PC부품 쓸데없이 복잡한 '비밀번호', 보안에 별 도움 안 된다?
- Mactopia
- 737
- 14
Mactopia님의 기기정보
“해킹당하고 싶지 않으면
대문자, 소문자, 숫자, 특수문자를 써서
패스워드 만들어라”
라고 말한 사람이 있습니다.
바로 빌 버Bill Burr입니다.
그가 2003년,
미국 국립표준기술연구소에서
일하던 당시 만든 보고서에는
계정을 보호하기 위해 지켜야 할
패스워드 생성 규칙이 담겨있습니다.
이 문서는 미국 정부, 대기업 등
곳곳에 퍼져
패스워드 가이드라인으로 자리 잡았고
우리나라도 대부분
이를 따르고 있습니다.
다들 자주 사용하는
패스워드를 떠올려보세요.
대문자, 소문자, 숫자나
특수문자. 포함돼 있지 않나요?
그런데… 이걸 만든 빌버의 충격 고백.
규칙 만든 걸 후회하고 있다니,
어떻게 된 걸까요?
그가 만든 규칙들이
보안 수준을 높이는 데
별 도움이 안 되는 것으로
밝혀졌기 때문입니다.
특수문자나 숫자를 섞어 쓰라고 한 건
암호를 복잡하게 만들어
해커들이 해킹하기
어렵게 하려는 목적이었는데
예상과 달리 사람들은
특수 문자를 섞긴 섞는데
매우 ‘단순한 방식’으로
패스워드를 만들더라는 거죠.
심지어 특수문자를 사용하는 것만으로는
보안이 강화되는 것도 아니었습니다.
90일마다 패스워드를 바꾸는 것 역시,
대부분 끝자리 하나만 바꾸는 등
큰 변화 없이 이뤄져 효과가 없었습니다.
해킹 시도 흔적을 발견했을 때
패스워드를 바꿔도
충분하다는 말입니다.
그렇게 빌버가 만든 규칙은
보안에 별 도움이 안 되는 데다가
괜히 기억하기만 어렵고,
입력하기도 불편했다는 평가를 받았고,
결국 그가 만든 규칙은
십여 년 만에 싹 바뀌게 됐습니다.
한국 인터넷 진흥원 역시
패스워드 생성 가이드라인을
수정했습니다.
세 종류 이상의 문자를 섞어서
8자리 이상의 패스워드를 만드는 것에서
두 종류 이상의 문자만 섞는 것으로,
Mactopia
댓글 14
유추하기 쉽거나 어쩌구 하는데..
그게.. 패스워드를 일일이 치는 방식이 아니라면..
의미 없어 보이는데요.. 오히려 패스워드를 기억하려고 에너지 낭비나..
패스워드 대장을 만들게 만드는데.. 그거 뚤리면 대박이지요..
전혀 기억도 못하지요.. ㅋㅋ
어떤 사이트에 어떤 비밀번호였는지도 다 쳐보고 있습니다 ㅎㅎ;
8자리 또는 10자리 이상
특수문자에 따라서 어디선 사용안되고
가만히 보면 지내들이 뚫릴걸 대비해서 이용자들에게 알아아서 잘해라 라고 하는것 같아요.
해시값으로 비번을 유추할 수 있었던 시절엔 특문등이 포함된 복잡한 비밀번호가 꼭 필요했죠. 그러나 요즘같이 개발시 암호화를 따로 개발할 필요가 없고 기본암호화 메소드에 넣어서 튀어나오는 해시값으로 복호화가 거의 불가능해진 세상에선 그럴 필요가 없습니다.
제가 일부 보안 업무도 했었는데 비밀번호의 요구조건이 많아질수록 오히려 부르트포스에 취약해지는게 아닌가 싶더라구요. 그 이유는 그냥 군대 암구어(화랑-담배)같이 형식이 정해져있기 때문이죠.. 수십수백개의 솔루션과 시스템의 접근을 제어해야 하는데 각각 완전히 다른 비번으로 관리할 수가 없거든요.
...
공공기관 근무하시는분들은 제 이야기가 뭔지 아실겁니다 ㅋㅋ.... 차라리 긴 비밀번호로 복호화 시간을 늦추는게 더 현실적입다. 정말루요.
인프라 담당자로서 숙지하고 있는데 일반 사원들의 마음의 준비가 될때까지 기다려야할 것 같습니다.
다만 동일 비번을 다른곳과 같이 쓰는건 금지 사항이고, 일일히 매번 짓는것도 귀찮아서 기존대로 생성해서 쓰고 있습니다