강좌

HOME > 강좌 >
강좌| 리눅스 및 오픈소스에 관련된 강좌를 보실 수 있습니다.
 
가입자 계정의 패스워드 변경법 제공하기
조회 : 7,267  




웹호스팅을 사용하시면서 가장 중요한 것 중의 한가지가 바로 고객의 로그인ID와 패스워드에 대한 철저한 보안입니다.

특히, 패스워드는 서버내에 존재하는 고객의 데이터를 보호하기위한 일차적이며, 가장중요한 것입니다.

여기서 설명드리는 내용은 패스워드를 변경하는 방법외에도 패스워드의 중요성 및 좋은 패스워드와 좋지 못한 패스워드등, 패스워드의 다양한 면을 다루고 있습니다.

이 내용은 저희 나이스코리아 연구원들이 웹호스팅고객을 위해 제작한 것입니다.

 

웹호스팅을 가입한다는 것은 인터넷상에 연결되어 있는 서버(웹호스팅서버)를 사용한다는 것을 의미합니다.

따라서 서버를 사용한다는 것은 그 서버의 계정을 가지고 있다는 것을 의미합니다.

단순한 의미로 계정을 가지고 있다고 말할 수 있으나, 이것은 알고보면 좀더 깊은 의미가 있다는 것을 아셔야합니다.

 

즉, 계정을 가지고 있다는 의미는 그 서버에 접속할 정당한 권리와 서버에 접속하여 허가된 자원(서버자원)을 사용할 정당한 권한이 있다는 것을 뜻하며 정당한 권한을 가진  사용자인지 아닌지는 해당 서버에서 ID와 패스워드로 확인을 하게되는 것입니다.  

 

간단히 정리하자면 정식으로 허가된 ID와 패스워드로 인정된 계정은 서버접속과 자원사용의 정당한 권한을 갖고 있다는 것입니다.

 

여기서 ID와 패스워드의 중요성이 부각됩니다.

다시 말해서 네트웍상에서는 서로 얼굴을 보지 못하므로 ID와 패스워드만으로 그사람의 신원을 확인하게 됩니다.

만약 자신의 ID와 패스워드를 다른 누군가가 알고있다면 그 사람이 불법적으로 사용한다 하더라도 서버에서는 정당한 사용자로 인정하게 될 것입니다.

한마디로 ID와 패스워드관리의 중요성이 이와 같다는 것입니다.

 

하지만 안타깝게도 아직까지도 패스워드의 중요성에 대해서 심각하게 인식하지 못하시는 고객분들이 많이 있습니다.

현실생활속에서는 "나"라는 존재를 얼굴과 신분증등 다양한 방법으로 증명할 수 있으나 인터넷, 즉 사이버세상에서는 ID와 비밀번호와 같은 것으로 존재의 인증을 받기 때문에 ID와 패스워드가 불법적으로 유출되었다면 이는 곧 나 자신을 도용당한것과 다를바 없습니다.

 

도용당한 결과에 대한 것을 상상해 보면 정말 끔찍하다고 할 수 있습니다.

 

  • 첫째, 웹호스팅서버에 있는 고객데이터의 완전한 유출이 가능해 진다.
     
  • 첫째, 사이버은행에서 얼마든지 출금 및 이체가 가능해 진다.
     
  • 둘째, 사이버증권회사에서 자신의 주식을 마음대로 출고 및 이체가 가능해 진다.
     
  • 셋째, 내가 가입한 모든 종류의 거래가 모두 가능해 진다.

 

이처럼, 도용당한 것은 ID와 패스워드뿐이지만 결과는 현실속의 막대한 피해로 다가옵니다.

 

패스워드의 중요성을 이처럼 부각하는 것은 패스워드를 결정할 때나 관리할 때 나자신을 보호한다는 생각을 가지고 좀더 신중함이 필요한다는 것을 강조하기 위함입니다.  

"12345"등의 알기쉬운 패스워드나 ID와 동일한 패스워드등 정말 용감한 사용자의 패스워드를 수없이 보아오면서 안타까움을 많이 느껴왔습니다.  

그럼 어떤패스워드를 사용해야 알기어려울까요?

이에 대한 답으로 패스워드를 입력할 때 주의해야할 사항이나 좋지못한 패스워드등 그리고 권장할만해 패스워드들을 이어서 설명드리겠습니다.


 

패스워드를 처음으로 입력할때에나 다른 패스워드로 변경하실때에는 다음의 사항에 대해서 한번쯤 생각해 보시기 바랍니다.  

아래와 같은 형태로 패스워드를 사용하지 마십시오.

