회사에서 90일마다 비밀번호 바꾸라고 강제한다. 바꿀 때마다 비밀번호 생성기로 새로 만드는데, 솔직히 이게 정말 보안에 도움이 되는지 의문이었다.
강제 변경 정책의 문제점
너무 자주 바꾸라고 하면 사람들이 예측 가능한 패턴을 쓴다. "Password1", "Password2", "Password3" 이런 식으로. 오히려 보안이 약해질 수 있다. NIST도 최근에는 강제 주기적 변경을 권장하지 않는다.
그래도 회사 정책이니까
내가 정책을 바꿀 수는 없으니 따라야 한다. 생성기로 완전히 새로운 랜덤 비밀번호를 만들고, 비밀번호 관리 앱에 저장한다. 패턴 만들지 않는 게 중요하다.
변경 알림 관리
만료 2주 전에 알림 설정해둔다. 갑자기 만료되면 급하게 바꾸느라 단순한 비밀번호 쓰게 된다. 여유 있을 때 천천히 좋은 비밀번호로 바꾸자.
이전 비밀번호 기록
시스템에서 "최근 5개 비밀번호 재사용 금지" 같은 규칙이 있다. 이전 비밀번호도 기록해두면 실수로 재사용하려다 거절당하는 일을 피할 수 있다.
강제 변경의 대안
회사 정책 바꾸기는 어렵지만, 개인 계정은 본인이 결정할 수 있다. 유출 의심 없으면 굳이 자주 안 바꿔도 된다. 복잡한 비밀번호 + 2단계 인증이 더 중요하다.
바꿀 때 기록
회사든 개인이든 비밀번호 변경할 때마다 날짜와 함께 기록해두자. 나중에 "마지막으로 언제 바꿨더라?" 고민 안 해도 된다.
마무리 정리
비밀번호 생성기로 복잡하게 만들고, 관리 앱에 저장하고, 2단계 인증 걸어두는 것. 이 세 가지가 개인 보안의 기본이다. 귀찮아도 지금 시작하면 나중에 편하다. 한 번 털리면 그 수습이 훨씬 힘들다.