2010-07-2116: 48: 49 7388 읽기 저자: SkyAngels 편집: Skyangeles
마이크로소프트연구원의 두 연구원인 스튜어트 셰켓과 콜마크 헬리 (Cormac Herley) 가 최근 논문을 발표했다. 그들의 연구에 따르면 사이트가 사용자에게 복잡한 비밀번호를 사용하도록 요구한 것은 전반적인 보안을 높이는 데 도움이 되지 않는다고 한다.
보도는 실제로 경쟁에 대해 걱정하지 않는 조직만이 정부 웹사이트와 같은 더 높은 암호 복잡성 기준을 강요하는 경향이 있다고 덧붙였다. 사용자가 번거로움을 두려워하여 경쟁자를 찾아갈 염려가 없기 때문에, 이들 기관은 사용자가 영숫자 교차, 대/소문자 구분 등 복잡한 비밀번호를 안전하게 사용할 수 있도록 강제할 수 있다. 그러나 이 연구는 "사용자 계정의 가치, 공격 횟수, 사이트 강제 암호의 복잡성 사이에는 직접적인 관계가 없다" 고 확인했다.
많은 웹 사이트에서는 연속 숫자, 같은 글자, 생일, 사용자 이름 등의 간단한 비밀번호를 사용하는 것을 금지하고 있습니다. 해커는' 사전 공격' 즉 철저한 방법을 사용하여 쉽게 해독할 수 있기 때문입니다. 이러한 공격에 대응하기 위해 사이트는 일반적으로 같은 계정의 비밀번호 시도 횟수를 제한합니다. 그러나 해커도 방법이 있다. 수천 명의 사용자가 있는 사이트에서는 한 계정에 대해 여러 번 시도하지 않고 가장 많이 사용하는 암호로 수만 개의 계정을 계속 시도한다.