이트에 로그인 시켜 줄 것이다. 온라인 쇼핑을 위해 채워 넣어야 하는 집주소, 전화번호, 신용카드 정보들도 이 소프트웨어 속에 안전하게 보관 될 것이다.
Your correspondent looks forward to using the service while travelling around Japan over the next month or so. To be on the safe side, however, his dog-eared list of passwords will still go with him.
이 특파원은 다음달에 있을 일본 방문때 이러한 서비스들을 사용하기를 기대하고 있다. 하지만, 정말로 안전하려면 그의 귀퉁이가 접힌 비밀번호 노트들을 항상 가지고 다녀야 할 것이다.
—————
정말 비밀번호 ‘헬’이다. 누가 마음만 먹고, 충분한 끈기만 가지고 있다면, 비밀번호를 알아내는 것 쯤은 아무것도 아닌 세상이다. 단지 그 타켓이 될 만큼 유명해지지 않기를 바랄뿐.