비밀번호 상태 기능은 사용자 로그인 정보의 보안을 평가하고 비밀번호 해킹을 막기 위해 비밀번호를 향상시키는 방법에 대한 팁과 지침을 제공하는 ExpressVPN Keys의 기능입니다.
사용자의 개인 정보를 염두에 두고 만든 비밀번호 상태 기능
ExpressVPN Keys에 저장된 사용자의 로그인 정보는 영지식 암호화로 보호되어 ExpressVPN이 접근할 수 없습니다. 즉, 사용자 본인만 비밀번호를 해독할 수 있습니다.
이러한 이유로 사용자의 로그인 정보의 보안은 사용자의 기기에서 로컬로 평가되고 평가 결과는 사용자의 보안 점수를 계산하고 앱에서 유용한 제안 사항을 표시하는 데만 사용됩니다. 보안 점수는 비밀번호 강도, 같은 비밀번호를 두 번 이상 사용하는지의 여부, 저장된 웹사이트 URL이 안전한지의 여부를 기반으로 합니다.
비밀번호 강도
비밀번호 강도 점수는 추측 또는 무차별 대입 공격에 대한 비밀번호의 저항력을 잘 나타냅니다. ExpressVPN Keys는 업계 표준 zxcvbn 라이브러리를 사용하여 사용자가 비밀번호를 업데이트할 때 비밀번호 강도를 평가합니다. 비밀번호 강도 점수는 저장되며 ExpressVPN Keys를 잠금 해제했을 때만 이용할 수 있습니다.
재사용된 비밀번호
ExpressVPN Keys는 사용자의 비밀번호가 개인 정보를 보호하는 방식으로 두 개 이상의 로그인에 사용되는지의 여부를 확인하여 절대적으로 필요한 경우가 아니면 비밀번호가 해독되지 않고 메모리에 로드되지 않도록 합니다.
이를 달성하기 위해:
- 비밀번호를 업데이트할 때 해시화된 비밀번호(비밀번호를 나타내는 이해할 수 없는 문자열)의 처음 5개 문자가 ExpressVPN Keys에 저장됩니다.
- 해시화된 비밀번호의 처음 5개 문자가 두 개 이상의 로그인 정보에서 발견되는 경우 해당 비밀번호를 해독하여 재사용 여부를 확인합니다.
안전하지 않은 URL
ExpressVPN Keys는 사용자의 로그인 정보에 저장된 웹사이트 URL이 보다 안전한 ‘https://’ 대신 ‘http://’로 시작하지는 않는지 검토하고 ‘http://’로 시작하는 경우 사용자에게 경고하여 해당 웹사이트에 접속하여 로그인할 때 데이터가 안전하지 않게 전송되는 것을 막습니다.
노출된 비밀번호
ExpressVPN Keys는 HaveIBeenPwned에서 집계한 정보를 기반으로 사용자의 비밀번호가 데이터 유출로 인해 노출되었는지 여부를 알려줍니다. 이 과정에서 사용자의 개인 데이터는 절대로 외부와 공유되지 않습니다. 비밀번호 노출 여부를 확인하고 싶지 않다면, 언제든 앱 설정에서 이 기능을 비활성화할 수 있습니다.
사용자의 비밀번호는 절대로 ExpressVPN 또는 HaveIBeenPwned로 전송되지 않습니다
- ExpressVPN Keys는 각 비밀번호에 대해 40자 해시를 생성합니다. 해시란 사용자의 비밀번호를 나타내는 이해할 수 없는문자열입니다.
- 그다음 Keys는 각 해시의 첫번째 5자만 ExpressVPN Keys 서버로 전송한 뒤 HaveIBeenPwned로 요청을 전달합니다.
- HaveIBeenPwned는 요청받은 해시와 동일한 5자로 시작하는 해시를 가진 취약한 비밀번호 목록을 반환합니다.
- 마지막으로 ExpressVPN Keys는 반환된 비밀번호를 사용자의 기기에서 내부적으로 비교합니다.
사용자의 IP 주소는 절대로 HaveIBeenPwned로 전송되지 않습니다
사용자의 개인 정보를 더 확실히 보호하기 위해 IP 주소는 절대로 HaveIBeenPwned에 노출되지 않니다.
Keys가 노출된 비밀번호를 검사할 때 요청은 우선 보안 ExpressVPN Keys 서버를 통과하여 HaveIBeenPwned로 전송되며 같은 경로로 되돌아옵니다.