오늘은 키패스 패스워드 세이프(KeePass Password Safe)는 마이크로소프트 윈도우를 대상으로 하는 자유-오픈 소스 암호 관리자입니다. 자신이 사용하는 패스워드를 하나의 데이터베이스에 넣어 놓고 데이터베이스를 마스터 키로 관리하는 방식의 프로그램 이자 데이터베이스와 마스터키만 잘 관리해준다면 사이트마다 다르게 설정된 비밀번호를 외우거나 적어 다닐 필요가 없는 프로그램 로컬 디바이스에 저장하는 방식이기 때문에 서버에 패스워드를 저장하는 방식보다 보안에서는 유리한 면이 있습니다.
다른 많은 암호 관리자와 마찬가지로 KeePass는 전체 암호 및 정보 데이터베이스를 보호하는 기본 암호에 의존하고 있으며 공격자가 해당 단일 암호를 획득하면 다른 모든 암호와 정보가 잠금 해제 될 수가 있습니다.
물론 암호 저장소를 훔치는 서버 방식보다는 안전할 수가 있지만, 만약 이라는 것이 있기 때문에 무차별 대입 공격은 암호화된 암호 데이터베이스 접근을 하는 방법의 하나입니다.
공격자 대부분은 이를 위해 수십만 또는 수백만 개의 일반 암호가 포함된 사전을 사용하면 실제 무차별 암호 대입 공격은 모든 문자 조합을 테스트해야 하므로 비용이 많이 듭니다. KeePass 데이터베이스의 잠금을 해제하는 마스터키가 중요하며 약하면 잠재적인 공격자가 무차별 대입하거나 추측할 가능성이 커집니다.
KeePass 사용자는 계정의 보안을 강화하기 위해 마음대로 사용할 수 있는 두 가지 주요 옵션이 있습니다. 첫 번째는 마스터 암호 자체입니다. 암호 길이를 늘이면 보안이 기하급수적으로 향상
이는 새 암호를 기억해야 함을 의미하지만, 암호 데이터베이스의 보안을 향상시키는 최선의 선택 방법일 것입니다.
KeePass Password Safe에서 그렇게 하려면 마스터 암호로 암호 데이터베이스의 잠금을 해제하고 상단 메뉴를 사용하여 파일->마스터 키 변경을 선택하고 마스터 암호 및 암호 반복 필드에 새 기본 암호를 입력하고 확인을 선택하여 프로세스를 완료합니다.
문자, 숫자, 기호의 조합을 통해서 비밀번호를 강화해야 합니다.
키 파생 설정
KeePass 사용자가 사용할 수 있는 두 번째 옵션은 키 파생 기능을 변경하고 반복 횟수를 변경하는 방법입니다.
KeePass는 Argon2d, Argon 2id 및 클래식 AES-KDF를 비롯한 여러 가지를 지원을 하고 있으며 AES-KDF를 선택한 경우 KeePass 사용자는 기본 60,000에서 더 높은 값으로 반복 횟수를 늘리거나 대신 Argon2d로 기능을 전환할 수 있습니다.
반복 횟수가 높을수록 암호를 선형으로 입력하는 데 걸리는 시간이 늘어나게 되고 이로 말미암아 사용자가 암호 데이터베이스를 여는 데 약간의 지연이 추가될 수 있지만 각 암호를 테스트하는 데 시간이 오래 걸리므로 무차별 대입 공격이 힘들어집니다.
Argon2d,Argon 2id는 2015년 7월 암호 해싱 대회에서 우승 작으로 선정된 키 유도 함수이며 특징은 다음과 같습니다.
Argon2d:GPU 크래킹 공격의 저항성을 극대화
Argon2i:사이드 채널 공격 저항에 최적화 암호와 독립된 순서로 메모리 배열에 접근
Argon2id:하이브리드 버전.메모리 처음 절반을 Argon2i이 접근하고 이후 패스는 Argon2d가 접근
설정 방법은 다음과 같습니다.
파일->데이터베이스 설정을 할 수가 있으며 KeePass 사용자는 Argon2d를 대신 사용하여 무차별 암호 대입 공격에 대해 조금 더 안전해 질 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
ChatGPT(쳇GPT) 구글 플레이 스토어 및 App Store에서 ChatGPT 앱 위험 (0) | 2023.02.20 |
---|---|
계정 청구로 위장해서 마이크로소프트 계정 탈취 피싱 사이트-salesanalysis(2023.02.15) (2) | 2023.02.18 |
윈도우 10 KB5022834 및 KB5022840 업데이트 보안 업데이트 (2) | 2023.02.16 |
파이어폭스 110(Firefox 110) 보안 업데이트 (0) | 2023.02.16 |
YouTube Premium(유튜브 프리미엄)앱을 위장 하고 있는 악성코드-YouTube Premium.apk(2022.10.28) (0) | 2023.02.13 |
2023년 터키 지진 악용 사기 트위터 페이팔 주의 (0) | 2023.02.10 |
월드컵 중계 앱 사칭 악성코드-kora442.apk(2023.02.02) (0) | 2023.02.10 |
북한 해킹 조직 김수키(Kimsuky)에서 만든 악성코드-SW보안점검표(개발자 사전점검용)_v2.0_beta.xlsm(2023.02.02) (0) | 2023.02.09 |