미국 NIST(National Institute of Standards and Technology)의 엔지니어 Bill Burr가 2003년에 곧 세계의 비밀번호 보안을 위한 골드 스탠다드, 그는 길고 '혼란스러운' 문자, 숫자 및 기호를 발명하여 계정을 보호하고 정기적으로 변경하도록 사람들과 조직에 조언했습니다.

XNUMX년 후 Burr는 과거의 충고를 후회한다고 인정했습니다. "그것은 사람들을 미치게 만들 뿐이며 당신이 무엇을 하든 그들은 좋은 암호를 선택하지 않습니다."라고 그는 월 스트리트 저널에 말했다..

또는 유명한 것처럼 xkcd comic가 담았습니다.: "20년의 노력을 통해 우리는 사람이 기억하기 어렵지만 컴퓨터가 추측하기 쉬운 암호를 사용하도록 모든 사람을 성공적으로 교육했습니다."

요즘은 보통사람 최대 100개의 암호를 기억해야 합니다., 최근 몇 년 동안 그 수가 급속도로 증가하고 있습니다(실제로 일부 사람들은 약 50개의 암호 사용, 여러 오프라인 코드를 포함하여 몇 년 전부터 일부 보안 전문가는 이러한 암호 습관과 정책이 지속 불가능하다고 지적했습니다.)

실제로 연구에 따르면 사람들은 일반적으로 최대 XNUMX개의 암호 생성하여 바로 가기 추측하기 쉬운 비밀번호 그리고 다양한 온라인 계정에서 재활용. 일부는 실제로 문자를 숫자와 특수 문자로 대체할 수 있지만(예: "암호"가 "P4??WØrd"로 바뀜) 그래도 해독하기 쉬운 암호가 됩니다.

최근 몇 년 동안 OWASP(Open Web Application Security Project)와 NIST 자체와 같은 주요 조직은 정책과 조언을 바꿨습니다. 보다 사용자 친화적인 접근 방식을 지향하며 동시에 암호 보안을 강화합니다.

동시에 다음과 같은 기술 대기업 Microsoft 와 구글 모든 사람이 암호를 완전히 버리도록 권장하고 있으며 비밀번호 없이 대신에. 그러나 중소기업이 아직 암호와 헤어질 준비가 되지 않은 경우 2023년에 귀하와 귀하의 직원을 대신할 몇 가지 지침이 있습니다.

불필요하게 복잡한 암호 구성 규칙을 적용하지 마세요.

매우 복잡한 구성 규칙(예: 사용자에게 대문자와 소문자, 적어도 하나의 숫자와 특수 문자를 포함하도록 요구하는 것)은 더 이상 필수 사항이 아닙니다. 이러한 규칙은 사용자가 더 강력한 암호를 설정하도록 권장하는 경우가 거의 없기 때문에 대신 예상대로 행동하고 "이중 문제"인 암호를 생각해 내도록 유도합니다. 암호는 약하고 기억하기 어렵습니다.

암호로 전환

짧지만 어려운 비밀번호 대신, 암호로 이동. 더 길고 복잡하지만 여전히 기억하기 쉽습니다. 예를 들어 대문자, 특수 문자 및 이모티콘이 뿌려진 문장 전체가 어떤 이유로 머리에 박힐 수 있습니다. 매우 복잡하지는 않지만 자동화된 도구로 크랙하는 데는 여전히 시간이 걸립니다.

몇 년 전만 해도 좋은 암호의 최소 길이는 대소문자, 기호 및 숫자로 구성된 5자였습니다. 오늘날 자동화된 암호 크래킹 도구는 특히 MDXNUMX 해싱 기능으로 보호되는 경우 이러한 암호를 몇 분 안에 추측할 수 있습니다.

이것은에 따라 Hive Systems에서 실행하는 테스트 2023년 18월에 게시되었습니다. 반대로 소문자와 대문자만 포함하지만 길이가 XNUMX자인 간단한 암호는 해독하는 데 훨씬 더 오래 걸립니다.

