‘90일이 지났습니다. 비밀번호를 변경해주세요’, ‘대소문자와 특수문자를 꼭 포함해서 설정해주세요’
그동안 인터넷 서비스 이용자들을 속 터지게 만들었던 까다로운 ‘비밀번호 규칙’이 완화될 전망이다. 세계 각국과 기업들이 자체 비밀번호 규칙을 만들 때 표준으로 삼는 미국 국립표준기술연구소(NIST)가 17년 만에 위와 같은 비밀번호 관련 요구 사항을 더 이상 쓰지 말라는 새 지침을 만들었기 때문이다.
보안성과 해킹 방지 등을 이유로 인터넷 사이트들이 요구하는 복잡한 비밀번호는 노인 등에게 가장 큰 ‘디지털 장벽’ 중 하나였다. 현재 인터넷 업체 대부분이 쓰고 있는 ‘영문 대소문자·숫자·특수문자 1개 이상 포함’ ‘90일 이후 비밀번호 변경’ 같은 규정은 NIST가 2007년 내놓은 지침에 근거하고 있다.
하지만 개인이 이용하는 IT 기기와 인터넷 서비스가 기하급수적으로 늘어나면서 문제가 생겼다. 비밀번호를 잊지 않기 위해 기존 번호에 !나 @ 같은 추측하기 쉬운 특수문자를 돌려쓰거나, 아예 수첩이나 다른 곳에 적어두는 경우가 빈번하다. 복잡한 비밀번호가 오히려 보안성을 취약하게 만들고 있는 것이다.
◇”비번 끝에 !,@ 넣어봤자 소용없어”
미국 NIST는 지난달 공개한 ‘디지털 신원 지침(가이드라인)’ 개정안에서 ‘여러 문자유형을 섞어 쓰도록 하는 등 사용자에게 추가적인 비밀번호 규칙을 부과하는 행위’ ‘정기적으로 비밀번호 변경을 요구하는 행위’를 금기 사안으로 정했다.
(중략)
전문 출처로
추가)
어려운 조건 넣어서 사용자들한테 책임 전가하지 말고
2차 인증이나 생체 인증 같은 걸로 풀자는 얘기야..!