트위터 피싱 주의

트위터의 아이디와 비밀번호는 트위터에서만 쓰는 것이 아니라, 트위터의 API를 사용하는 다른 웹사이트나 트위터 클라이언트에도 입력하게 되어 있다. 그러다보니 사람들이 익숙해져서 트위터와 관련되어 있다는 이유로 무심코 비밀번호를 입력해버리는 경우가 있다.

결과는…

사용자 삽입 이미지
나에게 영어로 광고 메시지를 보내는 사람들..;; 물론 자신들도 이런 상태인 줄 모른다;;

조심 또 조심해야 한다.

자세한 것은 여기 참고. http://bloggershome.net/bary/entry/HowToTwitter08

넥슨 계정 비번에 작은따옴표를 사용했을 경우 마비노기 홈페이지 로그인 오류


넥슨의 홈페이지에서는 비밀번호에 영문/숫자/특수문자를 사용할 수 있다고 알리고 있습니다. 특수문자에 무엇을 사용하지 말라는 안내는 없습니다.

예를 들어 작은 따옴표(‘)를 사용해도 됩니다.

작은 따옴표를 넣은 비밀번호 (예를 들어 abcdef’ 같은)로 바꾸고 나서 넥슨 홈페이지에 다시 로그인해도 별 문제없이 로그인 됩니다.

그런데 마비노기 홈페이지에서는 넥슨 홈페이지의 비밀번호에 작은 따옴표를 쓴것이 문제가 됩니다.

마비노기 홈페이지에서 로그인을 할대 비밀번호를 몇번 잘못 입력하면 다음과 같은 화면이 뜹니다.


비밀번호 자주 틀리는게 의심스러우니 넥슨 아이디와 비밀번호까지 입력하라는 거죠. (이 화면은 한번 10번을 초과하면 쿠키 문제인지 엄청 자주 뜹니다;;)

여기에 아까의 작은 따옴표가 들어간 비밀번호를 입력하면,


이런 메시지가 뜹니다.

넥슨 홈페이지에서는 잘 로그인 되던 비밀번호가 마비노기에서는 문제가 되는 겁니다. 이런 상황에서는 마비노기 홈페이지를 쓰는 것이 불가능해집니다.

아마도 마비노기 홈페이지 개발팀이 작은 따옴표(‘)를 인젝션 해킹같은 것을 막기 위해 필터링을 한 모양인데, 넥슨에서는 그걸 정상적인 비밀번호로 처리하기 때문에 생긴 문제인거 같습니다.

Draco 보안 강화 계획

내가 인터넷을 쓰기 시작한 것이 1995년부터니까 15년이 되어간다.

그러다보니 내가 가입되어 있거나 관리중인 사이트, 메일, 메신저, IRC, 각종 계정등이 수백개에 달하게 되었다. 여기에는 각각 아이디와 비밀번호가 있는데, 아이디도 사이트마다 다른 경우가 많고, 비밀번호도 사이트 사정이나 보안을 위해 다른걸 사용하다보니 십여가지를 사용중이다.

그러다보니 자주 안가는 사이트는 아이디나 비밀번호를 잊어서 매번 다시 찾는게 예사이다. 만약 비밀번호가 악의적인 사람에게 노출된다면 같은 아이디와 비밀번호를 쓰는 사이트들은 죄다 위험에 처하게 된다.

그래서 작년부터 계획했던 것이 그 이름도 거창한

Draco 보안 강화 계획

-_-
세부 계획은

  1. 주 사용 OS를 리눅스로 바꾸고, 주 사용 웹브라우저를 파이어폭스로 바꾼다. 사용하는 프로그램을 최대한 오픈소스로 바꾼다.
  2. 인터넷을 사용한 이래로 가입한 모든 사이트를 최대한 파악한다.
  3. 2번에서 찾은 사이트들 중 자주 사용하지 않는 것은 탈퇴 처리한다.
  4. 개인적으로 사용하는 모든 사이트, 메일, 메신저, IRC, 각종 계정등에 사용하는 아이디와 비밀번호를 KeePassX와 같은 비밀번호 관리 프로그램에서 관리하며, 비밀번호는 난수화시킨다. 집중관리 비밀번호를 선정해 주기적으로 비밀번호를 바꾼다
  5. 일을 위해 사용하는 모든 비밀번호도 난수화시켜 따로 보안성이 있는 문서나 프로그램으로 관리한다.

현재 4번을 진행중에 있다. (2,3번이 가장 손이 많이 가고 귀찮은 짓이었다. 수십수백개의 사이트를 알아보고 로그인한뒤  탈퇴라는건 정말 어렵다…)

사용자 삽입 이미지
KeePassX로 비밀번호를 관리하는 것은 무척 체계적이 되지만, 모든 비밀번호가 KeePassX 하나에 의존하게 되므로, 마스터 비밀번호를 잊어먹지 않도록 주의해야 한다.

