회사에서 인트라넷 비밀번호를 강제로 변경시켰다.

그리고 비밀번호 강제 변경시에 항상 나타나는
숫자과 특수 문자를 섞는 문제가 어김없이 등장했다.

한창 보안 공부를 하던 때에
자주 논의를 했던 이슈이므로 간단히 느낌을 적는다.
'인트라넷 보안 정책 담당자가 서류를 통해서만 보안을 공부한 모양이다..'

특수 문자를 강제하는 게 얼마나 위험한 일인지 알만한 사람은 다 아는데..
이미 퍼질만큼 퍼진 보안 상식인데도
보안 인증 협회와 같이 문서만 접하고 실무를 모르는 사람들은
여전히 특수 문자를 강요하는 경우가 많다.

수염이 덥수룩한 옛날 해커들의 시절.
계정이라고 해봐야 자기가 사용하는 서버 계정 정도였던 그 때에
비밀번호를 만드는 것은 매우 멋진 일이었다.
'H4(k3rW0rD'와 같은 비밀번호를 사용하면서 그것도 매달 변경을 해댔더랬다.

그러나 웹 계정만 수백개에 달하는 요즘.
평소 사용하던 비밀번호 패턴을 사용하지 못하게 제한하는 정책은
비밀번호 유출의 부추기는 것과 같은 일이다.
특히나 특수 문자를 섞도록 강제하면 그 비밀번호는 이미 끝장난 것이다.

왜냐고?

1. 특수문자를 치는 동안 타자 속도가 엄청나게 줄어든다.
    전문가들은 초짜가 타자 치는 것을 옆에서 보기만 해도 비밀번호가 뭔지 알 수 있다.
2. 비밀 번호를 틀려서 다시 입력하는 순간 비밀번호는 유출의 길에 접어든다.
    두 번 이상 입력하면 타자가 빨라도 비밀번호를 어느 정도 짐작할 수 있다.
    게다가 해킹의 대상이 됐다면 이미 더 많은 정보를 유출한 셈이다.
3. 평소에 사용하던 비밀번호 패턴을 깨뜨리면
    게으른 사람은 심지어 비밀번호를 포스트잇에 적어서 모니터에 붙여둔다.
    이것은 보안 동네에서 매우 유명한 딜레마다.
4. 특수 문자 문제는 전수 공격 때문에 생겨난 이슈다.
    인트라넷에는 그런 게 별로 의미가 없다.

이런 정도라면 사실 보안 정책이 필요 없는데..
다들 알잖아? 보안이 어떤 건지..



Trackbacks  0 | Comments