타임아웃: 비밀번호 만료 정책을 변경해야 하는 이유

모범 사례는 암호가 주기적으로 만료되도록 강제하는 정책을 오랫동안 요구해 왔습니다. 저는 개인적으로 강제 암호 만료 프로세스에 대해 항상 회의적이었습니다. 하지만 이 관행은 IT 문화에 너무 깊이 뿌리박혀 있어서 이러한 정책의 사용에 대해 조언함으로써 이 문제를 피하고 싶지 않았습니다. 어쩐지 그렇게 하는 것이 무책임해 보였다. 그러나 Microsoft는 최근 두 운영 체제에 대한 보안 규칙을 게시했습니다. 윈도우 10 1903 및 Windows Server 1903. 이 가이드에서 Microsoft는 암호 만료 정책을 사용하지 말 것을 권장했습니다. 문제는 이유입니다.

다소 예상치 못한 이 움직임의 근거를 이해하려면 정보 기술의 초기 시절을 되돌아볼 필요가 있습니다. 그 당시에는 도난당한 자격 증명의 사용을 감지하는 것이 매우 어려웠습니다. 그리고 이 경우 누군가 비밀번호 도용에 성공하면 훔친 비밀번호가 제한된 시간 동안만 사용되도록 보장하는 수단으로 비밀번호 만료 정책이 구현되었습니다.

오늘날의 기준으로 볼 때 이러한 접근 방식은 우스꽝스럽습니다. 누군가 암호를 훔치면 몇 분 안에 막대한 피해를 입힐 수 있습니다. 암호가 몇 주 안에 만료될 때까지 이 사람이 해킹된 계정에서 자유롭게 통치하도록 하는 것이 정말 현명한 일입니까? 당연히 아니지. 보안 침해는 실시간으로 해결되어야 합니다.

보안은 강화되지 않고 약화됨

반면에 주기적인 암호 변경을 요구하면 실제로 조직의 보안이 약화될 수 있습니다. IT 경력 초기에 함께 일했던 조직을 떠올리지 않을 수 없습니다. 내가 생각할 수 있는 다른 모든 조직과 마찬가지로 이 특정 회사도 주기적인 암호 재설정이 필요했습니다. 그러나 그들은 내가 다른 곳에서 본 것과는 완전히 다른 방식으로 해냈습니다. 사용자에게 암호를 입력하라는 메시지를 표시하는 대신 시스템에서 사용자에게 암호를 할당했습니다. 이 암호는 공백으로 서로 구분된 임의의 두 단어(일반적으로 한두 음절로 된 이름)로 구성됩니다. 시스템에서 생성한 암호의 예는 "교회 호텔"일 수 있습니다.

또한 읽기: WhatsApp에서 스스로 사라지는 메시지를 보내는 2가지 방법

이 샘플 암호에 대해 알 수 있는 한 가지는 단순성입니다. 비밀번호는 12자이지만 두 단어, 한 음절로 구성되어 있으며 둘 다 사전에 있습니다. 그러나 암호를 기억하는 데 어려움을 겪는 사람들을 분명히 기억할 수 있습니다. 시스템에서 할당한 새 암호가 기억나지 않아 암호를 재설정한 적이 있습니다.

이제 방금 설명한 간단한 암호를 오늘날 많은 조직에서 요구하는 것과 비교해 보십시오. 오래 전의 내 암호처럼 최신 암호가 12자 길이인 것은 드문 일이 아닙니다. 그러나 다른 점은 최신 암호는 대문자와 소문자, 숫자 및 기호의 완전히 임의의 조합인 경향이 있다는 것입니다. 사용자가 간단한 XNUMX음절 단어 한 쌍을 기억하는 데 어려움을 겪는다면 특히 사용자의 암호가 몇 주마다 변경되는 경우 사용자가 복잡한 임의 문자 문자열을 기억하는 것이 얼마나 어려울지 상상해 보십시오.

제 생각에는 복잡하고 무작위적인 암호에는 아무런 문제가 없습니다. 암호는 사전 공격 중에 손상되지 않도록 충분히 복잡해야 합니다. 그러나 길고 복잡한 암호를 사용하도록 요구하고 빈번한 암호 변경을 요구하는 것은 문제를 시작하라는 요구일 뿐입니다. 대부분의 사용자는 현재 비밀번호를 기억하는 데 어려움을 겪게 되며, 이는 하드 비밀번호 재설정, 잘못된 비밀번호 습관 또는 두 가지 모두로 이어집니다. 구체적인 예가 필요하다면 직원 중 한 명이 스티커 메모에 사용자 비밀번호가 적힌 컴퓨터 앞에서 사진을 찍은 후 날카로운 비판을 받은 하와이 비상 관리국만 보세요.

