Xeraph@NCHOVY

여기서의 강도는 robber 아니고 strength 입니다.. :)

1. 비밀번호의 글자 수에 의미가 있나요? 저같은 '완전 문외한'이 생각하기엔, 비밀번호 글자수가 많은 건 'PC방 같은곳에서 옆으로 흘겨 보는 것'을 방지하는 것 외에는 어떠한 장점도 없는 것 같아서요. 즉, 비밀번호 글자 수가 많아도 키로그프로그램과 같은 핵 프로그램엔 아무 소용 없는 것 아닌가요?

키로깅을 당하는 상황을 가정하면 아무 의미 없는게 당연합니다. 그렇지만 키로깅이 아닌 경우를 생각해야겠지요. 웹 사이트 등을 대상으로 입력 가능한 모든 조합을 넣어가면서 로그인 시도를 하는 공격이나, 웹 서비스 제공 업체의 DB가 털려서 사용자 정보가 통으로 빠져나가는 경우도 상정해야 합니다.

간혹 다음 같은 포털을 대상으로 일반 사용자 계정을 빼돌렸다고 뉴스 나오는 경우가 있는데 짧은 자릿수의 숫자만 가지고 암호를 만들어놓은 경우 이런 무차별 로그인 공격의 먹잇감이 됩니다. 이제 보안이 취약해서 DB가 털리는 경우를 봅시다. 멀쩡한 웹 서비스 제공 회사라면 암호를 해싱해서 역방향으로는 원본 값을 찾을 수 없도록 해놓는데, 이것도 단어 사전이나 임의의 조합으로 암호를 만들어서 해시가 일치하는지 확인하는 방법으로 원본 암호를 추출할 수 있습니다.

때문에 국정원 등에서는 단순히 암호만 넣고 해싱하는게 아니라 임의의 값(salt)을 추가해서 해싱하도록 권고하고 있습니다. 이렇게 하면 DB가 통짜로 털리더라도 비교적 안전하지요.

아무튼 그런 이유로 암호를 추측하기 어렵게 만드는 것이 중요합니다.

2. 제 친구가 "비밀번호에 #$% 같은 Shift를 써야하는 특수문자를 섞어서 쓰는 것이 더 안전하다."라고 하더군요. 이것이 근거가 있는 이야기인가요?

1과 동일한 맥락에서, 특수문자가 들어가면 암호를 추측하려고 할 때 만들어야 하는 조합의 가짓수가 크게 증가하게 됩니다.