사이버 보안 전문가들은, 웹상의 개인 정보를 보호하기 위해 다양한 대책을 호소하고있다. 그 중에서도 가장 유효한 수단이 되는 것이 암호의 재사용을 하지않는 것이다.
비밀번호를 결정할 때는, 자신이 과거에 사용한 것을 방지하는 것은 물론, 다른 사람이 과거에 사용한 것도 사용해서는 안된다. 왜냐하면, 사이버 범죄자들은 수억 개의 유출 된 비밀번호의 목록을 가지고 있으며, 그것을 악용하고 있기 때문이다.
범죄자들은 유출 된 암호 리스트에, 역시 유출 된 이메일 주소를 매칭시킴으로써 모든 서비스에 잠입하려고 하고있다.
이 상황에서 사용자를 보호하려고 나선 것이 보안 연구가 트로이 헌트이다. 마이크로 소프트 MVP 수상 경력이 있는 헌트는 한때 자신의 이메일 주소가 해킹되어 있는지 체크 할 수있는 사이트 "Have I been pwned?(HIBP)"로 유명해졌다.
그 헌트가 이후에 릴리스 한 것이 특정 암호가 노출되지 않았는지를 조사 할 수있는 "Pwned Password"이다. 이 사이트를 방문하여 검색 창에 자신이 사용하고 있는(또는 앞으로 사용하려고 생각하고 있는) 암호를 입력하면, 과거의 누설 기록이 표시된다.
헌트는 5억 건에 이르는 유출 된 비밀 번호의 목록을 가지고 있으며, 그 목록과 비교하는 것이다. 예를 들어, 최악의 비밀번호로 알려진 "123456"을 검색해보면, "Oh No!"라는 문구와 함께 화면이 빨간색으로 변경되고, 2000만회 이상의 누설 기록이 있는것으로 나타난다.
또한 유출 내역이 없는 깨끗한 비밀 번호의 경우는 화면이 녹색으로 바뀌고 "Good News"라고 표시된다.
이 사이트가 흥미로운 것은 스스로 생각해낸 독특한 문자열이라고 생각하는 암호를 입력하더라도, 의외로 암호가 유출 기록을 가지고 있다는 것이다. 이것은 동일한 암호를 내놓았던 사람이 존재하고, 그것이 범람하고 있다라고 하는 것이다.
이러한 사태를 방지하기 위해 올바른 응용 프로그램이 "LastPass"나 "1Password"라는 것이다. 이러한 툴을 이용하여 보안 강도가 높은 암호를 자동으로 생성하고, 관리함으로써 해킹 피해를 예방할 수있다.
