NIST, 비밀번호 관행에 대한 대대적인 정비를 촉구

[성경말씀]

미국 국립표준기술원(National Institute of Standards and Technology)은 사용자가 비밀번호를 업데이트할 만한 정당한 이유가 없는 한 비밀번호를 업데이트할 필요가 없다고 밝혔습니다. (이미지: Shutterstock)

미국 국립표준기술원의 최신 지침에 따르면, 디지털 비밀번호는 최종 사용자가 관리하기에 너무 비논리적이고 어려워졌습니다.

또한 참조: 랜섬웨어 인텔리전스 브리핑: C-레벨을 위한 주요 통찰력

NIST는 최근 디지털 ID 가이드라인의 두 번째 공개 초안인 SP-800-63-4를 발표하여 비밀번호 관행을 전면적으로 개편할 것을 요구했습니다. 새로운 가이드라인 에 따라 최종 사용자는 더 이상 정기적으로 비밀번호를 변경할 필요가 없지만 로그인 정보는 그 어느 때보다 길고 무작위적이어야 합니다.

전문가들은 오랫동안 표준 비밀번호 관행의 전면적인 정비 를 요구해 왔고 , 연방거래위원회는 2016년에 조직에 의무적인 비밀번호 변경을 종료할 것을 촉구했습니다. Microsoft와 같은 선도적인 기술 회사의 최고 기술자와 보안 연구원도 CSP에 비밀번호 만료 표준에서 벗어나도록 촉구하면서, 이 관행이 실제로는 사용자가 더 간단하고 예측 가능한 비밀번호를 만들도록 장려함으로써 보안을 약화시킨다고 경고했습니다.

제안된 권장 사항은 암호 정책 관리자가 로그인에 숫자 하나, 특수 문자 하나, 대문자와 소문자의 조합이 포함되어야 한다는 관념을 버리도록 요구합니다. NIST에 따르면 클라우드 서비스 제공자와 검증자는 대신 암호 길이가 최소 15자여야 하며 인증자가 침해되었다는 증거가 있을 때만 사용자 로그인 정보를 변경하도록 강제해야 합니다.

새로운 권장 사항에 따라 다른 구성 규칙은 필요하지 않으며, 암호 힌트와 보안 질문의 저장도 중단해야 합니다. CSP는 공백 문자를 포함하여 최대 암호 길이를 최소 64자로 허용하도록 권장됩니다.

NIST는 최근 몇 년 동안 비밀번호 지침을 현대화하는 것을 꾸준히 목표로 삼았으며, 처음에는 2019년에 CSP가 임의의 비밀번호 복잡성 요구 사항을 포기할 것을 요구했습니다(참조: NIST의 놀라운 비밀번호 지침 ).

최신 업데이트된 지침에 따르면 CSP에 로그인 정보를 저장하는 사용자는 최소 30일마다 주기적 재인증을 받아야 하며, 비밀번호 이외의 다른 인증 형태 중에서도 다중 요소 암호화 인증을 권장합니다. 사용자의 비밀번호를 저장하는 조직은 NIST 지침에 따라 일반적으로 사용되거나 손상된 비밀번호가 포함된 새로운 차단 목록도 개발해야 합니다.

새로운 NIST 지침은 CSP가 계정 침해를 감지한 후 침해된 비밀번호 및 로그인 정보를 즉시 "중단, 무효화 또는 파기"할 것을 권장합니다. 또한 조직은 사용자에게 백업 인증 방법을 제공하여 계정에 대한 보안 액세스를 회복하도록 권장됩니다.

NIST의 최신 권장 사항은 기관이 이해 관계자와 대중으로부터 디지털 신원 지침을 현대화하기 위한 약 4,000개의 구체적인 의견을 받은 후에 나왔습니다. 기관은 이제 초안 제안에 포함된 일련의 핵심 질문에 대한 피드백을 구하고 있습니다. 여기에는 추가 구현 권장 사항을 포함해야 하는지 여부와 최신 지침을 보다 신속하게 채택할 수 있는 구체적인 지표가 무엇인지가 포함됩니다.

https://www.bankinfosecurity.com/nist-calls-for-major-overhaul-in-typical-password-practices-a-26393

NIST Calls for Major Overhaul in Typical Password Practices

https://www.ekoreanews.co.kr/news/articleView.html?idxno=66362

AI, '비밀번호의 종말' 앞당기나 - 이코리아

https://www.aitimes.com/news/articleView.html?idxno=149044

"양자컴퓨팅 발전으로 모든 암호 기능 상실할 것" - AI타임스