기본 콘텐츠로 건너뛰기

새로운 패스워드 규칙 : 패스워드 좀 그만 바꾸게 해주세요



웹사이트나 모바일 앱을 사용하다보면 몇개월 간격으로 패스워드를 바꾸라는 안내창을 보게 됩니다. 거기에 패스워드 규칙도 문자,숫자,기호까지 섞어 만들라고 요구해 굉장히 짜증이 나는 경우가 있기도 합니다. ITWorld의 ‘글로벌 칼럼 | 암호 보안에 ‘독’이 되는 구닥다리 규제’에서는 이 규칙이 틀렸다고 합니다. 정말일까요?

일반적으로 요구되는 패스워드 규칙은 아래와 같습니다.
  • 암호는 최소 8~12글자일 것. 길면 길수록 좋다.
  • 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등).
  • 90일에 한번, 또는 그보다 자주 번호를 바꿀 것
  • 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것

ITWorld의 컬럼에서 이런 일반적 패스워드 규칙이 틀렸다라고 하면서 새로운 규칙으로 이야기하는 것은 NIST(미국 표준기술연구소)의 ‘디지털 아이덴티티 가이드라인’입니다. 이 문서에서 권장하는 패스워드관련 규칙은 다음과 같습니다.
  • 가능하면 이중 인증 기능을 사용하라. 암호도 나쁘지 않지만, 이중 인증이 PW보다 훨씬 낫다.
  • 암호는 최소 8글자 이상이 권장되지만, 지나치게 길 필요는 없다.
  • 복잡한 비밀번호 설정은 더 이상 필수는 아니지만, 한다고 손해 볼 것도 없다.
  • 너무 흔하거나 쉽게 생각할 수 있는 암호는 위험하다(예컨대 당신의 이름이나, 암호123같은 암호들).
  • 암호가 유출되었다고 믿을만한 합리적인 근거가 없는 상황에서 굳이 암호를 새롭게 바꿀 필요는 없다.
  • 하나의 암호를 다수의 웹사이트에서 사용하는 행동은 지양해야 한다.
  • 개발자의 경우, 유저의 행동 양상이나 위치, 사용 기기 등의 변화가 부가적인 인증 확인을 유발할 경우 동적 인증(dynamic authentication) 방식의 사용도 고려해 볼만 하다.

솔직하게 이야기하면 거창한 제목으로 시작한 기사에서 제시한 새로운 규칙은 패스워드보다는 이중 인증을 사용해야한다라는 것을 제외하면 현재 사용하는 규칙과 별차이가 없습니다. 다만, 현재 필수로 요구되는 것들이 선택으로 바뀐 정도인데 제 생각에는 현재의 해킹 기술을 고려한다면 패스워드를 복잡하게 만들고 주기적으로 바꾼다고 해서 보안 레벨이 올라가는 것을 기대하기 힘들기 때문이지 않을까합니다. 패스워드보다는 이중 인증을 권장하는 것도 이런 이유 때문이겠죠.

무언가 대단한 내용이 있을 것으로 기대해 좀 실망스럽지만 패스워드 규칙에 대해서는 저도 NIST의 권장안에 동의합니다. 특히 몇개월 단위로 패스워드를 바꾸는 것은 정말 불필요한 조치라고 생각합니다. 어차피 사용자가 만드는 새로운 패스워드의 보안 레벨은 이전 패스워드와 차이가 없습니다. 패스워드가 유출된 것도 아닌데 주기적으로 패스워드를 바꾸게 하는 것은 정부나 기업에게는 보안에 대해 할만큼 했다라는 자기위안(?)을 주고 사용자에게는 짜증을 주는 일이라고 생각합니다.


===


Project just4fun : http://www.just4fun.kr/



이 블로그의 인기 게시물

구글 결제에서 결제 수단 등록 문제

얼마 전 카드를 새로 만들어서 구글 결제의 결제 수단을 교체하려고 하였는데 카드 번호가 잘못되었다라고 하면서 등록이 되지 않았습니다. 관련해서 검색을 해보니 이런 문제가 흔히 발생하고 있더군요. 저처럼 당황하실 분들을 위해 구글 고객센터와 통화해 해결하면서 알아낸 것들을 공유하겠습니다.

넥서스 4 : 레퍼런스 그 이상의 폰

LTE 버전을 기대했는데 3G 폰으로 나와 고민을 하게 한 넥서스4(넥포). 기존에 사용하던 넥서스S(넥스)가 이젠 성능의 한계를 확실하게 보여주고 있어 다음 넥서스폰은 LTE로 나올 것을 기대하면 1년 정도 사용할 생각으로 구입했습니다. 지난 주 월요일에 받아 일주일 정도 사용해본 느낌을 정리해보겠습니다. 넥포의 스펙을 정리해 보면 아래와 같습니다. 4.7인치 화면 1280 x 768 해상도 8백만 화소 후면 카메라, 1.3백만 화소 전면 카메라 3G 모바일 네트워크 (HSPA+ 지원) 무선 충전 SlimPort HDMI 내장 저장공간 8G/16G 2G 메모리 퀄컴 스냅드래곤 S4 프로 (쿼드코어) 폰의 스펙은 LG 옵티머스G를 베이스로 만들어진 폰이라 현재 기준으로 부족한 점이 없습니다. 충분히 빠르고 충분히 여유롭게 안드로이드 4.2를 구동할 수 있는 폰이죠. 스펙에서 흥미로운 것은 무선 충전과 SlimPort HDMI 입니다. 무선충전은 WCP Qi 규격이라 아직 발매가 되지 않은 전용 충전기 이외에도 호환되는 제품으로는 충전이 된다고 하는데 7만원 정도에 호환 제품을 구매할 수 있더군요. SlimPort HDMI는 넥포의 마이크로 USB 포트에 어댑터를 연결해 HDMI 출력을 지원하는 것입니다. 넥스를 사용하다 넥포를 사용하면서 느껴지는 것은 당연히 빠르다입니다. 안드로이드라는 플랫폼이 하드웨어 스펙은 'more and more' 불필요하다할 정도로 높은 것이 좋다라는 것을 다시 체감하는 순간이었습니다. 적어도 체감 성능면에서는 아이폰을 포함해 다른 폰에 밀릴 것이 없는 넥포입니다. 손에 잡히는 느낌은 처음에는 좋은 편이 아닙니다. 4.7인치라 화면이 큰 것도 있지만 뒷면까지 유리로 되어 있어 아이폰4를 처음 잡아보았을 때 느껴지는 손에 착 달라붙지 못하고 미끄러지는 듯한 느낌을 넥포에서도 느낄 수 있었습니다. 그나마 아이폰4와는 달리 테두리가 부드러운 재질이라 그립감에

크롬북에서 리눅스 앱 사용 후기

새로 구입한 픽셀 슬레이트에서 리눅스 앱을 실행시켜본 후 작성한 후기입니다. 현재 크롬북에서 리눅스 앱을 실행시키는 기능은 베타이니 이점을 고려하시고 보시면 좋을 것 같습니다.