예약된 비밀번호 변경에 대한 생각(교체라고 부르지 마세요!)

우리 모두는 여전히 다른 종류의 로그인 시스템을 제공하지 않는 수많은 온라인 서비스를 사용하고 있기 때문에 아마도 대부분의 계정에서 비밀번호를 사용하고 있습니다.

예를 들어 바로 오늘 나는 내 우편 주소를 요청하는 사이클링 관련 단체에 회비를 지불했습니다. 그러면 내 회원 카드를 받을 수 있을 것입니다. 내 회원 번호를 검색할 수 있는 아주 간단하고 구식적인 방법이라고 생각했습니다. 앞으로는 길을 가는 동안.

영국에서는 일 년 중 대부분의 춥고 축축한 날씨에 휴대폰을 꺼내고 신호를 기다리며 장갑을 벗습니다(겨울에 다시 끼는 것은 별로 재미가 없습니다. 물에 잠김) 앱, 웹사이트, 비밀번호, 2FA 코드 등을 만지작거리고 있습니다.

...글쎄요, 기본 정보가 적힌 방수, 충돌 방지, 배터리가 필요 없는 플라스틱 카드를 찾는 것만큼 쉽지는 않습니다.

하지만 결제 확인과 함께 멤버십 카드가 곧 도착한다는 알림을 통해 멤버십을 갱신하거나 방수, 충돌 방지, 배터리가 필요 없는 플라스틱 카드 교체를 요청하고 싶다는 사실을 상기시켜 주었습니다. (안타깝게도 손실 방지 기능이 없습니다.) 그룹 웹사이트에 계정을 만들어야 하는데 지금 당장 비밀번호를 선택하는 것이 어떨까요?

간단히 말해서, 처음부터 비밀번호가 필요하지 않도록 하려면 두 번째로 비밀번호를 만들어야 합니다.

그리고 비밀번호가 나올 때마다 장기적인 질문도 나옵니다.

빠르게 움직이는 사이버 범죄자의 표적이 되도록 모든 비밀번호를 항상 변경해야 합니까, 아니면 처음부터 매우 복잡한 비밀번호를 잠그고 그대로 방치해야 합니까?

실제로, 그것은 바로 오늘 아침 장기 Naked Security 독자가 직면한 문제였으며, 자신의 IT 팀이 아마도 직접 경험한 사이버 불안전으로 인해 이 딜레마에 빠져 있었을 것입니다.

어떤게 더 좋아?

자주 변경되지 않는 복잡한 비밀번호 또는 암호 문구, 아니면 정기적으로 변경되는 잘 선택되지 않은 비밀번호가 있습니까?

해당 문제에 대한 우리의 생각은 다음과 같습니다.

정기적으로 비밀번호를 변경한다고 해서 마법처럼 더 나은 비밀번호가 되는 것은 아닙니다.

우선 더 나은 비밀번호를 선택해야만 더 나은 비밀번호가 됩니다! (이때 비밀번호 관리자가 도움을 줄 수 있습니다.)

Naked Security Live – 비밀번호 관리자가 해킹당하면 어떻게 되나요?

즉, 먼저 사용자가 적절한 비밀번호를 선택하도록 돕는 문제를 해결한 다음, 시간표에 따라 비밀번호를 변경하라고 지시할 필요 없이 비밀번호를 즉시 변경해야 하는 경우를 인식하도록 권장하는 것이 좋습니다.

…그리고 나서야 "관계없이 정기적인 변경" 비밀번호 정책이 정말로 필요한지 걱정해야 합니다.

단순히 필요하지 않은데 매달 비밀번호 변경을 요구하는 것은 단지 사람들에게 새 비밀번호를 안전하지 않게 저장하거나, 새 비밀번호를 엉성하게 선택하거나, N개의 관련 비밀번호를 반복해서 사용하거나, 비밀번호만 업데이트하도록 유도하는 것입니다. 긴급 상황에서도 30일마다.

하지만 특정 기간 동안 특정 회사 계정에 액세스하지 않은 사용자를 잠그는 것은 좋은 생각입니다. (또한 잊어버린 계정이 자동으로 만료되므로 잊어버린 계정을 어느 정도 보호합니다.)

활동이 없을 때 사용자를 잠그는 것은 단순히 비밀번호를 정기적으로 재설정하도록 강요하는 것보다 더 방해가 되므로 인기가 없습니다.

그러나 누군가가 사용하지 않는 회사 계정 로그인을 가지고 있는 경우, 예를 들어 6개월 또는 1년 동안 사용하지 않은 후에도 여전히 해당 로그인이 필요한 이유를 직접 설명하도록 강요하는 것은 어떨까요?

결국, 사용자당 요금을 부과하는 제품이나 서비스에 대한 로그인이라면… 구독 비용을 절약할 수도 있습니다.

그리고 정말로 계정이 더 이상 필요하지 않은 경우, 사기꾼과 사이버 사기꾼이 자신의 이름으로 나쁜 짓을 하는 것을 방지하여 문제를 피하도록 돕는 것입니다.