http://www.itworld.co.kr/news/144212
아직도 password나 123456을 비밀번호로 사용한다는 사실이 놀랍습니다.
사실 최근 MFA(password+문자인증)을 검토중이라서 더 다가오는 기사입니다.
우리사는 숫자+문자+특수문자 조합으로 8자리 정책을 사용중이긴 하나.
강제변경규정은 아직없어서 취약한것 같습니다. 이에 문자인증을 테스트하고 있습니다.
혹시 다른분들은 사내기업 인증방식 어찌하고 계신가요?
강제변경(3개월or6개월), 문자인증,바이오인증등 사용하고 도입 검토중이신지요?
사실 문자인증이나 강제변경도 계속 검토하였으나 사용자불편을 고려해서 시행하지 못했는데요
이제는 해야 할 것 같습니다.
31개의 댓글이 있습니다.
패스워드 정책이 복잡할수록
IT에 초기화 요청이 많아지는것 같습니다.
상상하는 것 그 이상이죠 ㅎ
몰라서 초기 비밀 번호를 바꾸지 못하는 경우도 많고...
중요하지 않은 장비라서... 뭘 이딴것에 해킹을 하려는 생각에 귀찮아서 바꾸지 않는 경우도 많을 거고...
전에 장비 비밀번호를 남들은 잘 몰라도 잘 잊어 버리지 않을 문자로해서 변경해 뒀다가...
생각이 나지 않아 갖은 방법으로 아무리 해도 변경한 비밀 번호를 못 찾아서 결국은 장비를 초기화 시켰던 기억이 있네요~
요즘, 아무리 잊어버리지 않을 비밀번호라도 꼭... 꼭... 메모를 해 두는 습관이 길러져 버렸네요~
메모해둔 내용만 유출된다면 모든 비밀번호가 고스란히 함께 유출되어 버리는 치명적인 문제점을 안고 있네요~ ㅎ
진짜로 쉽게 사용하는 번호지요~
비밀번호만 어렵게 잘해도 행킹을 조금이라도 막을수 있을텐데 말입니다......
문제점이 많음을 알면서도 여전히 쉽게 바뀌지않는 패스워드 사용법... 자신만의 규칙성을 가지고 만들어야 변경하고나서 잊어버리는 상황을 피할수 있겠지요.
근본적으로 인증방법이 변화되야 함을 늘 절실히 느낍니다.
전직장에서 패스워드 3개월 마다 변경하는 정책을 시행했더니
1.본인 패스워드를 까먹음
2.까먹지 않기 위해 모니터에 포스트잇으로 본인 패스워드를 붙인 사람 발생
ㅋㅋㅋ
오래전부터 1년에 한 두번은 꼭 보게되는 똑 같은 내용의 글입니다.
사람은 쉽게 안바뀌죠. ㅎㅎ
이번에 대대적으로 강제변경을 검토해봐야겠습니다.
아휴~
아직도 root / root도 많아요
무슨 생각으로 운영을 하는지....
P@ssw0rd 가 MS 의 디폴트여서 ㅋ
역시 사람은 쉽게 변하지 않네요~ㅎ
저희도 CRM 도입하면 Password 정책 및 2차인증 부분 도입했는데~~
그날부터 현업단 컴플레인이 어마어마 하데요~~
뭐 그래도 한 3개월 정도 욕받이 하고나니~~이제는 잠잠 합니다~~
그나마 행안부 감사때문에 정부지침이다 ~잘못하면 회사 문닫는다로 강하게 어필하니~~
궁시렁 궁시렁 거리다가 조용 해지더라구요~~ㅎ
궁금한게... 패스워드는 보통 단방향 암호화해서 관리하고..
암호화를 안해도 오픈이 안되는 게 맞는데...
저런 통계를 어디서 뽑을까요?
일부 보안이 취약한 사이트에 저런 쉬운 문자들만 사전 공격같은 방식으로 테스트해서 뽑은 거라면
몇년이 지나도 저 내용이 크케 달라지지 않을 듯 합니다.
비밀번호는 보안에서 시작점이면서 가장 중요한 부분인게 사실인데.
과거 복잡 룰을 만든 사람 조차도 그 룰이 실효성이 없다고 인정을 했더군요.
갑론을박이 많은 부분이긴 한데.
담당자들도 많은 고민을 해야 할 부분인것 같습니다.
https://howsecureismypassword.net/
의외로 qwer1234가 없네요!