비밀번호나 주민등록번호 알아내는게 그렇게 쉬운가요?
2011.07.30 17:59
그 어떠한 암호도
무작위로 대입하다보면 결국 비밀번호가 나오는 것은 알고 있는데...
그게 진짜로 맞는지 확인하려면 결국엔 로그인 해봐야 하는 것 아닌가요
로그인 시도가 엄청 날텐데 그것마저 감지할 수 없는건가요?
외쿸사이트에서는 로그인 할 때마다 잘 안보이는 이미지에 글자를 섞어넣어서 같이 넣으라고 하던데..
댓글 [13]
-
MMORPGbaram 2011.07.30 18:32
-
ESP 2011.07.30 18:33
이번의 사건은 각각의 사용자를 직접 로그인 시도 등을 통해 털어낸 사건이 아닙니다.
SK컴즈의 회원정보 DB가 있는 서버가 직접 털린 사건이라 로그인 같은 것과는 상관이 없습니다...
저도 로그인 기록은 확인해보았지만 아무것도 없었습니다...
-
토토마스 2011.07.30 18:39 예...저도 대충 무슨 사건인지는 아는데...제 말의 주요 내용은
암호화된 비밀번호와 주민등록번호가 암호형식이 어떻게 됐든간에 해커 입장에서 무작위 대입방식으로 진짜 비밀번호를 알아냈다고 검증할려면 실제로 로그인 해봐야 하는 것 아닌가 싶어서요.
그리고 무작위 대입인 만큼 그 만큼의 시도횟수가 남아있지 않을까하는 궁금증하고, 외국사이트의 흔한 이미지패스워드형식으로도 무작위 대입방식을 충분히 늦출 수 있지 않을까 하는 것이었습니다.
-
링크 2011.07.30 20:13
보니깐 MD5 암호화하던거같던데 이거 풀린다고 하더라구요 .. 시간문제지 ..
-
Goer 2011.07.30 21:26
숫자 12자리 이하
영문 소문자 10자리 이하
영문 소문자 + 숫자 8자리 이하
등등
위에 해당되는 암호들은 쉽게 풀수 있다더군요.
과거에는 언제가 풀리겠지였는데...
그 암호체계를 정리해서 저장해놓은 자료가 약 2테라 정도면 받을수 있다더라고요.
그거 받아놓고 암호풀면 순식간이랍니다.
파코즈에 올라온 내용 읽어보세요
-
초월신 2011.07.30 21:46 무작위 대입법이란게 로그인을 계속 해본다는게 아닙니다.
실제 서버에서 사용하는 암호화 알고리즘과 동일한 알고리즘을 사용해서
크래커(보통 해커라고 잘못 부르죠...)가 직접 암호화를 해서 비교해 보면 되는거죠.
MD5나 SHA1, CRC32 같은건 널리알려진 해쉬 알고리즘이기 때문에,
크래커도 그 알고리즘을 사용해서 비교작업 하면 됩니다.
(대부분의 해쉬나 암호화 알고리즘은 역연산이 불가능 하기 때문에, '해독' 작업이 아니죠.)
예를들면, 어떤 사용자가 1234567 이라는 암호를 쓰고, 서버에선 MD5 알고리즘을 쓴다고 가정한다면,
크래커가 훔쳐간 DB에는 MD5로 해쉬화 된 fcea920f7412b5da7be0cf42b8c93759 이라는 값이 들어있을겁니다.
그러면 크래커는 패스워드로 쓰일만한 문자열 목록을 직접 만들어서 (0123, 12345, a1235 ,1234567, .....)
그 문자열로 MD5 해쉬값을 생성합니다.
그 해쉬값을 가지고 훔쳐온 DB와 대조해서 같은걸 찾는겁니다.
아마 자주쓰이는 패스워드 문자열을 미리 해쉬화 시켜놓은 데이터도 있을겁니다.
(그 바닥에선 사전이라고 부르죠 아마...)
우리가 실제로 로그인 할때도 서버에서 똑같은 짓을 합니다.
