이제는 너무 일반적이어서 우리 모두는 생각조차 하지 않고 비밀번호를 생성합니다. 최소 x자 이상이고 최소 하나의 숫자와 하나의 기호가 있고 이름이나 성이 아닌 비밀번호를 만드십시오. 직장에 있든 Apple ID 를 생성 중이든 관계 없이 "강력한 " 암호(” password) 에 대한 이러한 암호 요구 사항 은 어디에나 있습니다.
어느 날 사이트(site one) 에서 새 비밀번호를 만든 후 모든 요구 사항이 얼마나 다른지 생각하기 시작했습니다. 일부 사이트는 3자 이상의 비밀번호를 원하고 일부는 최소 8자를 요구합니다. 일부는 기호를 원하고 일부는 그렇지 않습니다. 일부는 귀하의 이름과 이전 비밀번호에 신경을 쓰고 다른 일부는 신경 쓰지 않습니다. 그렇다면 어떤 비밀번호가 정말 강력할까요?
나는 약간의 조사를 했고 누군가가 귀하의 비밀번호를 "(someone “) 크래킹"하는 것에 대해 이야기할 때 두 가지를 발견했습니다. 첫째, 귀하의 비밀번호의 강도가 있고 두 번째로, 비밀번호를 저장할 때 횡설수설하게 해싱하는 암호화의 강도가 있습니다.
나는 강력한 암호의 전체 개념이 매우 수학적이라는 것을 빨리 깨달았고 이 주제에 대해 수많은 연구가 수행되었습니다. 내 관심을 끌었고 이 게시물에서 언급할 것은 2011년 카네기 멜론 연구(2011 Carnegie-Mellon study) 에서 나온 것 입니다.
먼저 비밀번호를 테스트하세요
강력한 암호가 무엇인지 알아보기 전에 강력한 암호를 해독하는 데 시간이 얼마나 걸리는지 살펴보겠습니다. 이를 확인하기 위해 PassFault 사이트(PassFault site) 의 도구를 사용할 것입니다 .
https://passfault.appspot.com/password_strength.html
작동 방식은 다음과 같습니다. 비밀번호 를 입력하고 분석 (Analyze)을 클릭(password and click) 합니다. 기본적으로 숨겨져 있는 두 가지 옵션이 있지만 옵션 표시(Show Options) 를 클릭할 수 있습니다 . 그들이 의미하는 바를 설명합시다.
크래킹 하드웨어(Hardware) 의 기본값은 $900 암호 공격자(password attacker) 이며, 이는 합법적인 해커에게 가능합니다. 그들은 또한 180,000달러의 암호 공격자(password attacker) 를 선택할 수 있는 옵션이 있습니다. 이 공격자 는 비용이 많이 든다면 중국인 이 사용할 수 있습니다. (Chinese)암호 보호(Password Protection) 드롭다운은 암호를 저장하는 데 사용되는 암호화 유형에 대한 몇 가지 옵션을 제공합니다 . Microsoft Windows 시스템(Microsoft Windows System) 이 가장 약합니다. 놀라운 일이 아닙니다. 그런 다음 무선 WPA 액세스 포인트(Wireless WPA Access Point) , UNIX SHA1 , UNIX Blowfish 및 100개의 SHA1 라운드를 갖게 됩니다.
나는 몇 개의 사이트에서 사용하는 강력한 암호를 시도했고 하루 만에 해독될 수 있다는 것을 알고 충격을 받았습니다!
와우(Wow) , 꽤 나쁩니다. 그래서 더 강력한 암호화 옵션( Unix Blowfish 및 (Unix Blowfish)SHA1 100회 )을 선택했고 결과가 하루보다 더 오래 걸릴 것이라는 사실에 더 기뻤습니다. Unix Blowfish 의 경우 1년 7개월, (Unix Blowfish)SHA1 100회의 경우 2개월 2일이 소요됩니다. . 그러나 $180,000 암호 공격자(password attacker) 의 경우에는 각각 11일과 3일로 단축되었습니다. 받아들일 수 없다고 생각했습니다! 아주 비싼 암호 크래커(password cracker) 를 사용해도 암호를 해독하는 데 몇 년이 걸리기를 바랍니다. 그러나 숫자와 기호가 포함 된 9 자 암호 를 사용하고 있으므로 가장 좋은 방법은 무엇입니까?(character password)
비밀번호를 강력하게 만드는 요소는 무엇입니까?
