해커가 Windows 암호 취약성을 사용하는 방법에 대한 사례 연구 -이 사례 연구에서

이 사례 연구에서 독립 정보 보안 컨설턴트 인 Philippe Oechslin 박사는 해커가 Windows 암호 취약점을 사용하십시오. 이것은 자신의 암호를 만들 때 해킹을 피하기 위해 고려해야 할 좋은 정보입니다.

상황

2003 년 Oechslin 박사는 Windows 암호를 해독하기위한 새로운 방법을 발견했습니다. 이제는 일반적으로 무지개 균열 이라고합니다. Oechslin 박사는 무차별 암호 해독 도구를 테스트하는 동안 동일한 도구를 사용하여 반복적으로 동일한 999 해시 (암호의 암호 표현)를 생성하는 것은 시간 낭비라고 생각했습니다. 이 연구는 Windows 암호가 해시 될 때 무작위 요소가 없음을 기반으로합니다. 이는 Windows에 내장 된 LM 해시 및 NTLM 해시 모두에 해당됩니다. 동일한 암호는 모든 Windows 시스템에서 동일한 해시를 생성합니다. Windows 해시에는 무작위 요소가 없지만 Oechslin 박사가 Windows 암호를 해독 한 것과 같은 기술을 사용하는 사람은 아무도 없습니다.

Oechslin과 그의 팀은 원래 웹 사이트에 대화 형 도구를 배치하여 방문자가 해시를 제출하고 금식하도록했습니다. 6 일 동안 도구는 평균 7 초에 1,845 개의 암호를 해독했습니다! 데모를 직접 사용해 볼 수 있습니다. 결과

큰 문제는 무엇입니까? 이 암호 해독 방법은 몇 초 안에 거의 모든 영숫자 암호를 해독 할 수 있지만 현재의 무차별 공격 도구는 몇 시간이 걸릴 수 있습니다. Oechslin 박사와 그의 연구팀은 편지, 숫자 및 기타 16 개의 문자로 구성된 암호를 1 분 안에 해독 할 수있는 테이블을 생성하여 문자와 숫자로 구성된 암호가 충분하지 않음을 입증했습니다.

Oechslin은 또한이 방법은 테스트를 수행하는 데 제한된 시간을 가진 윤리적 인 해커에게 유용하다고 설명했습니다. 불행히도 악의적 인 해커는 동일한 이점을 가지고 있으며 누군가가 공격하기 전에 공격을 수행 할 수 있습니다!

필립 Oechslin, 박사, CISSP는 로잔의 스위스 연방 공과 대학 (Federal Institute of Technology)의 강사이자 선임 연구 조교이며 Objectif Sécurité의 창립자이자 CEO입니다.