데이터 위반 시 2010년대 초반에 일시적인 위협에서 지속적인 삶의 사실로 바뀌었지만 피해자 조직, 사이버 보안 연구원, 법 집행 기관 및 일반 사람들이 각 사건의 결과를 평가할 때 한 가지 질문이 계속해서 제기되었습니다. 사용자의 암호를 보호하는 데 사용되는 대상은 무엇입니까?
답이 암호화 스크램블링이 전혀 없는 일반 텍스트로 저장된 암호의 악몽은 말할 것도 없고 SHA-1과 같은 잘못된 암호화 기능인 경우 데이터를 훔친 사람이 더 쉬울 것이기 때문에 피해자는 더 걱정해야 했습니다. . 비밀번호를 해독하고, 사용자 계정에 직접 액세스하고, 사람들이 비밀번호를 재사용한 경우 다른 곳에서 해당 비밀번호를 시도합니다. 그러나 대답이 bcrypt로 알려진 알고리즘이라면 당황할 일이 하나 이상 줄었습니다.
Bcrypt는 올해로 25세가 됩니다. 공동 발명자 중 한 명인 Niels Provos는 되돌아보면 알고리즘이 오픈 소스 가용성과 장수를 가능하게 한 기술적 특성 덕분에 항상 좋은 에너지를 가지고 있었다고 말합니다. Provos는 이번 주에 발표한 알고리즘에 대한 회고전에 대해 WIRED에 말했습니다. 유즈닉스 ;로그인:. 그러나 많은 디지털 워크호스와 마찬가지로 이제 scrypt 및 Argon2로 알려진 해싱 알고리즘을 포함하여 bcrypt에 대한 보다 강력하고 안전한 대안이 있습니다. 그리고 Provos 자신은 bcrypt에게는 25년의 이정표가 충분하며 또 다른 주요 생일을 축하하기 전에 인기를 잃기를 희망한다고 말합니다.
1997년 6월 오픈 소스 운영 체제 OpenBSD 2.1과 함께 처음 출시된 bcrypt 버전입니다. 당시 미국은 여전히 암호화에 엄격한 수출 제한을 부과했습니다. 그러나 독일에서 자란 Provos는 그곳에서 살면서 공부하는 동안 개발에 몰두했습니다.
“내가 너무 놀랐던 한 가지는 그것이 얼마나 인기가 있었는지였습니다. “라고 그는 말합니다. “부분적으로 생각한다. [it’s] 아마도 실제 문제를 실제로 해결하고 있었기 때문일 수도 있지만 오픈 소스이고 수출 제한에 의해 방해받지 않았기 때문일 수도 있습니다. 그리고 나서 모두가 다른 모든 언어로 자신의 구현을 수행하게 되었습니다. 따라서 요즘 암호 해싱을 수행하려는 경우 bcrypt는 작업할 수 있는 모든 언어로 제공될 것입니다. 하지만 흥미로운 또 다른 점은 25년 후에도 여전히 관련이 있다는 것입니다. 그건 미친 짓이야.”
Provos는 매사추세츠 공과대학에서 공부하던 Stanford University의 시스템 보안 교수인 David Mazieres와 함께 bcrypt를 공동으로 개발했습니다. 두 사람은 오픈소스 커뮤니티를 통해 만나 OpenBSD 작업을 하고 있었다.
해시된 암호는 읽을 수 있는 것에서 이해할 수 없는 뒤섞임으로 암호학적으로 변환되는 알고리즘을 통해 입력됩니다. 이러한 알고리즘은 실행하기는 쉽지만 해시를 만든 사람도 해독하거나 “크랙”하기는 매우 어려운 “일방향 함수”입니다. 로그인 보안의 경우, 아이디어는 사용자가 비밀번호를 선택하고 사용 중인 플랫폼에서 이를 해시한 다음 나중에 계정에 로그인할 때 시스템이 사용자가 입력한 비밀번호를 가져와 해시한다는 것입니다. , 그런 다음 결과를 계정에 대한 파일의 암호 해시와 비교합니다. 해시가 일치하면 로그인에 성공합니다. 이렇게 하면 서비스는 암호 자체가 아니라 비교를 위한 해시만 수집합니다.
