복잡한 비밀번호 꼭 안전하지만은 않다(Complex Passwords Don’t Always..

 

복잡한 비밀번호 꼭 안전하지만은 않다

(Complex Passwords Don’t Always Protect PCs)

 

Passwords are meant to protect users’ privacy and keep personal information safe from hackers and identity thieves. Users ①_____ ______ _____ ____ create complicated passwords that contain numbers and letters to protect against hackers.

But some computer security experts say that all that effort is not going to help keep information private, unless users protect their computers from keylogging software. Keylogging software can get installed on a computer through a virus. once it is on the PC, ②____ _____ ______ ____ all keystrokes, and can figure out which keystrokes make up a password. It is a clever way to access personal information, and that is why Cormac Herley, a security specialist at Microsoft Research, says it is more important to keep keylogger software out of your PC than creating an elaborate password. Herley says most keyloggers can be found with antivirus software.

Herley spoke recently at the New Security Paradigms Workshop in Oxford, England. At the workshop, he said users need to be aware of computer security issues, but system administrators and security professionals are the ones that need to be making smarter decisions for their companies and users.
 

In fact, Herley and his colleague, Dinei Florêncio at Microsoft Research assessed the password policies for 75 websites. They found that several websites that have access to financial information have very simple password requirements. They reported that many sites such as Amazon.com, Paypal and Fidelity Investments had weak password requirements. Amazon.com only requires that passwords ③_____ _____ _______ _______ __________ ______. Users can keep the same password for as long as they want. University and government websites have the strongest password policies. They tend to require very complex passwords that must be changed on a regular basis.

Many people believe a complex password is more secure than a short, simple one. But Donald A. Norman, co-founder of consulting firm Nielsen Norman Group, warns that when users have to create complicated passwords, they tend to write them down and store them where they are easily found.

Short passwords can also be easy to figure out. Herley and Florêncio recommend websites block users ④___ ______ _______ __________ ______ ___ after a certain number of attempts. This would prevent any hacker or virus from figuring out a short, simple password.

* personal information 개인 정보
* complicated password 복잡한 비밀번호
* keystroke 컴퓨터 키 한 번 치기
* figure out 파악하다
* security specialist 보안 전문가
* on a regular basis 정기적으로
* co-founder 공동 설립자

① are often told to
② it keeps track of
③ be at least six characters long
④ if they cannot successfully log in

복잡한 비밀번호 꼭 안전하지만은 않다

비밀번호란, 사용자들의 사생활과 개인 정보를 해커와 신원 도용으로부터 보호하기 위한 것이다. 사용자들은 종종 해킹 피해를 방지하기 위해 다양한 숫자와 문자를 사용한 복잡한 비밀번호를 설정해달라는 요청을 받는다. 그러나 일부 컴퓨터 보안 전문가들은, 사용자가 컴퓨터를 키로깅 (키입력 감시) 프로그램으로부터 보호하지 않는다면, 이러한 노력으로도 개인정보 유출을 막을 수 없다고 말한다.

키로깅 프로그램은 바이러스를 통해 컴퓨터에 설치된다. 이 프로그램이 컴퓨터에 설치된 이후로는 키보드로 입력한 모든 정보를 기록하여, 비밀번호가 어떤 키로 이루어지는지 알아낼 수 있다. 이것은 개인 정보를 도용하는데 아주 효과적인 방법인데, 그렇기 때문에 마이크로소프트 리서치의 코맥 헐리는 복잡한 비밀번호를 사용하는 것보다 키로깅 프로그램의 감염을 방지하는 것이 더 중요하다고 말한다. 헐리는 대부분의 키로깅 프로그램이 백신 프로그램을 통해 감지될 수 있다고 한다.

헐리는 최근 영국 옥스포드에서 열린 신 보안 패러다임 워크숍에서 발표를 했다. 이 워크숍에서 그는, 사용자들이 컴퓨터 보안 문제에 대해 관심을 가져야 하지만, 시스템 관리자와 보안 전문가들도 자신들의 기업체와 사용자들을 위해 좀더 현명한 결정을 내려야 한다고 말했다.

실제로, 헐리와, 마이크로소프트 리서치에서 같이 일하는 동료인 디네이 플로렌시오는, 75개 웹사이트의 비밀번호 정책을 평가했다. 이들은 금융 관련 정보를 조회할 수 있는 몇몇 웹사이트에서 아주 단순한 비밀번호만을 요구한다는 것을 발견했다. 이들은 Amazon.com, Paypal, Fidelity Investments 등 다수의 사이트들이 취약한 비밀번호를 요구한다는 사실을 밝혀내었다. Amazon.com은 비밀번호로 최소6글자만을 요구하고 있다. 사용자들은, 그들이 원하는 동안에는 같은 비밀번호를 계속 사용할 수 있다. 대학과 정부 웹사이트들이 가장 엄격한 비밀번호 정책을 지니고 있다. 이 사이트들은 아주 복잡한 비밀번호를 사용할 것과 비밀번호를 주기적으로 바꿀 것을 요구하고 있다.

복잡한 비밀번호가 짧고 간단한 비밀번호보다 안전하다고 생각하는 사람들이 많다. 그러나 컨설턴트 회사인 니엘슨 노만 그룹의 공동 설립자인 도날드 A 노만은, 사용자들이 복잡한 비밀번호를 써야 하는 경우에는, 그것을 쉽게 찾을 수 있는 곳에 비밀번호를 적어두거나 저장(보관)하는 경향이 있다고 경고한다.

짧은 비밀번호도 쉽게 노출될 수 있다. 헐리와 플로렌시오는 웹사이트들에게, 사용자가 일정 횟수의 시도 후에 로그인에 실패하면, 그 사용자의 로그인을 차단하도록 할 것을 권고하고 있다. 이렇게 하면, 해커나 바이러스가 짧고 간단한 비밀번호를 알아내는 것을 막을 수 있다.