출처: 하이브 시스템

최소 길이는 12자를 목표로 합니다. 많을수록 좋습니다!

NIST 가이드라인은 길이를 암호 강도의 핵심 요소로 인정하고 여러 공백을 결합한 후 최대 12자에 이르는 최소 필수 길이인 64자를 도입합니다. 모든 것이 같을수록 더 즐겁습니다.

다양한 캐릭터 활성화

암호를 설정할 때 사용자는 이모지를 포함하여 인쇄 가능한 모든 ASCII 및 유니코드 문자 중에서 자유롭게 선택할 수 있어야 합니다. 또한 암호 문구의 자연스러운 부분인 공백을 사용할 수 있는 옵션이 있어야 합니다. 이는 전통적인 암호에 대해 자주 권장되는 대안입니다.



비밀번호 재사용 단속

지금까지의 통념은 비밀번호를 재사용하면 안 됩니다. 하나의 계정에 대한 위반이 다른 계정의 손상으로 쉽게 이어질 수 있기 때문입니다.

그러나 많은 습관이 힘들게 죽고, 응답자의 약 절반이 2019 Ponemon Institute 연구에서 비즈니스 및/또는 개인 계정에서 평균 XNUMX개의 비밀번호를 재사용한다고 인정했습니다.

암호에 "사용 기한" 날짜를 설정하지 마십시오.

NIST는 또한 사용자가 요청하거나 손상의 증거가 없는 한 정기적인 암호 변경을 요구하지 않을 것을 권장합니다. 근거는 사용자가 합리적으로 강력한 새 암호를 지속적으로 생각해야 하는 것에 대해 너무 많은 인내심을 가지고 있다는 것입니다. 결과적으로 아이들이 일정한 간격으로 그렇게 하도록 하면 득보다 실이 더 많을 수 있습니다.

Microsoft가 XNUMX년 전 암호 만료 정책을 중단한다고 발표했을 때 암호 만료에 대한 전체 아이디어에 의문을 제기했습니다.

“비밀번호가 도난당할 가능성이 있는 경우 도둑이 훔친 비밀번호를 계속 사용하도록 허용할 수 있는 기간은 며칠입니까? Windows 기본값은 42일입니다. 엄청나게 오랜만인 것 같지 않아? 글쎄요, 하지만 우리의 현재 기준선은 60일이며 예전에는 90일이라고 했습니다. 빈번한 만료를 강요하는 것은 그 자체로 문제를 야기하기 때문입니다.” Microsoft의 블로그를 읽습니다.

이것은 일반적인 조언일 뿐임을 명심하십시오. 비즈니스에 중요하고 공격자에게 매력적인 앱을 보호하는 경우에도 직원이 주기적으로 비밀번호를 변경하도록 할 수 있습니다.

도랑 힌트 및 지식 기반 인증

암호 힌트와 지식 기반 확인 질문도 더 이상 사용되지 않습니다. 이는 실제로 사용자가 잊어버린 암호를 검색하는 데 도움이 될 수 있지만 공격자에게도 큰 가치가 있을 수 있습니다. 우리 동료인 Jake Moore는 해커가 다른 사람의 계정에 침입하기 위해 "잊어버린 암호" 페이지를 악용할 수 있는 방법을 여러 차례 보여주었습니다. 페이팔 와 인스타그램.

예를 들어, "당신의 첫 번째 애완 동물 이름"과 같은 질문은 약간의 연구나 사회 공학으로 쉽게 추측할 수 있으며 자동화 도구가 거쳐야 하는 무한한 가능성은 없습니다.

블랙리스트 일반 비밀번호

이전에 사용된 구성 규칙에 의존하는 대신 새 암호를 "블랙리스트"에 대해 확인하십시오. 가장 일반적으로 사용되는 및/또는 이전에 손상된 암호를 확인하고 일치 시도를 허용되지 않는 것으로 평가합니다.

