정기적으로 비밀번호를 변경해야 합니까?

"비밀번호를 정기적으로 변경하십시오"는 일반적인 비밀번호 조언이지만 반드시 좋은 조언은 아닙니다. 대부분의 암호를 정기적으로 변경하는 것을 귀찮게 할 필요가 없습니다. 더 약한 암호를 사용하도록 조장하고 시간을 낭비하게 만듭니다.

예, 정기적으로 비밀번호를 변경해야 하는 상황이 있습니다. 그러나 그것들은 아마도 규칙이 아니라 예외일 것입니다. 일반 컴퓨터 사용자에게 정기적으로 암호를 변경해야 한다고 말하는 것은 실수입니다.

정기적인 비밀번호 변경 이론

정기적인 비밀번호 변경은 누군가가 귀하의 비밀번호를 획득하여 장기간 동안 스누핑하는 데 사용할 수 없도록 하기 때문에 이론적으로 좋은 생각입니다.

예를 들어, 누군가가 귀하의 이메일 비밀번호를 얻은 경우 정기적으로 귀하의 이메일 계정에 로그인하여 귀하의 커뮤니케이션을 모니터링할 수 있습니다. 누군가가 귀하의 온라인 뱅킹 비밀번호를 취득한 경우 귀하의 거래를 스누핑하거나 몇 개월 후에 다시 돌아와 자신의 계정으로 돈을 이체하려고 시도할 수 있습니다. 누군가 회원님의 Facebook 비밀번호를 알아낸 경우 회원님으로 로그인하여 회원님의 비공개 커뮤니케이션을 모니터링할 수 있습니다.

이론적으로 암호를 정기적으로(아마도 몇 달에 한 번씩) 변경하면 이러한 일이 발생하지 않도록 방지하는 데 도움이 됩니다. 누군가가 귀하의 비밀번호를 알아냈다 하더라도 악의적인 목적으로 액세스 권한을 사용할 수 있는 시간은 불과 몇 개월입니다.

단점

암호 변경은 진공 상태에서 고려되어서는 안 됩니다. 인간에게 무한한 시간과 완벽한 기억력이 있다면 정기적으로 비밀번호를 변경하는 것이 좋습니다. 실제로 비밀번호 변경은 사람들에게 부담을 줍니다.

암호를 정기적으로 변경하면 좋은 암호를 기억하기가 더 어려워집니다. 강력한 암호를 만들어 메모리에 저장하는 대신 몇 달에 한 번씩 새 암호를 기억해야 합니다. 컴퓨터 시스템에 의해 정기적으로 비밀번호를 변경해야 하는 사용자는 결국 숫자를 추가하게 될 수 있으므로 비밀번호1, 비밀번호2 등을 사용할 수 있습니다.

단일 계정의 비밀번호를 정기적으로 변경하고 매번 새 비밀번호를 기억하는 것은 어렵습니다. 그러나 우리 모두에게는 많은 암호가 있습니다. 암호를 정기적으로 변경하고 수많은 서비스에 대해 고유하고 강력한 암호를 지속적으로 기억해야 한다고 상상해 보십시오.

관련: 암호 관리자를 사용해야 하는 이유 및 시작 방법

모든 웹사이트에 대해 강력하고 고유한 비밀번호를 선택하고 기억하는 것은 기본적으로 불가능합니다. 그렇기 때문에 LastPass 또는 KeePass와 같은 비밀번호 관리자를 사용하는 것이 좋습니다. 몇 달에 한 번씩 비밀번호를 변경하면 더 약한 비밀번호를 사용하게 되어 여러 웹사이트에서 다시 사용하게 될 것입니다. 정기적으로 암호를 변경하는 것보다 모든 곳에서 강력하고 고유한 암호를 사용하는 것이 훨씬 더 중요합니다.

비밀번호 변경이 도움이 되지 않는 이유

정기적으로 비밀번호를 변경하는 것은 생각만큼 도움이 되지 않습니다. 공격자가 귀하의 계정에 대한 액세스 권한을 얻은 경우 해당 액세스 권한을 사용하여 즉시 피해를 입힐 가능성이 큽니다. 그들이 귀하의 온라인 뱅킹 계정에 액세스하면 앉아서 기다리지 않고 로그인하여 송금을 시도합니다. 온라인 쇼핑 계정에 액세스할 수 있으면 로그인하여 저장된 신용 카드 정보로 제품 주문을 시도합니다. 그들이 귀하의 이메일에 액세스하면 스팸 및 피싱에 이메일을 사용하거나 이메일로 다른 사이트에서 비밀번호 재설정을 시도할 것입니다. 그들이 귀하의 Facebook 계정에 액세스하면 즉시 스팸 또는 사기를 시도할 것입니다.

관련: 누가 이 모든 맬웨어를 만들고 있으며 그 이유는 무엇입니까?

