시스템 설계자를 위한 최신 비밀번호 보안

이 가이드에서는 안전한 온라인 애플리케이션을 만드는 설계자와 엔지니어를 위한 최신 비밀번호 안내와 권장사항을 설명하고 모델을 제시합니다. 관련 가이드인 사용자를 위한 최신 비밀번호 보안은 최종 사용자를 위한 안내를 제공합니다. 이 가이드에서는 비밀번호 기반 인증 시스템을 구축할 때 고려해야 할 다양한 옵션을 다룹니다. 또한 비밀번호 안전성과 편의성 간 균형을 맞추는 일을 비롯하여 비밀번호 정책 및 보관에 대한 사용자 중심 권장사항을 설명합니다.

기술 업계는 컴퓨팅의 초기 단계부터 비밀번호를 개선하기 위해 노력해 왔습니다. 공유한 정보를 활용한 인증은 정보가 엉뚱한 사람에게 도용될 가능성이나 정보를 잊어버릴 가능성으로 인한 문제점이 존재합니다. 현실적으로 안전한 사용 사례를 지원하지 못하는 시스템과 편한 방법을 선호하는 대다수 사용자의 선택으로 인해 이 문제가 더욱 심화됩니다.

2019년 Yubico/Ponemon 연구에 따르면 응답자의 69%는 계정에 액세스하기 위해 동료와 비밀번호를 공유할 수 있다고 생각합니다. 절반이 넘는 응답자(51%)가 비즈니스 및 개인 계정에서 평균 5개의 비밀번호를 재사용합니다. 또한 사용자 이름과 비밀번호 외에 추가로 보호 장치를 제공하는 2단계 인증(2FA)은 널리 사용되지 않습니다. 응답자의 67%는 개인 생활에 어떤 형태의 2FA도 사용하지 않으며 55%는 직장에서도 사용하지 않습니다.

최신 애플리케이션용으로 설계된 비밀번호 시스템이 사용자가 안전하지 않은 비밀번호를 사용하도록 허용하거나 권장하는 경우도 있습니다. 단일 요소 사용자 인증 정보만 허용하고 비효율적인 보안 정책을 구현하는 시스템이 문제를 더욱 어렵게 만듭니다. 일관적이지 않은 무작위적인 규칙을 사용하면 사용자가 비밀번호를 안전하지 않게 취급할 수 있으며, 비밀번호 복구 시스템은 사용자와 애플리케이션을 고려되지 않은 위협 카테고리에 취약하게 만들 수 있습니다.

개요

이 문서에서는 다음을 설명합니다.

  • 비밀번호 보안에 대해 신뢰할 수 있는 출처에서 심도 있게 조사된 자료
  • 비밀번호 관리 시스템을 설계하는 엔지니어를 위한 권장사항
  • 비밀번호 보안과 관련하여 일반적으로 피해야 할 패턴과 오해
  • 더 연구해 볼 주제

전체 백서를 읽으려면 아래의 버튼을 클릭하세요.

PDF 다운로드