기본 콘텐츠로 건너뛰기

새로운 패스워드 규칙 : 패스워드 좀 그만 바꾸게 해주세요



웹사이트나 모바일 앱을 사용하다보면 몇개월 간격으로 패스워드를 바꾸라는 안내창을 보게 됩니다. 거기에 패스워드 규칙도 문자,숫자,기호까지 섞어 만들라고 요구해 굉장히 짜증이 나는 경우가 있기도 합니다. ITWorld의 ‘글로벌 칼럼 | 암호 보안에 ‘독’이 되는 구닥다리 규제’에서는 이 규칙이 틀렸다고 합니다. 정말일까요?

일반적으로 요구되는 패스워드 규칙은 아래와 같습니다.
  • 암호는 최소 8~12글자일 것. 길면 길수록 좋다.
  • 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등).
  • 90일에 한번, 또는 그보다 자주 번호를 바꿀 것
  • 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것

ITWorld의 컬럼에서 이런 일반적 패스워드 규칙이 틀렸다라고 하면서 새로운 규칙으로 이야기하는 것은 NIST(미국 표준기술연구소)의 ‘디지털 아이덴티티 가이드라인’입니다. 이 문서에서 권장하는 패스워드관련 규칙은 다음과 같습니다.
  • 가능하면 이중 인증 기능을 사용하라. 암호도 나쁘지 않지만, 이중 인증이 PW보다 훨씬 낫다.
  • 암호는 최소 8글자 이상이 권장되지만, 지나치게 길 필요는 없다.
  • 복잡한 비밀번호 설정은 더 이상 필수는 아니지만, 한다고 손해 볼 것도 없다.
  • 너무 흔하거나 쉽게 생각할 수 있는 암호는 위험하다(예컨대 당신의 이름이나, 암호123같은 암호들).
  • 암호가 유출되었다고 믿을만한 합리적인 근거가 없는 상황에서 굳이 암호를 새롭게 바꿀 필요는 없다.
  • 하나의 암호를 다수의 웹사이트에서 사용하는 행동은 지양해야 한다.
  • 개발자의 경우, 유저의 행동 양상이나 위치, 사용 기기 등의 변화가 부가적인 인증 확인을 유발할 경우 동적 인증(dynamic authentication) 방식의 사용도 고려해 볼만 하다.

솔직하게 이야기하면 거창한 제목으로 시작한 기사에서 제시한 새로운 규칙은 패스워드보다는 이중 인증을 사용해야한다라는 것을 제외하면 현재 사용하는 규칙과 별차이가 없습니다. 다만, 현재 필수로 요구되는 것들이 선택으로 바뀐 정도인데 제 생각에는 현재의 해킹 기술을 고려한다면 패스워드를 복잡하게 만들고 주기적으로 바꾼다고 해서 보안 레벨이 올라가는 것을 기대하기 힘들기 때문이지 않을까합니다. 패스워드보다는 이중 인증을 권장하는 것도 이런 이유 때문이겠죠.

무언가 대단한 내용이 있을 것으로 기대해 좀 실망스럽지만 패스워드 규칙에 대해서는 저도 NIST의 권장안에 동의합니다. 특히 몇개월 단위로 패스워드를 바꾸는 것은 정말 불필요한 조치라고 생각합니다. 어차피 사용자가 만드는 새로운 패스워드의 보안 레벨은 이전 패스워드와 차이가 없습니다. 패스워드가 유출된 것도 아닌데 주기적으로 패스워드를 바꾸게 하는 것은 정부나 기업에게는 보안에 대해 할만큼 했다라는 자기위안(?)을 주고 사용자에게는 짜증을 주는 일이라고 생각합니다.


===


Project just4fun : http://www.just4fun.kr/



댓글

이 블로그의 인기 게시물

안드로이드 웨어의 오레오 업데이트

제가 사용하고 있는 엘지 워치 스타일에 대한 안드로이드 오레오 업데이트가 배포되었습니다. 작년 12월초에 엘지 워치 스포츠를 시작으로 발표된 업데이트이니 2달이 걸렸네요. 안드로이드 웨어 오레오 업데이트는 OS적으로 크게 변한 것은 없고 몇가지 기능들이 추가된 업데이트입니다. 이번 업데이트에서 추가된 기능들에 대해 간단히 알아보겠습니다.

파일 관리자 (Clean File Manager) : 깔끔한 안드로이드 파일 관리 앱

안드로이드의 파일 관리 앱으로는 '아스트로 파일 관리자'나 'ES 파일 탐색기'가 유명한데 이 앱들은 저에게는 너무 번잡한 앱들입니다. 파일 관리라는 단순한 기능이 필요한 저로서는 너무 많은 기능을 가지고 있어 무겁고 인터페이스도 어색한 앱들이어서 대안을 찾다가 괜찮은 앱이 있어 소개합니다.

'파일 관리자 (Clean File Manager)'는 위 두 앱들에 비해 기본에 충실한 앱입니다. 클라우드 서비스를 지원하지도 않고 PC 접속 기능도 없습니다. 파일 관리를 제외한 기능으로는 설치된 앱 목록을 표시해주는 기능이 거의 유일한 부가 기능입니다. 그러나, 저처럼 단순한 파일 관리 앱을 원하는 사람에게는 딱인 앱이죠.


PHP에서 보안 문제를 해결하는 법

한빛미디어 홈페이지에 'PHP에서 보안 문제를 해결하는 법' 이라는 기사가 있습니다. PHP로 개발시 주의해야하는 3가지 보안 문제와 이를 막는 방법에 대한 외국 기사를 번역한 기사인데 관련 사항을 잘모르시는 분들에게 도움이 될 것 같아 기사에 소개된 내용들에 제 생각을 추가하여 정리해보겠습니다.