일반적인 공격자는 오랜 기간 동안 귀하의 비밀번호를 보유하지 않고 귀하를 기웃거립니다. 그것은 수익성이 없습니다. 그리고 공격자들은 이익을 노리고 있습니다. 누군가가 귀하의 계정에 액세스할 수 있는지 여부를 알 수 있습니다.

사용하는 서비스 중 하나가 손상되면 비밀번호가 지속적으로 유출될 가능성이 높기 때문에 모든 곳에서 동일한 비밀번호를 사용하는 경우 비밀번호를 정기적으로 변경하는 것도 중요합니다. 하나의 암호를 정기적으로 변경하는 대신 여기에서 실제 문제를 처리하고 모든 곳에서 고유한 암호를 사용해야 합니다.

비밀번호를 변경하고 싶을 때

기존 공격자가 아닌 다른 사람이 귀하의 계정에 액세스할 수 있는 경우 비밀번호를 변경하면 도움이 될 수 있습니다. 예를 들어, Netflix 로그인 자격 증명을 전과 공유했다고 가정해 보겠습니다. 귀하는 비밀번호를 변경하여 그들이 귀하의 계정을 영원히 사용할 수 없도록 하고 싶을 것입니다. 또는 가까운 사람이 귀하의 이메일 또는 Facebook 비밀번호에 액세스하여 귀하의 비밀번호를 사용하여 귀하를 염탐했다고 가정해 보겠습니다. 암호를 변경할 때 주로 이러한 종류의 계정 공유 및 스누핑을 방지하는 것이지 지구 반대편에 있는 누군가가 액세스 권한을 얻는 것을 방지하는 것이 아닙니다.

정기적인 암호 변경은 일부 작업 시스템에서도 유용할 수 있지만 신중하게 사용해야 합니다. IT 관리자는 정당한 이유가 없는 한 사용자에게 비밀번호를 계속 변경하도록 강요해서는 안 됩니다. 사용자는 약한 비밀번호를 사용하기 시작하거나 비밀번호를 적어 두거나 두 개의 즐겨찾는 비밀번호 사이를 왔다 갔다 할 수 있습니다.

관련: Heartbleed 설명: 지금 비밀번호를 변경해야 하는 이유

물론 특정 이벤트에 대한 응답으로 비밀번호를 변경하는 것은 좋은 일입니다. Heartbleed에 취약했지만 지금은 패치된 웹사이트에서 비밀번호를 변경하는 것이 좋습니다. 웹사이트에서 비밀번호 데이터베이스를 도난당한 후 비밀번호를 변경하는 것도 좋은 생각입니다.

다른 웹사이트의 비밀번호를 재사용하는 경우 해당 사이트 중 하나가 손상된 경우 해당 사이트의 비밀번호를 모두 변경하는 것이 좋습니다. 그러나 이것은 당신이 할 수 있는 최악의 일입니다. 여기에서 진정한 해결책은 사용하는 모든 서비스에서 공유 암호를 새 암호로 지속적으로 변경하지 않고 고유한 암호를 사용하는 것입니다.

유용한 조언에 집중

관련: How-To Geek에게 물어보세요: 비밀번호를 적어두는 것이 왜 잘못된 건가요?

사람들에게 정기적으로 비밀번호를 변경하도록 조언하는 것의 문제점은 그것이 너무 주의를 산만하게 하는 조언이라는 것입니다. 모든 곳에서 강력하고 고유한 비밀번호를 사용하는 것은 비밀번호 관리자를 사용하여 비밀번호를 기억하지 않는다면 이미 거의 불가능한 조언입니다. 이중 인증은 누군가가 귀하의 비밀번호를 훔쳐도 귀하의 계정에 액세스하는 것을 방지할 수 있으므로 유용합니다. 사람들에게 정기적으로 비밀번호를 변경하라고 말하기보다는 "모든 곳에서 고유한 비밀번호를 사용하십시오"와 같은 유용한 조언을 전달해야 합니다. 현재 대부분의 사람들은 하지 않습니다.

이것은 우리가 동의하지 않는 유일한 조언이 아닙니다. 대부분의 가정 사용자에게 비밀번호를 적어 두는 것은 실제로 나쁜 생각이 아닙니다. 모든 곳에서 동일한 비밀번호를 재사용하는 것보다 확실히 낫습니다.

정기적이고 무분별한 비밀번호 변경에 대해 조언하는 것은 우리뿐만이 아닙니다. 보안 전문가인 Bruce Schneier는 정기적으로 암호를 변경하는 것이 좋은 조언이 아닌 이유에 대해 썼고 Microsoft Research에서는 정기적으로 암호를 변경하는 것은 시간 낭비라고 결론지었습니다. 예, 이렇게 하고 싶을 수 있는 상황이 있습니다. 그러나 "3개월마다 비밀번호를 변경하십시오"와 같은 조언을 일반 컴퓨터 사용자에게 전달하는 것은 득보다 실이 더 많습니다.

이미지 크레디트: Flickr의 rochelle hartman, Flickr의 Lulu Hoeller, Flickr의 Joanna Poe, Flickr의 snoopsmaus, Flickr의 medithIT