사전 공격은 잠재적인 비밀번호의 사전 컴파일된 목록을 체계적으로 순환시켜 인증 시스템을 손상시키는 데 자주 사용되는 자격 증명 해독 방법입니다. 사전 기반 공격이라고도 하는 이 기술은 사용자가 표준 단어, 자주 사용되는 문구, 고유 명사 또는 예측 가능한 문자 조합을 기반으로 비밀번호를 선택하는 경향을 악용합니다. 또한 공격자는 사전 기반 방법을 사용하여 스팸 캠페인을 위해 유효한 이메일 주소를 자동으로 열거하는 경우가 많습니다.
문자의 모든 가능한 조합을 시도하여 상당한 컴퓨터 리소스와 시간을 소모하는 무차별 대입 공격과 달리, 사전 공격은 일반적으로 선택되거나 유출된 비밀번호가 포함된 미리 정의된 단어 목록을 활용하여 더 빠르고 리소스 효율적인 침해 시도가 가능합니다.
사전과 사전 공격을 수행하기 위한 전문 소프트웨어 도구는 상업적으로나 보안 커뮤니티 리소스 내에서 무료로 쉽게 구할 수 있습니다. 사전의 항목 수는 수천 개에서 수백만 개에 이릅니다. IT 관리자와 보안 전문가는 일반적으로 이러한 도구와 사전을 적극적으로 활용하여 보안 테스트, 침투 평가, 비밀번호 감사를 실시하여 해당 공격 벡터에 대한 시스템의 취약성을 평가합니다.
일반적인 완화 기술에는 사전 항목이나 예측 가능한 비밀번호 목록에서만 파생된 자격 증명을 자동으로 거부하는 비밀번호 생성 정책을 시행하는 것이 포함됩니다. 그러나 지나치게 제한적인 사전 필터링 정책은 사용자 경험에 부정적인 영향을 미칠 수 있으며, 규정에 맞는 비밀번호를 선택하는 데 어려움을 겪을 수 있습니다. 따라서 보안 전문가는 비밀번호 복잡성 요구 사항과 실제 사용성 고려 사항 간의 균형을 맞춰야 합니다.
또 다른 중요한 정책은 사용자 이름과 비밀번호가 동일한 "Joe 계정"을 제거하는 것입니다. 이러한 계정은 자동화된 사전 공격 도구의 주요 대상이 되는 경우가 많습니다. 보안 관리자는 최소한 Joe 계정 생성을 금지하는 제어 기능을 구현하고, 비밀번호 복잡성 지침을 시행하여 자격 증명 추측 시도의 성공을 최소화해야 합니다.