 

  • 사전에 나오는 단어를 그대로 사용하는 경우
        (예, school, student, body등)
     
  • ID와 동일한 패스워드 혹은 ID의 앞뒤에 숫자만 붙여서 사용하는 경우
        (예, ID가 sspark일 경우 : sspark12,  34sspark,  12sspark34등)
     
  • 12345등의 연속된 숫자나 abcde등의 연속된 알파벳을 그대로 사용하는 경우
        (예, 98765, cdefg등)
     
  • 자기의 주민등록번호의 앞번호와 뒷번호를 그대로 사용하는 경우
        (본인의 생일뿐 아니라 가족이나 애인등의 번호도 마찬가지임)
        (예, 701010, 1917451등)
     
  • 집전화번호나 회사의 전화번호 혹은 휴대폰(삐삐)번호를 그대로 사용하는 경우
       (예, 5543745, 7472541 016245745등)
     
  • 특히 남성의 경우 군번을 많이 사용하는 경향이 있음. 자제하시기를..
     
  • 자동차 소유주의 경우 자동차넘버를 그대로 사용하는 경우
     
  • 특히 자기의 이름을 영문자판모드에서 한글로 그대로 사용하는 경우
     
  • 사용하고있는 시스템과 관련된 이름을 사용하는 경우
     (예, hosting123, host345, 345sms등)
     
  • 자기가 근무하는 회사의 이름을 그대로 사용하는 경우
     (예, samsung9, 3hyundae, 45daewoo등)

 

 해커들은 패스워드를 크랙프로그램등을 사용하여 패스워드를 알아내기도 하는데 이에 앞서 특정인의 패스워드를 알아내고자 할 경우에는 위의 경우와 같은 유추가능한 패스워드테스트를 해보게 됩니다.  

많은 경우에 이런 식으로 쉽게 패스워드를 알아낼 수가 있다고 합니다.

부디 여러분들은 ID와 패스워드의 도용으로 인하여 피해보는 사례가 없기를 진심으로 바랍니다.   

 

 

그럼, 어떤패스워드가 좋은 패스워드일까요?

 

이런 질문에 한마디로 말씀드린다면 "다른사람이 유추하기가 전혀 불가능한 패스워드"라고 말씀드릴 수 있습니다.

즉, 나의 개인신상에 관련된 정보를 가지고 패스워드를 알아내는 경우가 많으므로 패스워드를 결정할 때 나의 개인신상과 전혀 무관한 패스워드를 사용하면 좋습니다.

다음의 경우에는 좋은 패스워드라고 할 수 있습니다.

 

  • 나 자신의 개인신상과 전혀 무관한 패스워드
     
  • 숫자와 문자 및 특수문자가 적절히 섞여있는 패스워드
       (98duyc&$, dch%#74, &dph30@등)
     
  • 영문자일 경우 대.소문자를 함께 사용하여 만든 패스워드
       (예, iyHCiD19등)
     
  • 일반 단어에 나오지 않는 패스워드

 

하지만 유념해야할 것이 있습니다.

너무 유추하기 어려운 패스워드를 만든다고 자기 자신이 기억하지 못한다면 좀 곤란하겠지요.

또한 너무 어려운 패스워드를 만들어 두고서 수첩이나 메모지등에 적어두거나 모니터, 키보드등의 책상주변에 적어두는 경우도 종종 보았는데 이런 경우도 곤란하겠지요.


        

왼쪽의 그림과 같이 접속정보를 모두 입력한후에 접속을 합니다.

(Netterm에 관한 자세한 설명은 "Netterm편"을 참조하시기 바랍니다.)

 

 

 

다음은 passwd라는 명령어로 패스워드를 변경하는 예입니다.

login : ==> 자신의 ID
Password : ==> 현재 패스워드

passwd  => 패스워드 변경명령어
현재 패스워드 입력
변경할 패스워드 입력
변경할 패스워드 재입력

 

 

위의 예를 좀 더 자세히 설명하면 다음과 같습니다.

웹호스팅서버에 접속을 한후에 "passwd"라는 명령어를 사용하는데 이 명령어는 현재의 패스워드를 다른 패스워드로 바꿔주는 UNIX의 기본명령어입니다.

passwd라는 명령어를 입력하면 다음과 같은 절차를 통해서 패스워드를 변경합니다.

 

  •   (current) UNIX password:     현재 패스워드입력
  •   New UNIX password:         변경할 패스워드 입력
  •   Retype new UNIX password:  변경할 패스워드 재입력(확인)

 

이제 패스워드가 변경되었습니다. 여기서 변경된 패스워드는 FTP접속시에도 그대로 적용이 됩니다.

이말은 FTP접속시 패스워드를 변경하고자 할 경우에도 이 경우와 같이 telnet으로 접속하여 바꿔주면 된다는 것입니다.

즉, telnet접속시 사용하는 패스워드와 ftp접속시 사용하는 패스워드는 모두 같은 것입니다.


 

이번에는 고객여러분이 사용하시는 Windows95/98/NT로 웹호스팅서버로 접속한 후에 패스워드를 변경하는 방법을 설명드리겠습니다.

거의 대부분 아시는 내용이겠으나, 모르시는 분들을 위해서 간단하게 설명드립니다.

 

1단계 : [시작->실행]을 클릭합니다.

 

 

 

2단계 : 웹호스팅서버에 telnet으로 접속합니다.