또한 읽기: Google 스프레드시트 오프라인: 알아야 할 모든 것

내가 개인적으로 본 무모한 암호 사용의 가장 심각한 예는 사용자가 Windows 3D 텍스트 화면 보호기를 사용하여 암호를 표시하는 상황이었습니다. 이러한 항목을 구성할 수 없습니다.

어쨌든 암호 변경 정책은 과거의 유물이며 공격자가 손상된 계정에 대한 액세스 권한을 얻기 위한 메커니즘을 정의하기 위한 것입니다. 그러나 오늘날 암호 관련 보안 침해는 예전보다 훨씬 쉽게 탐지할 수 있습니다. 조직에서 계정 위반을 감지할 수 있다고 확신하는 경우 계정이 손상되지 않는 한 사용자가 비밀번호를 변경할 이유가 없습니다.

암호의 미래

암호 만료 정책이 구식이 되고 있다는 생각은 중요한 점을 제기합니다. 많은 사람들이 암호 자체가 구식이라고 생각합니다. 2012 Wired 가사 기사에 따르면 그 뿌리는 1960년대 MIT 프로젝트로 거슬러 올라갑니다. 일부 소식통은 암호 사용이 더 오래되었을 수 있다고 추측합니다.

암호가 실제로 발명된 시기와 관계없이 암호는 반세기 이상 동안 존재해 왔다고 해도 과언이 아닙니다. 이러한 종류의 장수를 본 IT 기술은 거의 없지만 암호 개념은 XNUMX년 이상 상대적으로 변경되지 않았습니다. 어떤 사람들은 암호가 시간의 시험을 견뎌냈다고 말하는 반면, 다른 사람들(저 포함)은 암호가 그 유용성보다 오래되었다고 말할 것입니다.

암호의 주요 문제점은 쉽게 해킹될 수 있다는 것입니다. 우리 모두는 숄더 서핑(암호를 입력하는 동안 누군가 뒤에 서 있는 것)을 하는 사람이 암호를 훔쳤다는 이야기를 들었을 것입니다. 그러나 암호를 입력하는 동안 누군가를 관찰하는 단순한 행위는 훨씬 더 정교해졌습니다. 바로 어제 누군가가 악의적인 행위자가 어떤 키가 눌렸는지 확인하기 위해 열화상 카메라를 사용하여 키의 열 서명을 찾는 익스플로잇에 대해 말했습니다. 제가 들은 바에 따르면 이 익스플로잇은 주로 ATM에서 PIN을 학습하는 데 사용되지만 동일한 기본 개념을 비밀번호 도용에도 쉽게 적용할 수 있습니다.

또한 읽기: 최고의 무료 Steam 게임

최근 몇 년 동안 기술은 암호를 사용하는 것보다 더 우수하고 안전하며 번거롭지 않은 대안을 제공했습니다. 예를 들어 Microsoft Surface Book 2 노트북 컴퓨터는 안면 인식 기반 인증을 수행하도록 구성되어 있습니다. 로그인 프로세스는 놀라울 정도로 잘 작동하며 기억해야 할 암호가 없습니다. 무엇보다 암호가 없기 때문에 누군가 암호를 훔칠 가능성이 거의 없습니다. 물론 Surface Book 2는 숫자 PIN을 백업 인증 메커니즘으로 사용하지만 PIN은 안면 인식이 실패하고 안면 인식 메커니즘이 충분히 잘 작동하여 인증 실패가 매우 드문 경우에만 필요합니다.

만료 정책 변경: 한 가지 주의 사항

제 생각에는 암호 만료 정책을 없애기 위한 이 단계는 오래 전에 끝났습니다. 정기적인 암호 변경 요구 사항은 현대 사회에서 잘 작동하지 않으며 실제로 보안을 약화시킬 수 있습니다. 암호 변경 정책을 완전히 포기하기 전에 이러한 정책을 포기하는 것이 규제 대상 조직에서는 선택 사항이 아닐 수 있음을 기억하는 것이 중요합니다. 일부 규정 요구 사항 집합에는 암호를 변경해야 하는 빈도에 대한 특정 요구 사항이 포함될 수 있습니다.