"!@ 넣어도 소용없어" 비밀번호 변경 지옥 벗어날 새 지침은
2024.10.04 22:08
‘ReadTheNewspaper(신문을 읽다)’처럼 기억하기 쉽지만 긴 암호가 보안 측면에서 더 효과적...
미국 NIST는 지난달 공개한 ‘디지털 신원 지침(가이드라인)’ 개정안에서 ‘여러 문자유형을 섞어 쓰도록 하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위’ ‘정기적으로 비밀번호 변경을 요구하는 행위’를 금기 사안으로 정했다.
NIST는 20년 가까이 인터넷 보안의 표준이 됐던 지침을 바꾼 이유에 대해 “인간은 복잡한 비밀을 기억하는 능력이 제한돼 있기 때문에 쉽게 추측할 수 있는 암호를 설정하는 경우가 많다”며 “이를 보완하기 위해 여러 유형의 문자를 섞는 방식을 도입했지만, 유용하지 않고 기억을 못 해 발생하는 일이 심각하다는 사실을 알게 됐다”고 했다.
당초 IT 업계가 기대한 복잡한 비밀번호 유형은 ‘Vi@o^$90&54*’ 같은 난수형이었다. 하지만 정작 사람들은 기억하기 쉽게 영어 자판 왼손 위쪽에 있는 ‘qwer1234!’ ‘Qwer1234!@’ 등을 돌려 쓴다는 것이다. 또 비밀번호를 60~90일처럼 짧은 주기마다 변경하도록 하면 오히려 사람들이 기억하기 쉽도록 더 단순하고 누구나 유추하기 쉬운 비밀번호로 설정한다는 결론도 나왔다. NIST는 “비밀번호가 유출되지만 않았다면, 굳이 주기적으로 바꿀 필요가 없다”고 설명했다.
https://www.chosun.com/economy/tech_it/2024/10/04/2X2PQAT545FKTCCRJVEFP7FU5U/
https://news.mt.co.kr/mtview.php?no=2024100216494275545
댓글 [3]
-
브라이 2024.10.04 22:49
-
DarknessAngel 2024.10.04 23:25
그냥 16자리 랜덤 문자열정도 안 하면 보안상 어찌 되질 않아요
-
정소추 2024.10.05 10:09
긴문장으로 변경하려해도 대소문자, 특수문자 넣으라고 발광해서 아주 짜증납니다 :(
별로 소용없는 얘기죠.
이미 수십년전부터 계속 제기 되어온게
"비밀번호 길이제한을 없애거나 아주 크게 하라"는건데
길이가 6~8자 이런 미친곳도 있는 판에 무슨수로 저걸 하나요. ㅋㅋ
평문전송저장할것도 아니면서 왜 자꾸 제한을 거는지...
(사실 전송,저장을 평문으로 하는 미친 시대에서 이어져 내려온 전통이기도 함)
그리고 변경 안내는 의외로 의미는 있는게
같은 아이디에 같은 비번인게 다른곳에서 유출된 경우가 종종 있습니다.
유출되지 않았다면이 아니고, 실제 유출되고도 모르는 케이스가 다반사니까 그러는거죠.
다만 안내로 끝나야지 강제하면 안된다고 봅니다.
그럴일이 얼마나 있겠냐며 우스워 보일지도 모르는데
대표적인 유명 사건 하나가 "헐리우드 아이클라우드 유출사건"입니다.
다른데서 털린게 그 계정정보로 아이클라우드까지 털려버린 사건이죠.