비밀번호, 특수문자·의무변경 요구 줄어들까…美 표준서 금지예고

알림
|
X

페이지 정보

작성자 아름다운별 110.♡.54.162
작성일 2024.10.05 17:32
분류 IT
2,707 조회
7 추천
쓰기 분류

본문

* 관련 Ars Technica 기사 (9월)

NIST proposes barring some of the most nonsensical password rule

https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/


* 국내 머니투데이 기사 내용 일부

https://www.msn.com/ko-kr/news/techandscience/ar-AA1rEYog

https://news.mt.co.kr/mtview.php?no=2024100216494275545


세계 각국이 참조하는 미국의 비밀번호(패스워드) 지침에 '사용자에게 특수문자 등을 혼용하도록 강요하거나 주기적으로 비밀번호를 변경하도록 요구하지 말라'는 금지조항이 담길 전망이다.


3일 정보보호업계와 외신 등에 따르면 미국 국립표준기술연구소(NIST)는 지난달 공개한 '디지털 신원 지침(가이드라인)' 개정안에 이 같은 조항을 삽입했다. 개정안에 대해선 오는 7일까지 의견을 수렴한다.


NIST는 이번 개정안의 비밀번호 요건에서 △여러 문자유형을 혼합하도록 요구하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위 △정기적으로 비밀번호 변경을 요구하는 행위를 금지의무(SHALL NOT) 항목으로 격상했다. 두 행위는 2017년 지침에서 금지권고(SHOULD NOT) 항목이었다.


복잡한 비밀번호 규칙이나 정기적인 비밀번호 변경을 요구할 경우 오히려 사용자가 비밀번호 분실을 우려하며 예측하기 쉬운 비밀번호를 설정해 보안을 취약하게 만든다는 판단에서 나온 결정이다. 비밀번호를 '1q2w3e4r!'·'qwer1234!'로 설정하거나 비밀번호 변경주기마다 특수문자만 바꾸는 사례가 대표적이다.


NIST는 "유출된 비밀번호 데이터베이스를 분석한 결과 숫자·문자·기호를 혼합해 구성한 비밀번호를 선택하는 규칙의 이점이 당초 생각보다 크지 않고, 사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"며 "이 때문에 비밀번호 길이를 바탕으로 좀 더 간단한 접근방식을 제시했다"고 밝혔다.


NIST는 2017년에 이어 이번 개정안에서도 △비밀번호를 8자 이상으로 설정하도록 요구하라 △모든 유니코드 문자를 '비밀번호 1자'로 취급하라 △비밀번호가 탈취된 흔적이 있다면 사용자에게 변경을 요구하라는 조항을 의무(SHALL) 항목으로 유지했다.


이 밖에 △비밀번호 최소 길이를 15자 이상으로 요구하고 64자 이상의 비밀번호도 설정할 수 있도록 허용하라 △알파벳·숫자 외 모든 유니코드 글자를 비밀번호로 입력할 수 있도록 허용하라는 조항은 2017년에 이어 이번 개정안에서도 권고(SHOULD) 항목으로 이름을 올렸다. [이후 내용 생략]

댓글 13 / 1 페이지

아름다운별님의 댓글

작성자 아름다운별 (110.♡.54.162)
작성일 10.05 17:45
국내는 사용자의 주기적 변경 의무는 2023년에 없어진 것 같네요
https://www.korea.kr/multi/visualNewsView.do?newsId=148923239

포니님의 댓글

작성자 포니 (112.♡.175.146)
작성일 10.05 19:00
저 규정(?)이 생겼을 당시에는 패스워드를 평문 또는 md5 저장 했고 유출사고가 잦았기 때문에 저렇게 하는 게 맞았지만
지금은 더 고강도 암호화를 이용하기 때문에 복호화는 사실상 불가능 하기 때문에 유출로 인한 패스워드 공개는 비현실적입니다.
패스워드를 1이라는 한자리로 저장하나 1q2w3e4r%T로 저장하나 암호화된 데이터의 자리수는 동일 하기 때문에 자리수나 특수문자 대문자등의 의미는 없는거죠 하지만 너무 짧은 수로 이루어 진다면 역으로 패스워드 생성해서 추적이 가능하기 때문에 어느정도 자리수 이상은 되어야 유출 되었을때 뚫리는 걸 방지 할 수 있겠죠