DB에 저장된 암호화된 문자열을 다시 원래대로 복원시켜서 비교하는게 아니라,
우리가 입력한 패스워드를 다시 암호화 해서 DB에 저장된 암호화된 문자열과 비교하는거죠.
만약, 표준 알고리즘이 아니라 서버에서 자체적으로 만들어서 사용하는 알고리즘이 있다고 치고,
그걸 모르면 해쉬값 비교고 뭐고 할 수 없는 상황이라고 가정하더라도,
크래커가 서버의 DB를 훔쳐 올수 있을 정도면, 서버에서 쓰는 OS의 패키지도 몽땅 가져올 수도 있다고 봐야죠.
-
jskang 2011.07.30 23:12
젠장....
네이트 겨우 MD5로 암호화해놨다더군요...
13자리 MD5 돌리면 내주민 나오는건가...
진짜 그 데이터베이스 나한테 있으면 나라도 주민 뽑아낼수 있겠다
-
세분 2011.07.30 23:36 고수분들이 맘만 먹으면 뭘 못할까요... 정말 무서운 세상...
-
페블 2011.07.30 23:42 -
토토마스 2011.07.31 07:04 많은 의견 감사합니다. 좋은 의견 잘 받았습니다!
-
인생무상 2011.07.31 07:40 암호화 공부를 해봐야 겟네요...
-
미니100 2011.07.31 08:39
암호화 복호화 공부헀는데
아무 쓸데없는짓입니다
실제 전혀 필요 없는 것만 가르쳐주는 학교 ;;
-
스폰지s 2011.07.31 10:46 우리나라 개인정보 알아내려면 한가지만 있으면 됩니다.
'돈'이요.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
| 10301 | 개인정보 유출 확인은 조심히 | 응답없음 | 7099 | 08-01 |
| 10300 | 오버클럭 참으로 어렵구만요 ㅎㅎ =_=; [4] |
|
2207 | 08-01 |
| 10299 | 오늘 입국한 일본 의원은 애교? [6] |
|
1948 | 08-01 |
| 10298 | 잘못된 정보라 정정 합니다. [6] |
|
1915 | 08-01 |
| 10297 | ATI 카탈리스크는 발로 만든다더니 ㅠ_ㅠ [10] | 파시피카 | 2667 | 08-01 |
| 10296 | 외국 웹하드 링크 자료는 금지하는게 어떨까요? [3] |
|
2033 | 08-01 |
| 10295 | 나는 가수다 [14] |
|
2034 | 08-01 |
| 10294 | 이제 잘 시간........ [2] |
|
1596 | 08-01 |
| 10293 | 회원 가입된 모든곳 알수 있는곳 알수 있나요? [9] |
|
2480 | 07-31 |
| 10292 | 결국 병원을... [2] |
|
1838 | 07-31 |
| 10291 | 무사 백동수- 이런 드라마가 방영될 수 있다니... [6] | 강생이 | 2561 | 07-31 |
| 10290 | 며칠째 열;; [7] |
|
1946 | 07-31 |
| 10289 | [잡담] 겔S에서 SKY 1.5G 듀얼코어로 바꿔보았습니다. [3] |
|
2256 | 07-31 |
| 10288 | 택배주문하고 있는데 새주소를 [5] |
|
2107 | 07-31 |
| 10287 | 허미...해킹으로인한 사칭조심하세요 [2] |
|
1848 | 07-30 |
| » | 비밀번호나 주민등록번호 알아내는게 그렇게 쉬운가요? [13] |
|
3294 | 07-30 |
| 10285 | 쩝.. [2] |
|
1876 | 07-30 |
| 10284 | 여러분의 개인정보는 ' 예전부터 ' 중국님들꺼^^ [4] | 응답없음 | 8163 | 07-30 |
| 10283 | 대한민국 IT 독재자 - 3. 비판을 호도하라 [2] |
|
1785 | 07-30 |
| 10282 | 대한민국 IT 독재자 - 2. 치졸한 변명 |
|
1548 | 07-30 |
짱깨들이 이미 우리들의 신상정보를 다 털어가서
주민번호를 알아내고 뭐고 할것 없이 이미 다 배포되고 있습니다... ㅠ;