모든 온라인 계정에 대해 강력하고 고유한 암호를 만들어야 한다는 조언을 여러 번 들었을 것입니다. 그러나 상당수의 사람들이 여전히 이메일, 은행 로그인 및 전자 상거래 계정에 "12345", "암호" 및 "qwerty"를 사용하고 있습니다.
디지털 보안에 대한 이러한 접근 방식에는 많은 문제가 있으며 그 중 하나는 크리덴셜 스터핑 공격에서 개인 데이터에 액세스할 위험입니다. 자격 증명 스터핑은 사이버 범죄자가 과거 데이터 유출에서 훔친 로그인 정보를 가져와 다른 계정에 체계적으로 침입하는 데 사용하는 일종의 무차별 대입 해킹입니다.
- 매우 안전한 비밀번호를 만들고 기억하는 방법
- 로그인을 바로 유지하는 최고의 암호 관리자
- 비밀번호를 재사용하면 안 되는 이유
데이터에 따르면 미국에서는 시간당 360만 개의 크리덴셜 스터핑 공격이 발생합니다. 성공률은 매우 낮지 만 (새 탭에서 열림) 시도 횟수가 많다는 것은 많은 개인 정보가 손상되었음을 의미합니다. 또한 무작위 추측에 의존하는 기존의 무차별 대입 공격과 달리 크리덴셜 스터핑은 사람들이 이미 도난당한 암호를 재사용한다는 사실을 이용합니다.
그렇다면 비밀번호를 보호하기 위해 무엇을 할 수 있습니까?
고유한 비밀번호 사용
진지하게. 80% 이상의 사람들이 여러 웹사이트에서 단일 암호를 사용하지만 암호를 재사용하면 크리덴셜 스터핑의 피해자가 될 위험이 높아집니다. 이는 귀하의 개인 데이터를 손상시키고 재정적 손실 및 신원 도용을 경험할 가능성을 높입니다 .
캘리포니아 데이터 보안 회사인 XYPRO의 최고 정보 보안 책임자인 Steve Tcherchian은 "인간의 본성은 스스로 일을 쉽게 만드는 것"이라고 말했습니다. "우리는 불편한 것을 좋아하지 않습니다. 우리는 빠른 것을 좋아합니다. 따라서 대부분의 사용자는 웹사이트에 대한 거의 모든 액세스에 대해 동일하거나 유사한 사용자 이름/암호 조합을 사용합니다."
사용자 이름과 암호 조합을 혼합하는 또 다른 방법은 로그인할 때마다 동일한 이메일에 의존하는 대신 여러 이메일 주소를 사용하는 것입니다. 하지만 이를 위해 여러 이메일 계정을 설정할 필요는 없습니다.
Gmail 및 Microsoft Office 365에서는 이러한 목적으로 "플러스" 이메일 주소를 사용할 수 있습니다. 따라서 John Smith는 "[email protected]"으로 Amazon에 가입하고 "[email protected]"으로 Facebook에 가입할 수 있지만 각 주소로 전송된 메시지는 [email protected].
비밀번호를 더 강력하게 만드세요
각 계정에 대해 고유한 자격 증명을 생성하는 동안 암호가 쉽게 해독되지 않는지 확인하십시오. 가장 안전한 암호는 길고 복잡하여 추측하기가 더 어렵습니다. 반대로 기억하기 쉬운 암호는 고유하더라도 매우 취약합니다.
비밀번호를 더 안전하게 만드는 몇 가지 방법은 다음과 같습니다 .
- 각 비밀번호는 15자 이상이어야 합니다.
- 소문자와 대문자, 숫자 및 구두점을 사용하십시오.
- 실제 단어와 이름 또는 이메일 주소의 일부를 사용하지 마십시오.
- 생년월일이나 애완 동물 이름과 같이 소셜 미디어에서 찾을 수 있는 정보를 사용하지 마십시오.
비밀번호 관리자 사용
길고 복잡한 많은 로그인을 추적하기 위해 자신의 기억력에 의존하는 경우, 물론 몇 가지 짧고 간단한 암호를 기본값으로 사용할 가능성이 더 큽니다. 다행히 해결책이 있습니다.
최고의 암호 관리자는 새 계정에 대해 강력하고 고유한 암호를 생성하고, 암호를 기억하고, 자격 증명을 재사용하거나 데이터 유출로 인해 정보가 손상된 경우 알려줄 수 있습니다.
암호 관리자는 또한 PC, Mac 및 스마트폰과 같은 여러 장치에서 동기화됩니다. 마스터 암호를 기억하기만 하면 됩니다(또는 Face ID와 같은 생체 인식을 활성화).
이것은 브라우저가 암호를 기억하는 것보다 더 안전합니다. 예를 들어 Chrome이 Apple 키체인을 사용하는 Mac에서 사이버 범죄자는 Gmail 비밀번호를 알고 있으면 모든 것에 액세스할 수 있습니다.
다단계 인증 활성화
MFA(Multi-Factor Authentication)는 새 장치 또는 새 위치에서 계정에 로그인할 때 비밀번호 외에 다른 것으로 신원을 확인하도록 요구하여 보안 계층을 추가합니다. 이 보조 키가 없으면 해커가 비밀번호를 알고 있어도 침입할 수 없습니다. 옵션일 때마다 MFA 또는 2FA를 활성화합니다.
뉴욕의 PWV Consultants 설립자이자 보안 전문가인 Pieter VanIperen은 이러한 키가 크리덴셜 스터핑을 차단할 수 있다고 설명합니다.
일반적인 두 번째 인증 요소에는 문자나 앱을 통해 휴대전화로 전송되는 임시 비밀번호가 포함됩니다. 이것이 안전해 보일 수 있고 아무것도 없는 것보다 나을 수 있지만 범죄자가 SMS를 가로채거나 전화번호를 자신의 SIM 카드로 전송하는 것은 그리 어렵지 않습니다 .
더 나은 옵션으로는 인증 앱( Google Authenticator는 대부분의 주요 서비스에서 작동) 또는 YubiKey 또는 Google Titan 과 같은 물리적 보안 키가 있습니다 .
알림: 적극적으로 로그인하지 않은 계정을 인증하라는 알림을 받고 있다면 다른 사람이 귀하의 정보에 액세스하려고 시도하고 있다는 좋은 신호입니다.
공개 데이터 침해 모니터링
정보가 손상될 수 있는 시기를 알 수 있도록 보안 뉴스를 주시하십시오. 그런 다음 https://haveibeenpwned.com/ (새 탭에서 열림) 에 이메일을 입력하여 귀하의 데이터가 공개 데이터 위반에 노출되었는지 확인하십시오.
결론
데이터 유출 및 자격 증명 스터핑을 완전히 피할 수는 없지만 사이버 범죄자가 성공적으로 계정을 해킹할 가능성을 최소화할 수 있습니다.