From
Send to

Easily guessed computer passwords a risk

March 6, 2012 - 13:52 By

Hackers often get into protected systems by simply guessing the password, which is often made too easy for them by users, U.S. security experts say.

Security services firm Trustwave says it found the most common password used on business computer systems is "Password1," CNN reported Monday.

Although it satisfies the complexity rules for many systems, which require passwords to have at least one upper-case letter and one numeral, it is obviously anything but secure, Trustwave said.

In its "2012 Global Security Report," Trustwave summarized its the findings from analyzing nearly 2 million network vulnerability scans and 300 recent security breach investigations.

Company researchers said they found about 5 percent of passwords involved some variation of the world "password."

In penetration tests last year on clients' systems, Trustwave said, it put an assortment of widely available password-cracking tools to work on 2.5 million passwords -- and successfully broke more than 2.1 million of them.

The best way to make a password secure is to make it longer, the company said, since attackers are increasingly using brute-force tools that simply cycle through all possible character combinations.

While seven-character password has 70 trillion possible combinations, an eight-character password takes that to more than 6 quadrillion, it said. (UPI)

 

<한글 기사>

기업에서 흔히 쓰이는 비밀번호 1위?

미국에서 해커들이 보안이 철저하게 돼 있는 기업 등의 컴퓨터시스템에 침입할 때 가장 선호하는 방법은 복잡한 해킹 툴을 활용하는 것이 아니라 비밀번호를 추측해 이용하는 것으로 조사됐다고 CNN머니 인터넷판이 5일(현지시간) 보도했다.

이에 따르면 미국에서 기업들의 컴퓨터시스템에서 가장 일반적으로 쓰는 패스워드는 '패스워드1(Password1)'인 것으로 나타났다.

비밀번호로 '패스워드1'이 가장 많이 쓰는 이유는 이 비밀번호가 마이크로소프트의 계정관리 시스템인 '액티브 디렉터리(Microsoft Active Directory)'가 요구하는 대문자와 함께 숫자 포함해 9자리 등 기술적인 부분을 만족시키기 때문이라는 것 이다.

보안전문업체인 트러스트웨이브는 최근 `2010 글로벌 시큐리티 리포트'라는 보고서에서 200만개의 네트워크 취약점을 조사하고 최근 발생한 보안문제 300건를 조사해 이같은 결론을 얻었다고 밝혔다.

이들 시스템의 각종 비밀번호 가운데 5% 정도가 '패스워드(password)'가 들어가는 것으로 조사됐으며, 이어 '웰컴(welcome)'이 1% 이상으로 2위를 차지했다.

이와 관련해 이 회사는 지난해 고객들의 시스템에 대한 침투테스트를 한 결과 쉽게 추측이 가능한 것들이었다고 지적했다.

실제로 비밀번호를 해킹할 수 있는 툴을 설치한 결과 250만개의 비밀번호 가운데 210만개를 뚫을 수 있었다고 이 회사는 전했다.

예를 들어 해커들이 세라 페일린 전 알래스카 주지사의 야후 이메일 계정을 해킹할 때 보안질문인 생일과 고교 이름 등을 위키피디아를 통해 쉽게 파악한 예가 있다고 CNN은 소개했다.

미국 최대 이동통신업체인 버라이존도 '2012 데이터 침입조사보고서'에서도 이와 유사한 결과를 얻었다고 CNN머니는 전했다.

시스템을 침입한 사이버공격 가운데 가장 많이 사용한 것이 쉽게 추측할 수 있는 비밀번호를 이용하는 것으로 버라이존팀이 조사한 전체 보안사건 가운데 29%가 이런 유형이었다는 것이다.

버라이존의 보고서는 이처럼 보안이 구멍이 난 경우 피해 기업들이 이를 파악하는데만 몇 년씩 걸리기까지 하는 것으로 조사됐다고 전했다. 단지 20% 정도만이 보안 에 문제가 발생한 후 몇시간 또는 며칠내에 발견되는 것으로 나타났다.

CNN머니는 현재 비밀번호가 쉽게 예측할 수 있는 것이라면 가장 최적의 개선방법은 비밀번호를 더 복잡하고 길게 하는 방법이라고 덧붙였다.