주: stackexchange의 질문과 답변을 번역한 글입니다.
Q. 왜 많은 사이트가 ‘8자 이하’ 같은 짧은 길이로 패스워드를 강제하나요?
A. 침팬지 5마리를 잡아서 큰 우리 안에 넣습니다. 바나나를 우리의 천장에 매달고 침팬지들에게 접이식 사다리를 줍니다. 하지만 바나나에 근접 센서를 달아서 침팬지가 바나나 근처에 다다르면 물 호스가 작동해서 우리 전체가 흠뻑 젖게 만듭니다.
곧 침팬지들은 바나나와 사다리를 무시하는 게 좋다는 걸 알게 됩니다.
이제 침팬지 한 마리를 빼고 새로 한 마리를 넣습니다. 새 침팬지는 호스에 대해서는 아무것도 모르죠. 그 녀석은 바나나를 보고, 사다리를 알아차리고, 영리한 영장류답게 사다리를 타고 올라가서 바나나에 닿을 수 있을 거라고 생각합니다. 재빨리 사다리를 잡고… 다른 네 침팬지가 그 녀석을 때려눕히죠. 곧 그도 사다리를 무시해야 한다고 배웁니다.
그러면 다시 다른 침팬지를 빼고 새로 한 마리를 넣습니다. 상황은 반복됩니다. 그 녀석이 사다리를 잡으면 다른 네 마리에게 두들겨 맞습니다. 네, 아까 새로 들어온 새 침팬지를 포함해서 네 마리요. 그는 “너는 사다리를 건드리지 말지어다” 라는 개념에 융화된 것이죠.
반복합시다. 몇 번 하고 나면 감히 사다리를 건드리는 녀석에게 주먹을 날릴 다섯 마리의 침팬지들이 생깁니다. 그중 누구도 왜 그런지는 모르고요.
원래는 어디선가 어떤 개발자가 지난 세기에 쓰던 오래된 유닉스 시스템에서 작업하고 있었습니다. 그 시스템은 DES 블록 암호화를 사용하는 패스워드 해싱 함수를 사용하고 있었죠. 그 해싱 함수는 패스워드의 처음 8글자만(그리고 각 글자의 하위 7bit만)을 사용했습니다. 이어지는 글자들은 무시했죠. 그게 바나나입니다.
인터넷은 침팬지들로 가득 차 있고요.
주: 위 일화는 일종의 우화로, 실제 과학실험과는 차이가 있습니다. 그쪽에 관심있는 분은 여기를 참조하세요: Stephenson, G. R. (1967). Cultural acquisition of a specific learned response among rhesus monkeys. In: Starek, D., Schneider, R., and Kuhn, H. J. (eds.), Progress in Primatology, Stuttgart: Fischer, pp. 279-288.
원문: 피치바이트
