NIST의 패스워드 가이드라인이 개정되었다. 과거와는 컴퓨팅 환경이 달라져있다보니, 시류에 안맞는 불합리한 조건들이 많이 개선되었음. 굵직한 것만 보자면;
– 주기적 패스워드 교체 권고 삭제 : 60일이나 90일마다 패스워드를 변경하도록 강제하던 것이, 실제로 보안적으로는 큰 효과가 없고, 사용자를 불편하게만 만들던 것이라 이에 대한 권고 삭제. 대신 패스워드가 유출되었다거나 하는 경우에만 교체안내를 하도록 변경. (대환영!!!)
– 패스워드로 모든 ASCII코드 및 유니코드 허용 : 패스워드로 사용가능한 문자셋을 늘리고, 비영어권 자판에서의 불편함을 해소
– 패스워드 구성 문자열의 복잡성 폐지 : 대문자를 넣어야 한다든가, 특수기호가 들어가야 한다든가 하는 규칙을 강제하지 않음. 이러한 조건은 사용자가 패스워드를 기억하는 것을 어렵게 만들기 때문에 더 기억하기 쉬운 단순 패턴의 패스워드를 사용하도록 유도하게 됨. 컴퓨팅 파워의 발달로 Brute-Force 기법이 더 빨라졌기 때문에, 이런 종류의 복잡도 증가는 큰 도움이 되지 못함.
– 기본 패스워드 길이를 최소 12~16자로 증가 : 대신, 패스워드의 기본 길이를 더 길게 하는 것으로 특수문자 강제 등이 없어도 충분히 Brute-Force 공격을 훨씬 더 어렵게 할 수 있음.
그 외 여러가지 권고들이 있는데, 사용자들한테는 크게 실감 안날 조건들이라 생략. (Hashing & Salting 이라든가, Rate limiting이라든가…)
0개의 댓글