계정 보안 조언의 일반적인 부분 중 하나는 사용자가 정기적으로 암호를 변경해야 한다는 것입니다. 이 접근 방식의 이유는 비밀번호가 손상될 경우에 대비하여 비밀번호의 유효 기간을 최소화하는 것입니다. 이 전체 전략은 미국 NIST 또는 국립 표준 기술 연구소(National Institute of Standards and Technology)와 같은 최고 사이버 보안 그룹의 역사적 조언을 기반으로 합니다.
수십 년 동안 정부와 기업은 이 조언을 따랐고 사용자가 일반적으로 90일마다 정기적으로 비밀번호를 재설정하도록 했습니다. 그러나 시간이 지남에 따라 연구에 따르면 이 접근 방식이 의도한 대로 작동하지 않았으며 2017년에는 NIST 영국과 함께 NCSC, 또는 국가 사이버 보안 센터(National Cyber Security Centre)는 침해가 합리적으로 의심되는 경우에만 암호 변경을 요구하도록 조언을 변경했습니다.
조언이 변경된 이유는 무엇입니까?
정기적으로 암호를 변경하라는 조언은 원래 보안을 강화하기 위해 구현되었습니다. 순전히 논리적인 관점에서 볼 때 정기적으로 비밀번호를 새로 고치라는 조언이 의미가 있습니다. 하지만 실제 경험은 약간 다릅니다. 연구에 따르면 사용자가 정기적으로 암호를 변경하도록 하면 증가할 수 있는 유사한 암호를 사용하기 시작할 가능성이 훨씬 더 높아졌습니다. 예를 들어 사용자는 "9L=Xk&2>"와 같은 암호를 선택하는 대신 "Spring2019!"와 같은 암호를 사용합니다.
여러 암호를 생각해내고 기억한 다음 정기적으로 변경해야 할 때 사람들은 지속적으로 더 안전하지 않은 기억하기 쉬운 암호를 사용하는 것으로 나타났습니다. "Spring2019!"와 같은 증분 암호 문제 쉽게 추측할 수 있고 미래의 변화도 쉽게 예측할 수 있다는 것입니다. 이를 결합하면 강제로 비밀번호를 재설정하면 사용자가 기억하기 쉽고 따라서 일반적으로 미래를 감소시키는 의도된 이점을 적극적으로 훼손하는 약한 암호 위험.
예를 들어, 최악의 시나리오에서 해커는 "Spring2019!"라는 암호를 손상시킬 수 있습니다. 유효한지 몇 개월 이내에. 이 시점에서 그들은 "봄" 대신 "가을"로 변형을 시도할 수 있으며 액세스 권한을 얻을 가능성이 높습니다. 회사가 이 보안 침해를 감지하고 사용자에게 암호를 변경하도록 강제하는 경우 영향을 받는 사용자는 비밀번호를 "Winter2019!"로 변경할 가능성이 높습니다. 그리고 그들이 안전한. 패턴을 알고 있는 해커는 다시 액세스할 수 있는 경우 이를 시도할 수 있습니다. 사용자가 이 패턴을 얼마나 오래 유지하느냐에 따라 공격자는 이를 수년에 걸쳐 액세스에 사용할 수 있습니다. 사용자는 정기적으로 비밀번호를 변경하기 때문에 안전하다고 느낄 수 있습니다.
새로운 조언은 무엇입니까?
사용자가 형식적인 암호를 사용하지 않도록 장려하기 위해 이제 암호가 손상되었다는 합리적인 의심이 있을 때만 암호를 재설정하라는 조언을 받았습니다. 사용자가 새 비밀번호를 정기적으로 기억하도록 강요하지 않으면 처음부터 강력한 비밀번호를 선택할 가능성이 높아집니다.
이것과 결합하여 더 강력한 암호 생성을 장려하기 위한 여러 다른 권장 사항이 있습니다. 여기에는 모든 암호의 길이가 절대 최소값에서 최소 8자 이상이고 최대 문자 수가 최소 64자인지 확인하는 것이 포함됩니다. 또한 기업이 복잡한 규칙에서 벗어나 차단 목록을 사용하도록 권장했습니다. "ChangeMe!"와 같은 취약한 암호 사전 사용 많은 복잡성을 충족시키는 "Password1" 요구 사항.
사이버 보안 커뮤니티는 암호가 자동으로 만료되지 않아야 한다는 데 거의 만장일치로 동의합니다.
참고: 불행히도 일부 정부에서는 민감하거나 기밀로 분류된 시스템에 대해 암호 만료를 요구하는 법률을 아직 변경하지 않았기 때문에 일부 시나리오에서는 여전히 그렇게 하는 것이 필요할 수 있습니다.