비밀번호 공감 짤
알림
|
페이지 정보
작성일
2024.12.19 17:30
본문
그래서 1password나 Bitwarden, Keepass 같은 프로그램이 필요라죠..
댓글 10
/ 1 페이지
aicasse님의 댓글
미국 NIST에서 패스워드 정책에 대한 가이드라인을 발표한 적이 있죠: NIST SP 800-63B
이런 저런 이야기가 있지만, 중요한 것 몇 가지만 언급하자면
- 이상한 숫자 특수문자 등 정책 만들지 않는다
- 길이 제한하지 말고, 유니코드 지원한다
- 주기적 재설정 강제하지 않는다
- copy-paste를 허용한다
등등입니다. 기본적인 아이디어는, 자꾸 복잡한 규칙 강제하면서 주기적으로 갱신하라고 시키면, 결국 단순 변형만 한다. 차라리 진짜로 충분히 길고 안전한 패스워드 잘 골라서 그거 쓸 수 있게 하자. 그리고, 패스워드 매니저 적극 허용하자, 정도입니다.
우리나라의 많은 웹사이트의 패스워드 정책과 정 반대죠. 보통 복잡한 규칙을 강제하고, 길이는 종종 제한하고, 주기적 재설정을 요구하고, 복붙을 금지하죠.
이런 저런 이야기가 있지만, 중요한 것 몇 가지만 언급하자면
- 이상한 숫자 특수문자 등 정책 만들지 않는다
- 길이 제한하지 말고, 유니코드 지원한다
- 주기적 재설정 강제하지 않는다
- copy-paste를 허용한다
등등입니다. 기본적인 아이디어는, 자꾸 복잡한 규칙 강제하면서 주기적으로 갱신하라고 시키면, 결국 단순 변형만 한다. 차라리 진짜로 충분히 길고 안전한 패스워드 잘 골라서 그거 쓸 수 있게 하자. 그리고, 패스워드 매니저 적극 허용하자, 정도입니다.
우리나라의 많은 웹사이트의 패스워드 정책과 정 반대죠. 보통 복잡한 규칙을 강제하고, 길이는 종종 제한하고, 주기적 재설정을 요구하고, 복붙을 금지하죠.
빠방이님의 댓글의 댓글
@aicasse님에게 답글
패스워드 매니저 안되는곳도 많죠. 대기업 쇼핑몰도 안되는곳 수두룩하고요.
데굴대굴님의 댓글의 댓글
@aicasse님에게 답글
변경된 암호 정책의 핵심은 "충분히 길게 만들도록 유도"한다.. 라고 요약이 가능합니다.
단순하더라도 길면 그만큼 깨는데 오래 걸리니까요.
단순하더라도 길면 그만큼 깨는데 오래 걸리니까요.
ruinnel님의 댓글
이거 만든 연구자도 지금은 후회한다고 밝힌적있죠
윗분 댓글 처럼 미국에서도 이 규칙 페기하고 새로운 규칙제정 한제 댓글 내용으로 알고 있습니다.
윗분 댓글 처럼 미국에서도 이 규칙 페기하고 새로운 규칙제정 한제 댓글 내용으로 알고 있습니다.
데굴대굴님의 댓글
암호 기억은 20번으로.....
그 다음에 더 빡치게 하려면,
기존 암호와 유사합니다.
연속되거나 위험한 암호입니다.
이걸 더 뒤에 넣어두면 인간은 암호 치기를 포기합니다.
그 다음에 더 빡치게 하려면,
기존 암호와 유사합니다.
연속되거나 위험한 암호입니다.
이걸 더 뒤에 넣어두면 인간은 암호 치기를 포기합니다.
푸르른날엔님의 댓글
금감원을 조져야합니다.
대부분의 금융기관은 패스워드 설정에 대해 컴플라이언스 가이드에 따라 비밀번호를 요구 받습니다.
금감원 감사 나오면 자신들이 내린 지침에 따라 프로그램이 적용되었는지 확인하고, 위반사항이 있으면 불이익을 줍니다.
금융기관은 기계적으로 적용을 따를 수 밖에 없습니다.
금감원을 조져야 합니다.
대부분의 금융기관은 패스워드 설정에 대해 컴플라이언스 가이드에 따라 비밀번호를 요구 받습니다.
금감원 감사 나오면 자신들이 내린 지침에 따라 프로그램이 적용되었는지 확인하고, 위반사항이 있으면 불이익을 줍니다.
금융기관은 기계적으로 적용을 따를 수 밖에 없습니다.
금감원을 조져야 합니다.
경교호님의 댓글
막상 로그인 하려면 마우스로 하나하나 클릭해야 합니다. 클릭할때마다 배열이 바뀌고..
이것도 면피성 행정 수단일뿐이죠
이것도 면피성 행정 수단일뿐이죠
aicasse님의 댓글
https://xkcd.com/936/
XKCD에 나왔던 방식이, 패스워드 매니저를 사용하지 않는다고 할 때 외우기 쉽고 안전한 패스워드를 만들기에 꽤 괜찮습니다.
웬만하면 패스워드 매니저 쓰는 것이 좋습니다. 요즘은 OS 차원에서 대개 기본적으로라도 지원을 하니, 안 쓸 이유가 없습니다.
벗님님의 댓글