미국 NIST에서 새로운 비밀번호 관리 규칙을 발표했습니다. NIST(National Institute of Standards and Technology)는 미국 상무부 산하의 영향력 있는 기관입니다. 비밀번호를 주기적으로 변경하거나 여러 문자 유형을 섞어 쓰지 않도록 권고합니다. 여러 웹 서비스에서 볼 수 있는 ‘영문 대소문자·숫자·특수문자 1개 이상 포함’ ‘90일 이후 비밀번호 변경’와 같은 규정은 NIST가 2007년 발표한 지침을 근거로 했습니다.
하지만 개인이 사용하는 서비스 수가 늘면서 문제가 생겼습니다. 사용자는 제한된 조건에서 가장 쉬운 방법을 선택하기 때문에 !와 @와 같이 추측하기 쉬운 특수문자를 조합했습니다. 수많은 서비스의 비밀번호를 주기적으로 변경하다보면 모두 기억할 수가 없어 결국 메모에 따로 저장해 오히려 보안이 취약해졌습니다.
NIST는 기억하기 어려운 난수형 비밀번호를 조합하기 위해 노력하기보다 길이를 길게 쓰기를 권고했습니다. 사람이 기억하기 쉽지만 긴 암호가 보안 측면에서는 더 효과적이라는 분석입니다. 최소 8자에서 최대 64자 까지 허용할 것을 권장했습니다.
패스키에 관해서도 언급합니다. 빅테크 기업에서는 얼굴이나 지문을 이용한 생체 인증을 제공합니다. 사용자가 복잡한 비밀번호를 직접 관리하는 대신 애플, 구글, 삼성과 같은 빅테크가 보안을 대신 관리하는 방식입니다.
매주 화요일 아침, 16년 차 디자이너가 큐레이션한 디자인 트렌드를 모아보세요.
