Spectre는 로컬 장치나 타사 서비스에 민감한 정보를 저장할 필요가 없는 새로운 비밀번호 관리 방식입니다. 대신 Spectre는 각 로그인 세션마다 고유한 암호화 키를 생성하여 사용자가 기존의 비밀번호 기반 인증 방식에 의존하지 않고도 안전하게 인증할 수 있도록 합니다. 이 혁신적인 기술을 사용하면 보안과 편의성이 향상되는 등 기존 비밀번호 관리자에 비해 여러 가지 이점이 있지만 일부 웹사이트 및 애플리케이션과의 호환성이 제한되는 등의 한계도 있습니다.
스펙터 비밀번호 관리자란 무엇인가요?
비밀번호 없는 미래를 향한 지속적인 노력에도 불구하고 개인이 금융 기관, 전자 메일, 온라인 거래 플랫폼 및 기타 리소스에 액세스하기 위해 개인 식별 코드(PIC)에 의존하는 것은 현대 생활에서 없어서는 안 될 유비쿼터스 기능으로 남아 있습니다.
비밀번호의 강력함은 종종 그 복잡성에 기반하지만, 특히 여러 플랫폼에서 사용되는 경우 이러한 순열을 기억하기 어려울 수 있습니다. 따라서 권한이 없는 사용자가 이러한 계정 중 하나에 액세스할 수 있게 되면 관련된 다른 모든 계정의 보안이 위험에 처할 수 있습니다.
암호로 보호된 저장소 내에서 모든 민감한 정보를 보호하는 원격 비밀번호 저장 서비스를 활용하는 것도 한 가지 방법입니다. 그러나 사이버 범죄자가 사용자의 볼트뿐만 아니라 관련 암호 해독 키에도 액세스한 2022년 라스트패스 보안 침해 사건에서 알 수 있듯이 완벽한 방법은 없습니다.
스펙터는 온라인과 모바일 장치에서 쉽게 액세스할 수 있는 애플리케이션으로, 사용자가 제공한 데이터를 사용하여 개인화된 비밀번호를 생성합니다.
데이터에는 마스터 비밀번호와 유사한 ‘스펙터 시크릿’을 연상시키는 전체 명명법과 사용 중인 시설의 웹 주소가 포함됩니다.
앞서 언급한 데이터는 모든 스펙터 인스턴스에 쉽게 통합될 수 있으며, 그 결과 동일한 비밀번호가 자동으로 재생성되는 간단하고 사용자 친화적인 프로세스를 제공합니다. 그러나 모든 접근 방식과 마찬가지로 이 방법론에는 장점과 단점이 모두 존재합니다.
Pro: 자신의 비밀번호를 기억할 필요가 없다
수많은 다양한 비밀번호를 기억할 필요가 없는 기술을 활용한다는 것은 분명한 장점입니다.
서로 다른 웹사이트에 각각 다른 비밀번호를 사용하면 한 사이트에 할당된 비밀번호가 노출되더라도 나머지 로그인 자격 증명의 보안이 그대로 유지됩니다.
비밀번호 정보를 수첩에 적어두거나, 개인 컴퓨터와 모바일 장치에 비정형 텍스트 또는 CSV(쉼표로 구분된 값) 파일로 저장하거나, 다른 사람에게 비밀번호 보관을 맡기지 않고는 비밀번호를 안전하게 보호하는 것은 불가능합니다.
스펙터의 알고리즘이 요청 시 비밀번호를 생성하는 것을 신뢰할 수 있다면 스펙터 시크릿만 기억하면 됩니다.
Pro: 아무도 볼트에서 비밀번호를 훔칠 수 없음
로고 크레딧: 사용자:tntchn/ 위키미디어 커먼즈
최근 LastPass에서 발생한 데이터 유출 사고는 영향을 받은 사람들에게 큰 피해를 주었으며, 비밀번호가 볼트에 안전하게 저장되어 있지 않았다면 발생하지 않았을 사건입니다.
스펙터는 사용자의 비밀번호를 저장하지 않으므로 사이버 범죄자가 다운로드할 수 있는 데이터가 없습니다.
Pro: 모든 장치에서 비밀번호에 액세스할 수 있음
Spectre는 현재 iOS에서만 기본 앱으로 사용할 수 있지만, macOS, Windows, Linux, Android용 클라이언트와 API로 개발 중입니다. GitLab 에서 소스 코드를 다운로드하여 직접 컴파일할 수도 있습니다.
Spectre 웹사이트 에 내장된 도구가 있는 모든 기기에서 Spectre를 사용할 수 있습니다. 즉, 인터넷에 연결되어 있기만 하면 어디서든 또는 다른 사람의 컴퓨터에서 비밀번호를 생성하고 다시 생성할 수 있습니다.
단점: 마스터 비밀번호 변경은 관리자의 악몽
스펙터 시크릿은 사용자가 선택한 문구, 이름, 웹사이트 도메인 이름의 조합을 통해 고유한 비밀번호를 생성합니다.