이것은 Carnegie-Mellon 연구(Carnegie-Mellon study) 가 전체에 대해 약간의 빛을 비추는 곳입니다. 기본적으로(Basically) 그들이 발견한 것은 사용하는 암호가 길수록 더 강력하다는 것입니다. 이것은 반드시 더 긴 암호(longer password) 가 많은 기호나 숫자를 가져야 한다는 것을 의미하지는 않으며, 단지 길어야 합니다. 16자에서는 아주 쉬운 사전 단어만 사용하면 됩니다.
그것이 가능하다고 확신하지 못하셨나요? PassFault 사이트(PassFault site) 에서 다음 비밀번호를 사용하십시오 . 이 비밀번호는 15자이며 기억하기 매우 쉽습니다.
ilovemy와이프 많이
그런 다음 옵션에 대해 $180,000 암호 공격자(password attacker) 를 선택하고 가장 약한 암호화( Microsoft Windows )를 선택하면 다음과 같은 결과를 얻을 수 있습니다.
1개월 7일! 그것은 내 비밀번호가 1일 만에 크랙되는 것보다 훨씬 낫습니다. 내 비밀번호에 문제가 있습니까? 글쎄요, 암호가 더 짧다면 암호를 강화하기 위해 더 많은 기호, 임의의 문자 및 숫자를 사용해야 합니다. 15~16자 이상과 같이 더 길다면 모든 종류의 숫자와 기호를 추가하는 것에 대해 걱정할 필요가 없습니다. 더 긴 암호를 사용하면 더 많은 사전 단어를 사용할 수 있으며 여전히 매우 안전합니다. 분명히 hellohellohello 와 같은 암호 는 15자임에도 불구하고 여전히 좋지 않습니다.
그게 사전에 나올 거고 똑같은 단어가 세(word three) 번 나오니까 짜증나. 아내에게 사랑을 고백하는 첫 번째 암호에서 그 문장은 금세 컴퓨터에 횡설수설처럼 보이기 시작하고 no cracking dictionary 에는 그 15 자의 문구(character phrase) 가 단어로 포함되어 있습니다. 사전에는 사전 단어가 있으므로 직선적인 사전 단어를 피하는 한 괜찮을 것입니다. "아내"라는 단어 대신 아내의 이름이나 별명을 사용했다면 비밀번호(My password) 가 훨씬 더 좋았을 것입니다. 아이디어를 얻으셨나요?
분명히 긴 암호에 많은 기호를 넣을 수 있다면 암호는 훨씬 더 강력해집니다. 예를 들어 아내(wife password) 의 비밀번호 앞에 느낌표(exclamation point) 를 붙이고 끝에 숫자를 하나 추가했다고 가정해 보겠습니다. 그런 다음 동일한 옵션으로 크랙하는 데 얼마나 걸립니까?
성소(Holy cow) ! 그래서 1 개월 7(month 7) 일에서 무려 4세기 10년이 되었습니다!!! 그래 수세기!! 이제 그것은 안전한 암호(secure password) 이며 기억하기 어렵지 않습니다. 따라서 이 무료 온라인 도구(online tool) 를 사용하여 비밀번호를 확인 하고 며칠 안에 비밀번호가 깨졌다면 특히 은행 비밀번호 등과 같은 민감한 정보에 대해 새로운 것을 생각할 때일 수 있습니다.
(Remember)많은 온라인 사이트가 항상 해킹을 당하므로 귀하의 비밀번호는 결코 안전하지 않습니다 . 그러나 정말로 강력한 암호를 사용하면 암호화가 매우 약하더라도 슈퍼 컴퓨터가 암호를 해독하는 데 영원히 걸릴 것입니다! 이 게시물을 읽는 동안 사이트에서 암호를 시도했다면 암호를 푸는 데 시간이 얼마나 걸리는지 댓글로 알려주십시오. 즐기다!
OTT Guide to Creating a Strong Password
It’s so common now, thаt we all do it without even thinking about it: create a password that’s at least x charaсters, has at least one number and one symbol and isn’t your first or last name. Whether you are at work or creаting an Apple ID, thesе password requirements for a “strong” password are еverywhere.