(telnet hanlimmedia.co.kr)

위와 같이 입력한 다음 "확인"버튼을 클릭합니다.

 

그림 passwd04

 

 

3단계 : passwd라는 명령어로 패스워드를 변경한다.

 

 

변경방법은 앞의 예 Netterm과 같습니다.

[myid@superuser myid]$

[myid@superuser myid]$ passwd

Changing password for myid

(current) UNIX password:******** (현재사용중인 패스워드입력)

New UNIX password::********(새로운 패스워드)

Retype new UNIX password::********(새로운 패스워드)

passwd: all authentication tokens updated successfully

[myid@superuser myid]$

[myid@superuser myid]$


 

패스워드를 변경하려다 보면 여러 가지 이유로 패스워드변경이 되지 않는 경우가 있습니다.

이런 경우에는 그 에러메시지를 보고서 다시 변경시도를 해야합니다.

요즘에 나오는 운영체제들은 기본적인 보안강화를 위해 앞에서 설명드린 "좋지않은 패스워드"를 입력했을 경우에는 패스워드의 변경을 거부하게 됩니다.  

예를들어 사전에 나오는 단어를 그대로 사용했을 경우나 자신의 ID를 포함한 패스워드를 입력했을 경우에는 적절한 메시지를 보여주면서 변경할 수가 없게 됩니다.  

 

아래의 에러메시지를 잘 보시고 자기가 뭘 잘못 입력했는가를 다시 한번 생각한 후에 적절히 조치할 수 있도록 해야겠습니다.

 

Sorry, passwords do not match

두 번 입력한 패스워드가 동일하지 않을 경우에 나타납니다.

(current) UNIX password:

New UNIX password:          여기서 입력한 패스워드와

Retype new UNIX password:   여기서 입력한 패스워드가 동일하지 않을 경우에

 

Password unchanged

현재의 패스워드와 동일한 패스워드를 입력한 경우에

(current) UNIX password:     여기서 입력한 패스워드와

New UNIX password:         여기서 입력한 패스워드가 동일한 경우에

 

BAD PASSWORD: is too similiar to the old one

passwd: Authentication token manipulation error

현재의 패스워드와 거의 바뀐 것이 없을 경우에 (예, 숫자만 하나 바뀐경우)

(current) UNIX password:     여기서 입력한 패스워드와

New UNIX password:         여기서 입력한 패스워드가 거의 바뀐 것이 없을 경우에

 

passwd: Authentication failure

현재의 패스워드가 틀리게 입력된 경우에

(current) UNIX password:  여기에 입력한 패스워드(현재사용중인 패스워드)가 맞지 않을 경우에

 

BAD PASSWORD: it is based on your username

새로 변경할 패스워드에 자신의 ID가 포함되어 있을 경우에

(current) UNIX password:

New UNIX password:      여기 입력된 패스워드에 자신의 ID가 포함된 경우

 

BAD PASSWORD: it is based on a dictionary word

새로 변경할 패스워드에 사전에 들어간 단어가 포함되어 있을 경우에

(current) UNIX password:

New UNIX password:     여기 입력한 패스워드에 사전에 있는 단어를 포함한 경우

 

passwd: Only root can specify a username

다른사용자의 패스워드를 변경하려고 했을 경우에

"passwd USERID"로 다른사용자의 ID를 변경할 수 있는 권한이 있는 사용자는 관리자, 즉 root만이 할 수가 있습니다.

따라서 일반 웹호스팅 고객께서 이런 명령을 사용하려하면 이와같은 메시지를 보이는 것입니다.

아래의 예를 보세요.

 

[myid@ns6 myid]$ passwd fascon

passwd: Only root can specify a username  

 

 

BAD PASSWORD: it's WAY too short 혹은

BAD PASSWORD: it is too short

새로 변경할 패스워드가 너무 짧을 경우에 앞의 경우는 뒤의 경우보다 더 짧을 경우에

(current) UNIX password:

New UNIX password:     여기 입력한 패스워드가 너무 짧은 경우(3자리혹은 4자리만 입력한 경우)

 

 

BAD PASSWORD: is too simple

passwd: Authentication token manipulation error

비밀번호가 단순할 경우

(current) UNIX password:

New UNIX password:     여기에 입력된 패스워드가 너무 단순한 경우에

 

 

passwd: all authentication tokens updated successfully

참고로 위와 같은 메시지는 패스워드의 변경이 성공적으로 이루어 졌을 때 나타납니다.

아래의 예는 정상적으로 패스워드 변경이 된 경우입니다.

[myid@ns6 myid]$ passwd

Changing password for myid

(current) UNIX password:

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully

[myid@ns6 myid]$

 

 

이상으로 패스워드의 의미와 중요성 그리고 변경하는 방법까지의 설명을 모두 마치도록 하겠습니다.  

웹호스팅 고객여러분 데이터보안에 많은 참고가 되었기를 간절히 기원합니다.

 



[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=499


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
박성수
파파
헐렁고수