그래도 리뉴얼이 적거나 오래된 쇼핑몰이나 커뮤니티는 아직 과거의 방식을 사용 할 수 있기 때문에 조심해야겠지만요

쟘스님의 댓글

작성자 쟘스 (175.♡.90.247)
작성일 10.05 19:32
패스키 passkey 기본사용을 의무화 합시다!!! 진짜 편해요 ㅠㅠ
패스키로 비번 안쓰는 세상을 만들어주세요.

까만콤님의 댓글

작성자 까만콤 (14.♡.180.7)
작성일 10.05 20:11
주기적 변경이 너무 잦으면 문제가 되는게 사용자가 기억을 못합니다.
그래서 결국 어디에 적어놓게 되죠...
이게 보안에 더 취약한 상태인거죠..

도시님의 댓글

작성자 no_profile 도시 (221.♡.50.211)
작성일 10.05 20:17
기업보안이 허술해서 유출되는 것이 대부분인데 이걸  정치권과 담합하여 소비자에게 떠 넘긴거죠. 유출에 대한 처벌 및 배상을 제대로 하면 지금보다 유출사고가 훨 줄어들겁니다. 보안강화하는 비용보다 낮으니 보안강화에 제대로 투자하지 않죠.

Subpoena님의 댓글

작성자 Subpoena (117.♡.3.100)
작성일 10.05 20:36
아직도 비밀번호 길이를 12자 15자로 제한하는 사이트를 보면 한숨만 나오죠. 특히 전자는 그냥 해커들 웰컴~ 중이라고 봐야...

choochoo님의 댓글

작성자 choochoo (59.♡.49.34)
작성일 10.05 21:17
사용자가 비번을 복잡하게 하면 서버의 보안이 강화되나?
웃기는 짜장들입니다.

운하영웅전설A님의 댓글

작성자 no_profile 운하영웅전설A (121.♡.67.195)
작성일 10.06 01:11
바꿀때마다 어이없던 규칙이죠 ㅋㅋㅋ
이제 좀 나아지려나요

길벗님의 댓글

작성자 길벗 (87.♡.160.48)
작성일 10.06 02:25
패스워드를 3개월마다 변경하게 해서
휴가를 갔다오면 기억하지 못해 네트웤 책임자에게
풀어달라고 한 적이 꽤 있었습니다.

자주 변경하고 복잡한 패스워드는 적어두는데,
이러면 오히려 보안이 더 약해지겠죠. 하여간,
자주 변경하는 안은 정말 귀찮고 싫습니다.

빵빵곰님의 댓글

작성자 no_profile 빵빵곰 (172.♡.95.5)
작성일 10.06 10:28
훌륭합니다!

MarginJOA님의 댓글

작성자 no_profile MarginJOA (123.♡.217.182)
작성일 10.07 07:41
우리나라 금융권들의 책임 떠넘기기는 언제쯤 시정될까요.. ?

왜나를불렀지님의 댓글

작성자 왜나를불렀지 (203.♡.43.193)
작성일 10.07 09:03
특수문자 진짜 짜증나죠.
대소문자 혼용 같은 것도 없애줘요.
내 암호는 충분히 복잡하단 말이다!!

바벨2세님의 댓글의 댓글

대댓글 작성자 바벨2세 (223.♡.99.211)
작성일 10.07 11:14
@왜나를불렀지님에게 답글 특수문자가 다 되는 것도 아니죠.
틀 안에서 바꾸면 해킹하기가 더 쉬워지는데 무슨 생각인지...
”우리는 규정대로 했고, 비밀번호 털리면 사용자가 알아서 하셈..” 이런 마인드 같습니다.
쓰기 분류
홈으로 전체메뉴 마이메뉴 새글/새댓글
전체 검색