Good grammar may be important, but when used to concoct a long computer password, grammar -- good or bad -- undercuts its security, U.S. researchers say.

Computer scientists at Carnegie Mellon University said a password-cracking algorithm they developed that took into account grammar was tested against 1,434 passwords containing 16 or more characters.

The grammar-aware cracker surpassed other state-of-the-art password crackers when passwords had grammatical structures, a university release reported Thursday.

Basing a password on a phrase or short sentence makes it easier for a user to remember, but the grammatical structure dramatically narrows the possible combinations and sequences of words, the researchers said.

Grammar's different parts of speech -- nouns, verbs, adjectives, pronouns -- also can undermine security, they said.

That's because pronouns are far fewer in number than verbs, verbs fewer than adjectives and adjectives fewer than nouns.

"I've seen password policies that say, 'Use five words,'" software engineering doctoral student Ashwini Rao, the study leader, said. "Well, if four of those words are pronouns, they don't add much security."

"We should not blindly rely on the number of words or characters in a password as a measure of its security," Rao said.

<한글 기사>

해킹 당하기 쉬운 암호의 유형

문법이 맞는 완벽한 문장이든 아니든 문법은 컴퓨터 암호를 만드는데 있어 보안성을 떨어뜨린다고 미국 연구진이 밝혔다.

카네기 멜론 대학의 컴퓨터 공학자들은 그들이 발명한 암호를 해킹하는 알고리즘으로 16개 이상의 알파벳으로 이루어진 1,434개의 암호를 놓고 실험을 했다.

그 결과 이 해킹툴은 암호가 문법적인 구조를 가지고 있을 때, 최신식 크래커를 뛰어넘는 성능을 보이는 것으로 나타났다.

짧은 문장이나 구로 이루어진 암호는 사용자들이 기억하기는 쉽지만, 문장 구조가 예상 가능해서 해킹을 당하기 쉬워진다.

동사와 명사, 부사, 대명사와 같은 품사의 사용도 보안을 낮춘다.

소프트웨어 엔지니어 아쉬위니 라오는 “암호 설정 방법에 “5개의 단어를 쓰시오”라고 나온 것을 본 적이 있다. 만약 그 중 네 개의 단어가 대명사라면 보안이 되지 않는 다고 볼 수 있다”라고 말했다.  

이는 대명사가 동사보다 휠씬 그 종류가 적고 동사는 부사보다 그 수가 적으며 부사는 명사보다 적기 때문이다.

그는 “우리는 단어나 문자의 개수가 많다고 해서 보안이 보장되리라고 생각하지 말아야 한다”고 덧붙였다.