2019년에 마이크로소프트 스캔 사용자 계정은 사용자 이름과 암호를 44억 개 이상의 유출된 자격 증명 세트 데이터베이스와 비교합니다. 비밀번호가 유출된 XNUMX만 명의 사용자를 발견하고 강제로 비밀번호를 재설정했습니다.

암호 관리자 및 도구에 대한 지원 제공

"복사 및 붙여넣기" 기능, 브라우저 암호 도구 및 외부 암호 관리자가 사용자 암호를 생성하고 보관하는 번거로움을 처리할 수 있도록 허용해야 합니다.

또한 사용자는 마스킹된 암호 전체를 일시적으로 보거나 마지막으로 입력한 암호 문자를 보도록 선택해야 합니다. OWASP 가이드라인에 따르면, 아이디어는 특히 더 긴 암호, 암호 및 암호 관리자 사용과 관련하여 자격 증명 입력의 유용성을 향상시키는 것입니다.

초기 암호의 유효 기간을 짧게 설정

신입 사원이 계정을 만들 때 시스템에서 생성한 초기 암호 또는 활성화 코드는 최소 XNUMX자 길이의 안전한 무작위 생성이어야 하며 문자와 숫자를 포함할 수 있습니다.

짧은 시간 후에 만료되어 실제 장기 비밀번호가 될 수 없는지 확인하십시오.

비밀번호 변경에 대해 사용자에게 알림

사용자가 암호를 변경할 때 먼저 이전 암호를 입력하라는 요청을 받아야 하며 이상적으로는 2단계 인증(XNUMXFA)을 활성화해야 합니다. 완료되면 알림을 받아야 합니다.

비밀번호 복구 프로세스에 주의하세요.

복구 프로세스는 현재 비밀번호를 공개하지 않아야 할 뿐만 아니라 계정이 실제로 존재하는지 여부에 대한 정보에도 동일하게 적용됩니다. 즉, 공격자에게 (불필요한) 정보를 제공하지 마십시오!

CAPTCHA 및 기타 자동화 방지 컨트롤 사용

자동화 방지 컨트롤을 사용하여 위반된 자격 증명 테스트, 무차별 암호 대입 및 계정 잠금 공격을 완화합니다. 이러한 제어에는 가장 일반적으로 유출된 암호 차단, 소프트 잠금, 속도 제한, CAPTCHA, 계속 증가하는 시도 사이의 지연, IP 주소 제한 또는 위치, 장치의 첫 번째 로그인, 최근 계정 잠금 해제 시도와 같은 위험 기반 제한이 포함됩니다. , 또는 유사한.

현재 OWASP 표준에 따르면 단일 계정에서 시간당 최대 100번의 실패한 시도가 있어야 합니다.

의지하지마 만 암호에

암호가 얼마나 강력하고 고유한지와 관계없이 암호는 공격자와 귀중한 데이터를 분리하는 단일 장벽으로 남아 있습니다. 안전한 계정을 목표로 할 때 추가적인 인증 레이어는 반드시 고려해야 합니다.

그렇기 때문에 가능하면 2단계(XNUMXFA) 또는 다단계 인증(MFA)을 사용해야 합니다.

그러나 모든 2FA 옵션이 동일한 것은 아닙니다. SMS 메시지는 2FA가 전혀 없는 것보다 훨씬 낫지만 수많은 위협에 취약합니다. 보다 안전한 대안은 모바일 장치에 설치된 보안 앱과 같은 전용 하드웨어 장치 및 소프트웨어 기반 일회용 암호(OTP) 생성기를 사용하는 것입니다.

참고: 이 문서는 2017년에 게시한 이 문서의 업데이트 및 확장 버전입니다. 더 이상 무의미한 비밀번호 요구 사항이 없습니다.

아마도 체크 아웃 ESET의 비밀번호 생성기?

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/