일본 정부 산하 보안 단체인 IPA 에서 MD5 알고리즘을 이용하는 패스워드의 강도를 조사하기 위해 APOP 서버 인증 과정에 대해 공격한 결과를 공개하였습니다.
공격 조건
- APOP 서버에서 메일 도착을 확인하는 주기를 30 분으로 설정
- 확인 시도 2 회 당 1 회공격
결과
- 패스워드 해독에 40 일 소요
발표 자료
http://j2k.naver.com/j2k_frame.php/korean/www.ipa.go.jp/security/fy19/reports/MD5/index.html
실제 환경에서는 많은 사용자들이 신속한 메일 확인을 위해 보다 짧은 시간으로 설정하고, 공격자 역시 매회마다 공격을 시도하기 때문에 패스워드 해독에 걸리는 시간은 더욱 짧아질 것 입니다. 따라서, MD5 보다 강도가 높은 해쉬 알고리즘을 사용하거나, 피치 못할 경우 패스워드 변경 주기를 짧게 하여 보완하는 것이 바람직합니다.
이글루스 가든 - professional secur...
공격 조건
- APOP 서버에서 메일 도착을 확인하는 주기를 30 분으로 설정
- 확인 시도 2 회 당 1 회공격
결과
- 패스워드 해독에 40 일 소요
발표 자료
http://j2k.naver.com/j2k_frame.php/korean/www.ipa.go.jp/security/fy19/reports/MD5/index.html
실제 환경에서는 많은 사용자들이 신속한 메일 확인을 위해 보다 짧은 시간으로 설정하고, 공격자 역시 매회마다 공격을 시도하기 때문에 패스워드 해독에 걸리는 시간은 더욱 짧아질 것 입니다. 따라서, MD5 보다 강도가 높은 해쉬 알고리즘을 사용하거나, 피치 못할 경우 패스워드 변경 주기를 짧게 하여 보완하는 것이 바람직합니다.
이글루스 가든 - professional secur...
덧글
reric 2008/07/30 09:29 # 삭제 답글
그렇다면...사용자 인증에 필요한 비밀번호를 저장하는 암호화로는 어떤게 좋은지요..?
xeraph 2008/07/30 10:56 #
SHA2 정도면 안전할 겁니다. SHA1은 좀 위험하다는 얘기가 나온 적이 있었는데 256 비트 이상은 아직까지 문제 있다는 얘기는 못 들어봤네요.
incle 2008/07/30 15:55 # 답글
여담이지만 일본어는 정말이지 꾀나 자세하게 번역이 되는거같습니다.^^
ROSS 2008/08/07 16:39 # 답글
HMAC-MD5 나 HMAC-SHA1 이 안전할거 같네요.. 단순해쉬가 아닌 키가 필요한 해쉬라서..