안녕하세요
이번에 개보법 개정으로 패스워드 의무 변경이 없어졌다고 들었는데요
사내 AD 계정 패스워드 만료가 90일로 되어있어서 여간 불편한게 아닙니다... 기간 지나고 변경안된다 어쩌고 저쩌고.. 여기 계신 분들도 많이 공감하시리라 생각합니다...
여튼 개보법 개정으로 AD 계정 패스워드 의무 변경도 사라지게 되는 건가요??
안녕하세요
이번에 개보법 개정으로 패스워드 의무 변경이 없어졌다고 들었는데요
사내 AD 계정 패스워드 만료가 90일로 되어있어서 여간 불편한게 아닙니다... 기간 지나고 변경안된다 어쩌고 저쩌고.. 여기 계신 분들도 많이 공감하시리라 생각합니다...
여튼 개보법 개정으로 AD 계정 패스워드 의무 변경도 사라지게 되는 건가요??
15개의 답변이 있습니다.
불편하긴 해도 보안적인 부분으로 보면 그대로 적용해놓으면 좋지 않을까요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입개인정보보호법은 바뀌어도 사내/외 내부회계규정에는 아직 90일
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입개보법 바뀌었지만, 비밀번호가 존재할때는 관련 규정 만들고 지키는게 맞습니다. ad서버도 개인정보처리시스템이 맞으니까요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입직원들 입장에서는 너무 불편하긴 하죠.
재미있는게 너무 변경이 잦아서 잃어 버릴까 포스트잇에 적어서 모니터에 붙여 놓는 사례도 있다 합니다.ㅜ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입패스워드 만료 강제 제거의 개정된 개인정보 보호법에서는 패스워드의 만료 강제 정책을 폐지하고, 사용자가 직접 패스워드를 변경하도록 유도하는 방향으로 전환 하라고 되어 있고 2단계 인증 (2FA) 등의 추가적인 보안 메커니즘을 도입하여 계정의 보안성을 높이는 것이 권장한다라고 하지만 해당 사항은 서비스별
정책을 별도로 가져 가는게 좋을것 같네요
보안성을 높이는게 우선인데 강제 정책 폐지라고 하지만 문제가 생김 알아서 대처하라는 내용 같아요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입주기적인 패스워드 변경은 개보법에서만 해당되는 내용은 아닙니다.
여러 국제인증, 보안감사, 보안점검에서 기본 항목이라 불편하더라도 유지하는게 좋지 않을까 생각합니다.
저도 개인적으로는 아이디 패스워드 방식이 보안관리가 어렵고 보안 취약한 부분이 많아서
모바일처럼 생체인증, MFA 등으로 보안 강화와 사용자 편의성 개선 방향으로 가면 좋겠다고
생각하는데... 간단한 부분은 아닌듯 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입사이버 보안 모범 사례의 추세는 비밀번호를 자주 변경하는 것에서 벗어나 다른 보안 조치를 선호하는 방향으로 바뀌고 있습니다. 이는 비밀번호를 자주 변경하면 취약한 비밀번호를 선택하거나 여러 계정에서 비밀번호를 재사용하는 등 잘못된 비밀번호 사용 습관으로 이어질 수 있다는 점을 이해했기 때문입니다.
비밀번호를 자주 변경해야 하는 의무 사항에서 벗어나는 움직임이 있지만 AD 계정 비밀번호 변경 요구 사항이 사라질지 여부는 조직의 특정 정책과 개정된 지침 및 규정에 어떻게 부합하는지에 따라 달라진다고 보기 때문에 구체적인 세부 사항은 IT 부서나 조직의 보안 정책 설정을 어떤 방향성으로 갈지 고려해서 결정하시는 것이 가장 좋을 것 같습니다.
