회사에서 연례 보안 교육 받았는데, 비밀번호 관련 내용이 유익해서 정리해본다. 강사가 비밀번호 생성기 쓰라고 강력 추천하더라.
절대 쓰면 안 되는 비밀번호
개인정보 기반: 생년월일, 전화번호, 이름 이니셜. 해커가 SNS만 뒤져도 알 수 있는 정보들이다. 회사 이름, 부서명도 마찬가지. 키보드 패턴(qwerty, 1234)도 당연히 안 된다.
강력한 비밀번호 조건
- 최소 12자리 이상
- 영문 대소문자, 숫자, 특수문자 모두 포함
- 사전에 있는 단어 사용 금지
- 이전에 쓴 비밀번호 재사용 금지
- 다른 사이트 비밀번호와 동일하면 안 됨
암기 가능한 복잡한 비밀번호 만들기
문장을 비밀번호로 바꾸는 방법이 있다. "나는 2024년에 회사에 입사했다!"를 "N2024nHs!p!" 이런 식으로. 근데 솔직히 이것도 여러 개 만들면 헷갈린다. 그냥 생성기로 만들고 관리 프로그램 쓰는 게 편하다.
주기적 변경은 필수 아님
예전에는 3개월마다 바꾸라고 했는데, 최근 NIST 가이드라인은 유출 의심될 때만 바꾸라고 한다. 너무 자주 바꾸면 오히려 기억하기 쉬운 패턴으로 만들게 되어서 더 위험하다고.
보안 교육의 핵심
비밀번호 생성기로 복잡하게 만들고, 사이트마다 다르게, 관리 앱에 저장. 이 세 가지만 지켜도 기본은 된다. 2단계 인증까지 하면 완벽에 가깝다.
마무리 정리
비밀번호 생성기로 복잡하게 만들고, 관리 앱에 저장하고, 2단계 인증 걸어두는 것. 이 세 가지가 개인 보안의 기본이다. 귀찮아도 지금 시작하면 나중에 편하다. 한 번 털리면 그 수습이 훨씬 힘들다.