귀하의 닉네임은 쉽게 접근할 수 있으며 수많은 개인이 유사한 시설을 이용합니다.
다른 사람들이 쉽게 추측할 수 있는 정보 중에서 마지막 세 애완동물의 이름, 형제자매 이름 또는 자녀 이름의 간단한 조합일 수 있는 마스터 비밀번호를 알게 되는 경우, 스펙터의 비밀을 사용하여 모든 디지털 계정의 로그인 자격 증명을 복제할 수 있습니다.
로그인하고 비밀번호를 업데이트한 다음 각 플랫폼에서 로그아웃하는 방식으로 각 계정에 개별적으로 새 비밀번호를 고안하여 적용해야 합니다.
반대로 비밀번호 관리 서비스를 이용해 마스터 비밀번호를 변경하는 경우, 추가 인증 코드를 수정할 필요가 없습니다.
단점: 마스터 비밀번호를 해독할 수 있음
스펙터가 생성한 비밀번호를 사용하는 계정 중 하나에서 보안 침해가 발생하여 사용자의 이메일 주소, 성명, 로그인 자격 증명과 같은 민감한 정보가 노출될 가능성이 높습니다.
자격 증명이 유출되었는지 확인하고자 하는 경우 Haveibeenowned 웹사이트를 신뢰할 수 있고 충실한 참고 자료로 간주할 수 있습니다.
아시다시피, 현재 유출된 비밀번호는 이름, 스펙터 비밀 번호 및 웹사이트 URL에서 생성됩니다. 스펙터가 사용하는 비밀 문구의 예는 “바나나색 오리”입니다. 이 세 단어는 모두 25,000개의 인기 단어 의 목록에서 찾을 수 있습니다.
2019년에는 중급 그래픽 카드를 사용하는 단일 장치에서 초당 약 1,000억 개의 비밀번호를 추측할 수 있는 것으로 추정되었습니다.
25,000개의 단어로 구성된 어휘의 조합 분석 결과, 세 단어로 구성된 구문의 가능한 모든 조합의 총합은 15경 625경에 달합니다.
사용자의 닉네임과 웹사이트의 URL, 그리고 탈취한 로그인 자격 증명을 비교하는 일련의 단계를 활용하면 스펙터의 비밀이 공개되는 데 3분을 넘기지 않습니다. 이는 터미널 내에서 독립적으로 Spectre를 실행하고 다른 명령줄 애플리케이션에 통합할 수 있기 때문입니다.
스펙터 비밀이 노출되면 공격자는 사용자가 사용하는 다양한 웹사이트의 로그인 자격 증명을 쉽게 알아낼 수 있습니다.
스펙터 비밀에 용어를 추가하면 해독할 때까지 걸리는 시간이 상당히 길어질 수 있으며, 한 단어만 추가해도 한 달 이상 걸리고 두 단어는 약 3천 년이 지나야 해독이 완료될 것으로 예상됩니다.
“바나나 색 오리 새끼 마당쇠 피아노”라는 문구는 기억하거나 마음대로 불러오기 어려울 수 있으며 키보드를 사용하여 입력하는 데 상당한 노력이 필요합니다.
단점: 웹사이트 URL 변경으로 비밀번호가 손상될 수 있음
David Rutland의 스크린샷 – 출처 표시 없음
웹사이트 URL 입력은 인증 절차의 구성 요소로 해당 URL을 활용하는 Spectre의 비밀번호 생성 프로세스에 포함됩니다. 이는 일반적으로 URL 표시줄의 현재 내용을 복제하여 프로그램에 붙여넣는 방식으로 수행됩니다.
웹사이트 아키텍처의 지속적인 진화는 웹사이트 관리자와 소유자가 성능을 최적화하고 프로세스를 간소화하기 위해 끊임없이 노력하고 있다는 증거입니다.따라서 하위 도메인은 기본 도메인으로 통합되는 경우가 많으며, 로그인 페이지는 접근성을 높이고 사용자 경험을 개선하기 위해 재배치됩니다.
이전에는 BBC 뉴스의 개별 웹사이트가 “news.bbc.co.uk”였지만, 이후 “[www.bbc.co.uk/news](http://www.bbc.co.uk/news)”로 리디렉션되었습니다.
기존 비밀번호 관리자를 사용하면 로그인 자격 증명에 대한 와일드카드 검색을 수행할 수 있습니다. 하지만 Spectre를 사용하면 URL이 변경되었을 수 있으므로 이전에 사용했던 정확한 웹 주소를 기억해야 합니다.
온라인 보안 유지가 어려운 이유
무단 액세스로부터 비밀번호를 보호하는 방법 중 하나는 스펙터입니다.
강력한 비밀번호는 솔루션의 한 측면일 뿐입니다. 안전과 보안을 강화할 수 있는 다양한 무료 온라인 보안 리소스를 쉽게 이용할 수 있습니다.