블로그

비밀번호와 보안, 그리고 우리가 배운 것 대부분이 틀렸던 이유에 관한 글.

비밀번호가 유출되면 실제로 무슨 일이 벌어지나

비밀번호는 유출되고 사라지는 게 아니다. 유출되고 나서 돌아다니기 시작한다. 느긋하게 크래킹되고, 다른 목록과 대조되고, 결국 누군가가 당신의 은행 로그인 창에 넣어보는 콤보 리스트에 들어간다. 그 비밀번호를 값나가게 만든 건 약해서가 아니다. 같은 것이었기 때문이다.

해시, 솔트, bcrypt, Argon2: 제대로 만든 사이트는 당신의 비밀번호로 무엇을 하는가

로그인이 통과될 때마다 누군가는 무언가를 확인한다. 하지만 확인하는 것과 아는 것은 다르다. 비밀번호를 저장하지 않는 법을 배워온 역사, 그리고 그것을 지키는 함수가 왜 일부러 느리고 비싸야 하는지에 대하여.

당신의 비밀번호가 정말로 깨지는 데 걸리는 시간

「300만 년」을 약속하는 사이트들은 방정식의 절반을 숨기고 있습니다. 똑같은 비밀번호가 어느 사이트에서는 오후 한나절에 무너지고 어느 사이트에서는 수백 년을 버팁니다. 당신이 고르지도 않았고 아무도 가르쳐주지 않는 변수 하나 때문에요. 그 숫자 뒤에 있는 이야기입니다.

Diceware: 주사위가 당신보다 비밀번호를 잘 만드는 이유

아무 단어나 하나 대보라고 하면 아무 단어나 나오지 않습니다. 그 사람의 단어가 나옵니다. Arnold Reinhold는 1995년에 주사위 다섯 개와 7,776개짜리 단어 목록으로 이걸 고쳤습니다. 이 발명의 묘미는 주사위에게는 취향도, 기억도, 오늘 하루가 어땠는지도 없다는 데 있습니다.

엔트로피 비트란 무엇인가, 그리고 우리가 퍼센트를 보여주지 않는 이유

강도 92 %는 아무 뜻도 아닙니다. 도달해야 할 100이 애초에 없으니까요. 반면 비트는 아주 구체적인 뜻이 있고, 언제나 같은 뜻입니다. 1비트를 더할 때마다 공격자의 일이 두 배가 되므로, 40비트는 20비트의 두 배가 아닙니다. 백만 배입니다.