소개글

0000대학교 컴퓨터 전공 관련 과목 수강시 작성한 보고서입니다.

목차

1. Dictionary Attack이란?

2. 패스워드 기반 인증에서 왜 one-way function을 사용하는가?

3. salt 값을 사용하는 이유는 무엇인가?

본문내용

문 제
"Explain what dictionary attack are and how to mitigate them. Explain why one-way hash and salt are used in password-based authentication."

Dictionary Attack에 대해 설명하고 패스워드 기반 인증에서 왜 one-way function을 사용하는지 또한, salt 값을 사용하는 이유를 정리하여 제출하시오.

1. Dictionary Attack이란?

Dictionary Attack은 패스워드의 추출이나 암호 해독에 쓰이는 공격수법의 하나로 비밀키 암호 알고리즘을 사용할 경우 적용 가능한 공격 방법이다. 수십만 단어가 수록되어 있는 단어사전을 이용하며, 컴퓨터로 자동 처리 명령을 실행시켜 단시간에 비교할 수 있기 때문에 기본적인 패스워드 추출의 수법으로서 이용되고 있다. 이러한 공격 방법은 특정 사용자의 패스워드가 목표가 되는 것이 아니라 그 시스템 서버에 등록된 임의의 사용자 패스워드를 목표로 하기 때문에 성공할 확률은 더욱 높아진다.

일반적으로 패스워드는 대부분의 사용자들이 기억하기 쉬운 유형의 문자열을 선택함으로써 공격자에게 추측을 가능하게 한다. 명사나 짧은 패스워드를 사용하는 경우 공격자들이 사전에 있는 단어를 순차적으로 입력하여 상당히 높은 확률로 키를 알아낼 수 있다. 대문자와 소문자를 뒤섞기도 하고, 단어에 숫자를 첨부하기도 하는 등의 처리를 병행하면서 사전공격을 통해 특정 사용자의 패스워드를 쉽게 추측해 낼 수 있다.


[그림 1] 패스워드 사전 공격 예시
Example 1 : 단방향성 함수로 암호화해서 패스워드를 저장할 때에도 사전공격이 존재하는데 단방향성 함수를 f로 하고 이용자 i의 패스워드를 PWi라고 할 경우 f(PW1), f(PW2),… f(PWi),…가 시스템의 패스워드 파일에 기록된다. 사전공격을 하는 공격자는 존재할 것 같은 패스워드의 리스트(사전), w1, w2, …,을 만들어 그것을 단방향 함수로 암호화한다(f(w1), f(w2), …). 이 암호화한 리스트와 패스워드를 비교해서 일치하는 것을 탐색하면 그 사전에 있는 것과 동일한

참고 자료

없음