After creating a new password on a site one day, I started thinking about how different all the requirements were. Some sites want passwords no shorter than 3 characters and some enforce a minimum of 8. Some want symbols, some don’t. Some care about your name and previous passwords, other don’t. So which password is really strong?
I did some research and found out two things when you are talking about someone “cracking” your password: firstly, there is the strength of your password and secondly, there is the strength of the encryption that hashes the password into gibberish when stored.
I quickly realized that the whole concept of a strong password is very mathematical and there have been numerous studies done on this topic. The one that caught my attention and that I will mention in this post is from a 2011 Carnegie-Mellon study.
Test Your Password First
Before we get into what a strong password is, let’s see how long it would take to crack your supposedly strong password. To check that, we’re going to use a tool on the PassFault site:
https://passfault.appspot.com/password_strength.html
Here’s how it works. You type in your password and click Analyze. It has two options that are hidden by default, but you can click on Show Options. Let’s explain what they mean.
Cracking Hardware defaults to a $900 password attacker, which would be possible for a legitimate hacker. They also have the option to choose a $180,000 password attacker, which the Chinese might be using if it’s that expensive. The Password Protection drop down gives you a few options for the type of encryption used to store the password. Microsoft Windows System is the weakest, no surprise there. You then have Wireless WPA Access Point, UNIX SHA1, UNIX Blowfish, and 100 rounds of SHA1.
I tried my strong password that I use on a couple of sites and was shocked to see that it could be cracked in 1 day!
Wow, that’s pretty bad. So then I chose the stronger encryption options (Unix Blowfish and 100 rounds of SHA1) and was happier to see the results would take longer than a day: 1 years and 7 months for Unix Blowfish and 2 months and 2 days with 100 rounds of SHA1. However, with the $180,000 password attacker, it went down to 11 days and 3 days, respectively. Not acceptable I thought! I want my password to take years to crack even with a super expensive password cracker. But what’s the best way since I am using a 9 character password with numbers and a symbol?
What Makes a Password Strong?
This is where the Carnegie-Mellon study shed some light on the whole thing. Basically what they found is that the longer the password you use, the stronger it is. This doesn’t necessarily mean the longer password has to have a lot of symbols or numbers, it just has to be long. At 16 characters, all you have to avoid is using super easy dictionary words.
Not convinced that’s possible? In the PassFault site, use the following password, which is only 15 characters and super easy to remember:
ilovemywifealot
Then, for the options, choose the $180,000 password attacker and choose the weakest encryption (Microsoft Windows) and this is what you get:
1 month and 7 days! That’s way better than my password being cracked in 1 day. So what’s wrong with my password? Well, apparently, if your password is shorter, then you need to use more symbols, random letters, and numbers to strengthen it. If it’s longer, like over 15 to 16 characters, then you don’t have to worry about adding all kinds of numbers and symbols. With a longer password, you can even use more dictionary words and it’ll still be very secure. Obviously a password like hellohellohello would still suck even though it’s 15 characters:
It sucks because it’s going to be in the dictionary and it’s the same word three times. In my first password where I profess my love to my wife, the sentence quickly starts looking like gibberish to a computer and no cracking dictionary has that 15 character phrase as a word. Dictionaries have dictionary words so as long as you avoid straight dictionary words, you’ll be good to go. My password could have been even better if I used my wife’s name or a nickname for her instead of the word “wife”. Get the idea?
Obviously, if you can throw in a number of symbol into a long password too, then the password becomes even more ridiculously strong. For example, let’s say I put an exclamation point in front of my wife password and added one number to the end. Then how long would it take to crack with the same options:
Holy cow! So it went from 1 month 7 days to a whopping 4 centuries and 1 decade!!! Yeah centuries!! Now that’s a secure password and it’s not very hard to remember. So check your password using this free online tool and if your password is getting cracked in a few days time, it might be time to think of something new, especially for your sensitive information like banking passwords, etc.
Remember, a lot of these online sites get hacked all the time, so your password is never safe. However, if you use a truly strong password, even if the encryption is very weak, it would take forever for a super computer to crack it! If you tried your password on the site while reading this post, let us know in the comments how long it would take to crack it. Enjoy!