참고로, 이런 내용으로 내부에서도 잠깐 논의 한적 있는데,
공공기관인지라 정보보안 및 개인정보보호 실태점검 지표상에 이 내용이 없어지면,
같은 스탠스를 취하자 라고 결론을 내린 상태로 좀 지켜보고 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입만료기간때문에 불편한게 넘 많죠~~아직 개정중이라고만 들었구요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입제가 개인적으로 생각할때에는 아이디 패스워드 보안 방식은 가장 취약한 방식이라고 봅니다.
저렇게 패스워드 길이 늘리고 패스워드 사용 기간을 줄인다고 해도 오히려 암호를 메모장에 적고
포스트잇에 붙여넣고 이런식으로 보안에 안맞는 방식으로 진화하겠죠
사람의 기억에 의존해서 보안을 한다 라는 건 오히려 보안을 더 취약하게 만든다 라는 걸 왜 모르는지
이해가 안됩니다. 차라리 OTP 방식으로 2차 인증을 하는 게 낫다고 봅니다. 1차로 아이디 패스워드
인증은 쉽게 해주고 OTP 방식으로 2차 인증을 하는 게 보안적인 측면에서 낫다 라는 거죠
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입개보법으로 인해 패스워드 의무변경 관련 항목은 삭제가 되었으나, ISMS 나 국제인증에서는 아직까지 비밀번호변경 관련 항목은 삭제 되지 않았습니다.
개보법이 개정되면서 관련 항목이 수정은 되겠지만. 국제인증 ISO 같은경우엔 없어지지 않겠죠? 그럼.. 저희 ISMS도 거기를 따라갈테니 제가 봤을땐 주기적 변경이 필요해 보입니다.
보통 CC인증받은 솔루션이나 장비들은 비밀번호 패턴도 자주쓰는 패턴은 쓰지 못하도록 되어 있어서 그렇게 쉽게 유추되긴 쉽지 않습니다.
원래 보안이라는게 불편할수록 보안이 더 잘되는 법이니, 너무 쉽게 쉽게 패스워드 저장 같이 편하게 하려고 하면 자신들의 정보는 그만큼 쉽게 유출될 수 있다는 걸 명심하시고 일하시는게 좋겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안을 위한 방안이니 개인별로 별도 패스워드를 관리하는 방안이 제일 좋을 듯합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입혹시 개인정보보호법 개정 내용 중에
"포털 사이트 등에서 비밀번호 변경 의무 완화"를 말씀하시는 건가요?
이 내용과 저희가 하는 보안 내용과는 다른 듯 한데요...
일반 시스템 비밀번호 변경 관련 개정내용을 저는 아직 듣지를 못해서요~~~
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입개인 패스워드 든 업무용 패스워 든 도저히 너무 많아 기억 못해서 별도 화일로 저장, 관리중입니다.
또 기간 만료로 계속 변경하다 보니 더 헷갈리립니다. 그때그때 업뎃 안하면 정말 ㅠㅠ
이전 패스워드 재사용 금지 하려고 히스토리까지 관리 되다 보니 4번에 한번꼴로 돌려 쓰기 ㅠㅠ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입암호 의무 만료 기간이란게...
엄청 불편하더군요.
보안 자체가 편리성과는 반비례 관계이긴 하지만...
암호를 의무적으로 변경해야 해서 암호를 반복적으로 바꾸다 보면...
암호를 기억하기 힘들어 지게 되죠.
로긴할때마다 암호를 잊어 버려서 암호 찾기를 반복해야 하는 경우가 자주 발생하게 되다 보니...
잊어 버리지 않으려고 어디다 암호를 적어두거나 단순한 암호 변경 패턴을 정해서 바꾸거나...
이런 행위들로 인해서 암호가 유출될 수 있는 취약점이 생길 가능성이 더 높아 지게 되는게 아닌가 하는 느낌이 들더군요.
AD 암호도 개인 정보 보호법이 적용되는 암호이기 때문에 동일하다고 보는게 맞는 거죠. ^^
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입