얼마 전 한국 보안 프로그램 문제를 지적한 블라디미르 팔란트 씨가
이번에는 오픈소스 암호 관리자 비트워든의 이터레이션(iteration)이 낮게 설정되어 있다고 지적. [1]
사용성은 다소 불편해지지만 랜덤으로 기기 전용 보안 키를 생성하는 1Password와 다르게 [2]
비트워든은 마스터 비밀번호만으로 로그인할 수 있는 구조여서
암호화 무작위 대입 공격으로부터 보호하는 이터레이션(iteration) 수가 중요하다고 합니다.
비트워든도 비판을 받아들여 기존에는 100,000이었는데 신규 계정부터 600,000으로 바꾼다고 합니다. [3]
이미 사용 중인데 숫자를 늘리고 싶으신 분은 계정 설정 - Security - Keys로 이동해 KDF 이터레이션을 수정하세요.
https://vault.bitwarden.com/#/settings/security/security-keys
[1] https://palant.info/2023/01/23/bitwarden-design-flaw-server-side-iterations/ (팔란트 씨 블로그)
[2] https://1password.com/ko/security/ (1Password 보안 소개 페이지)
[3] https://fosstodon.org/@bitwarden/109745277062224768 (비트워든 공식 마스토돈 계정)
정상적인 대응이네요
13자리 자체는 긴 편은 아니지만,
otp 2차인증이 더 강한 세션 아닐까요?
그리고 복잡한 암호는 비추 합니다.
"sweet potato and steamdeck enjoy"
대신 이런 단순하고 긴~ 암호 추천해요.
구글이나 비트워든 같은 외국계는 특문으로 스페이스바 포함, 긴 암호를 지원해요. 국내는 거의 없는거 보면, 보안 신경 써주는데가 드문거 같아요.