패스워드 정책?
Posted 2006/12/14 19:42
난감한 문제다.
보안과 해킹 이야기를 하다보면 강철벽에 초가지붕이라는 이야기가 있다.
아무리 철벽 보안체계를 갖춰도 패스워드를 1234따위로 정해놓는 생각없는 유저들때문에 헛것이라는...
만약 nobody 계정만 악당의 손에 넘어가도 위험한 유닉스 시스템에 그런 유저가 있다면 '일반유저' 계정이 쉽게 노출되고 시스템 전체가 안전하지 않게 된다. 보통 그런 유저는 웹사이트도 같은 패스워드로 대부분 가입하게 되므로 무작위 공격으로 쉽게 아이디와 패스워드를 획득한뒤, 다른 웹사이트나 그 사람이 관리할법한 시스템계정역시 거저 먹게 되는 위험인물인 것이다.
하지만 그 반대의 경우도 있다.
사용자를 못믿어서 강제로 어려운 패스워드를 정하도록 강제하는것!
패스워드는 8자리 이상이어야 하고 숫자와 문자와 특수문자가 섞여있어야 하고.. 등의 제약은 오히려 기억하기 힘든 패스워드를 회원가입시 즉석에서 만들어내야 하는 심한 압박감을 받게 만든다.
결국 1234qwer 따위 오직 패스워드 룰에만 맞는 엉뚱한 패스워드를 양산하게 되고 이는 오히려 보안에 더 취약하게 될뿐만 아니라 자신의 패스워드를 잃어버리고 '패스워드 분실'메뉴를 더 자주 사용하게 만든다던가, 기억해내기 귀찮아 하는 유저로 하여금 사이트를 떠나게 만드는 지름길이다.
나는 패스워드를 총 4단계로 만들어 쓴다.
가장 짜증나는곳은,
정작 아이디는 8자리(지금이 어느시대인데...)로 제한해놓고 패스워드는 영문숫자(반드시)포함 8자리로 하라고 강요하는 사이트다.....
그 사이트는... 신뢰여부를 결정하지 않은 사이트다...
그렇다고 신뢰하는 웹사이트에서 쓰는 어려운 나의 패스워드를 쓸 수는 없다...
결국 그 사이트의 패스워드는 qwer1234 이다...
뭐... 유추해서 쓸사람 써라...
보안과 해킹 이야기를 하다보면 강철벽에 초가지붕이라는 이야기가 있다.
아무리 철벽 보안체계를 갖춰도 패스워드를 1234따위로 정해놓는 생각없는 유저들때문에 헛것이라는...
만약 nobody 계정만 악당의 손에 넘어가도 위험한 유닉스 시스템에 그런 유저가 있다면 '일반유저' 계정이 쉽게 노출되고 시스템 전체가 안전하지 않게 된다. 보통 그런 유저는 웹사이트도 같은 패스워드로 대부분 가입하게 되므로 무작위 공격으로 쉽게 아이디와 패스워드를 획득한뒤, 다른 웹사이트나 그 사람이 관리할법한 시스템계정역시 거저 먹게 되는 위험인물인 것이다.
하지만 그 반대의 경우도 있다.
사용자를 못믿어서 강제로 어려운 패스워드를 정하도록 강제하는것!
패스워드는 8자리 이상이어야 하고 숫자와 문자와 특수문자가 섞여있어야 하고.. 등의 제약은 오히려 기억하기 힘든 패스워드를 회원가입시 즉석에서 만들어내야 하는 심한 압박감을 받게 만든다.
결국 1234qwer 따위 오직 패스워드 룰에만 맞는 엉뚱한 패스워드를 양산하게 되고 이는 오히려 보안에 더 취약하게 될뿐만 아니라 자신의 패스워드를 잃어버리고 '패스워드 분실'메뉴를 더 자주 사용하게 만든다던가, 기억해내기 귀찮아 하는 유저로 하여금 사이트를 떠나게 만드는 지름길이다.
나는 패스워드를 총 4단계로 만들어 쓴다.
- 지인이라면 유추해낼 수 있는 아주 쉬운 패스워드(무료 공유사이트 따위를 함께 쓸때)
- 신뢰여부를 결정하지 않은 일반 웹사이트
- 충분히 신뢰하는 웹사이트
- 신뢰하는지 알 수 없지만 돈이 오가는 웹사이트
가장 짜증나는곳은,
정작 아이디는 8자리(지금이 어느시대인데...)로 제한해놓고 패스워드는 영문숫자(반드시)포함 8자리로 하라고 강요하는 사이트다.....
그 사이트는... 신뢰여부를 결정하지 않은 사이트다...
그렇다고 신뢰하는 웹사이트에서 쓰는 어려운 나의 패스워드를 쓸 수는 없다...
결국 그 사이트의 패스워드는 qwer1234 이다...
뭐... 유추해서 쓸사람 써라...