또한 비밀번호가 i~E]=%+>;Z\vp(6!p,a5CamQ@ 이런식으로 외우거나 쉽게 치지 못하게 만들어 쓰다보면, 귀찮아서 클립보드를 이용한 Copy&Paste를 하게 되는데, 최근의 키로거 바이러스는 클립보드도 모니터링하기 때문에, 바이러스에 안전한 환경에서만 사용해야 한다.

마비노기 U-OTP 사용 비용

마비노기에서 새로 도입한 보안 인증제도인 U-OTP의 사용요금은 재발급이나 메뉴를 사용하지 않는 이상 기본적으로 무료이지만, 몇몇 예외조건이 있다. 위의 표(출처:http://mabinogi.gameabout.com/news/view.ga?id=4&news_id=1754)와같이 SKT의 경우 월정액을 사용하지 않는 사람은 500원의 이용료가 들어가고, 오래된 핸드폰인 사람은 다운로드 비용이 들어간다.

나는 얼마나 다운로드 비용이 들어갔는지 봤더니..


…. 나름 아깝다…

리눅스에서 압축파일의 비밀번호 복구하기

rar로 압축해놨는데 비밀번호를 잊어서 복구해야 한다거나, 필요한 파일을 다운받았는데 암호를 깨야 한다면 난감할겁니다.

인터넷에 검색하면 여러 툴들이 있지만, 대부분 윈도용 툴입니다. 리눅스에는 RarCrack 이라는 프로젝트가 있습니다. rar, zip, 7z를 지원하는군요.

다음과 같이 사용할 수 있습니다.

1. 프로그램소스를 다운받고 압축을 풉니다.
http://rarcrack.sourceforge.net/

2. 터미널에서 컴파일을 위한 라이브러리를 설치합니다.

sudo apt-get install libxml2-dev

3. 컴파일과 설치를 합니다.

make ; sudo make install

4. 명령을 사용합니다.

rarcrack 압축파일명


문제는….이거 상당히 cpu 소모적인 일입니다. 느린 cpu를 가지고 있다면 엄청 오래 걸려요. 걸어놓고 주무시는게 나을지도 모릅니다. ^^;

비밀번호 확인질문에 솔직해지지 말자


비밀번호 확인 질문의 예

사람은 망각의 동물이다. 자신이 생각해낸것도 안쓰면 수시로 잊어버린다. 덕분에 웹사이트 개발자들은 사용자가 쉽게 자신의 비밀번호를 기억해낼 방법들을 궁리해냈다.

그 대표적인 예가 비밀번호 확인질문이다. 흔히 친구이름, 애완동물 이름등을 물어본다.

하지만 문제는 이런 내용이 “가까운 사람들도 알만한 내용”이라는 것이다. 만약 내가 “나의 별명”을 비밀번호 확인질문으로 선택해놓고 “Draco”라고 답을 적어놓으면 남에게 계정을 갖다 받치는 것이 될것이다. 가까운 사람중 악의를 가진 사람이 있다면(대부분의 악의를 가진 사람은 가까운 사람이다), 몇번의 시행착오로 이 과정을 통과할수 있다. 우리나라 사이트들의 경우 이런 질문과 주민등록번호를 같이 물어보곤 하지만, 요즘 주민등록번호가 어디 비밀이던가.

이런 문제를 해결하기 위해서는 다음과 같이 하는 것이 좋다.

  • 첫번째 질문을 선택하지 않는다.
  • 측근이 바로 답을 연상할수 있을 만한 질문을 선택하지 않는다.
  • 답을 솔직하게 쓰지 않는다. 다른 언어로 쓰거나, 꺼꾸로 쓰거나, 다른 답을 적거나…

세상은 솔직하게 사는게 착한것이겠지만, 보안과 관련해서는 솔직해지지 않아야 좋다.

옥션….왜 해킹되가지고 사람을 귀찮게 하나…

옥션이 해킹되었다고 합니다. 관련뉴스
회원정보와 환불정보가 노출된거 같고, 비밀번호는 암호화 되어 있어 괜찮다고 하는 군요.

문제는…제가 본인 확인 질문란에, 너무나 뻔하게…아이큐가 80만되도 비밀번호를 유추할수 있는 단어를 써놨어요 -_-;
거기다 더해서, 그 옥션 아이디/비밀번호가 그 당시 가입했던 사이트나 메신저들의 아이디/비밀번호와 동일해요…;;;
지금은 11개의 아이디와 비밀번호를 규칙에 따라 조합해가며 쓰고 있지만, 그 당시엔 쉽게하려고 일부러 통일해서 썼었죠.

그 비밀번호들을 다 바꿔야 하는건가!!!
아니면 이미 늦었나..