[컴][보안] 비밀번호는 주기적으로 변경할 필요가 없다.

비밀번호 / 보안 강화 / 새로운 규칙

비밀번호는 주기적으로 변경할 필요가 없다.

안그래도 계속 바꾸는 패스워드가 큰 의미가 없다고 생각했는데, 이 rule 을 만든 사람이 자신의 과오를 인정했다고 한다.
이 규칙은 2003년 미국의 NIST(National Institute of Standards and Technology) 의 Bill Burr 가 쓴 "NIST Special Publication 800-63. Appendix A" 나온 내용이다. 여기에서 "특수문자+대문자+숫자를 사용해서 비밀번호를 만들고 주기적으로 변경하라 라고 권고"하고 있다.

2017년 6월에 개정이 이뤄졌다.(NIST 특수 간행물 800-63-3호)그래서 이 권고사항을 삭제했다. "패스워드 파기"와 "특수문자 사용" 에 대한 요구를 파기했다. Mr. Grassi 는 이 규칙이 보안에 별 도움이 안되면서 실제로 사용성에 부정적인 영향을 준다고 얘기했다.


새로운 규칙

비밀번호

그래서 이제 이야기하는 것은 그저 긴 단어를 사용하라고 한다. 글에서는 연관성이 없는 4개의 단어를 이어서 사용하는 정도라고 한다.

이것이 brute-force 방식(일일이 대입해서 찾아보는 무식한 방법)으로 암호를 찾아낼 때 훨씬 더 어렵기 때문이다.

변경주기

그리고 비밀번호의 변경도 주기적으로 변경하는 것이 아니라, 유출된 경우에만 변경하라고 한다.

이제 우리나라 웹사이트들도 좀 비밀번호 관련 정책을 변경해 줬으면 싶다. 너무 귀찮다.



단일 인증 암호를 사용할 경우 지키면 도움이 될 조언

NIST는 비밀번호보다는 다중 인증 방식을 사용할 것을 권장하고 있다. 그러나 만일 단일 인증 암호를 사용할 경우 지키면 도움이 될 조언[ref. 2]

  • 가능하면 이중 인증 기능을 사용하라. 암호도 나쁘지 않지만, 이중 인증이 PW보다 훨씬 낫다.
  • 암호는 최소 8글자 이상이 권장되지만, 지나치게 길 필요는 없다.
  • 복잡한 비밀번호 설정은 더 이상 필수는 아니지만, 한다고 손해 볼 것도 없다.
  • 너무 흔하거나 쉽게 생각할 수 있는 암호는 위험하다(예컨대 당신의 이름이나, 암호123같은 암호들).
  • 암호가 유출되었다고 믿을만한 합리적인 근거가 없는 상황에서 굳이 암호를 새롭게 바꿀 필요는 없다.
  • 하나의 암호를 다수의 웹사이트에서 사용하는 행동은 지양해야 한다.
  • 개발자의 경우, 유저의 행동 양상이나 위치, 사용 기기 등의 변화가 부가적인 인증 확인을 유발할 경우 동적 인증(dynamic authentication) 방식의 사용도 고려해 볼만 하다.


References


댓글 없음:

댓글 쓰기