암호 정책

Password policy
Wikimedia 간 암호 강도에 대한 정책은 m:암호 정책을 참조하십시오.

암호 정책은 사용자가 강력한 암호를 사용하고 적절하게 사용하도록 권장하여 컴퓨터 보안을 강화하기 위해 고안된 규칙 집합이다. 비밀번호 정책은 종종 조직의 공식 규정의 일부분이며 보안 인식 교육의 일부로 가르쳐질 수 있다. 암호 정책은 권고사항일 뿐이거나, 컴퓨터 시스템이 사용자들로 하여금 이를 따르도록 강요한다. 일부 정부는 암호에 대한 요건을 포함하여 정부 서비스에 대한 사용자 인증 요건을 정의하는 국가 인증 프레임워크를[1] 가지고 있다.

NIST 지침

미국 상무부 국립표준기술원(NIST)이 널리 지켜온 암호 정책에 대해 두 가지 기준을 내놓았다.

2004

2004년부터 「NIST 특별 간행물 800-63」. 부록 A"[2]는 사람들에게 불규칙한 대문자, 특수 문자 및 최소한 하나의 숫자를 사용하도록 권고했다. 또한 최소한 90일마다 정기적으로 비밀번호를 변경할 것을 권고했다. 이는 대부분의 시스템이 따라야 하는 조언이었고, 기업이 따라야 할 수많은 표준에 "착용"되어 있었다.

2017

그러나, 2017년 주요 업데이트는 특히 복잡성과 정기적인 변경을 강요하는 것이 현재 나쁜 관행으로 보여진다는 이 조언을 변경했다.[3][4]: 5.1.1.2

이러한 요점은 다음과 같다.

  • 검증자는 다른 문자 유형의 혼합물을 요구하거나 연속적으로 반복되는 문자를 금지하는 등 구성 규칙을 적용해서는 안 된다.
  • 확인자는 이전 90일 규칙과 같이 암호를 임의 또는 정기적으로 변경할 것을 요구하지 않아야 한다.
  • 암호의 길이는 8자 이상이어야 함
  • 암호 시스템은 가입자-초센 암호를 최소 64자로 허용해야 한다.
  • 모든 인쇄 ASCII 문자, 공백 문자 및 유니코드 문자가 암호에서 허용되어야 함
  • 확인자는 비밀번호를 설정하거나 변경할 때 가입자가 취약하거나 손상된 비밀번호를 선택한 경우 다른 비밀번호를 선택할 필요가 있음을 통지하여야 한다.
  • 검증자는 사용자가 강력한 암호를 선택할 수 있도록 암호 강도 측정기와 같은 지침을 제공해야 한다.
  • 확인자는 오프라인 공격에 내성이 있는 형태로 비밀번호를 저장해야 한다. 암호는 적절한 단방향 키 유도 함수를 사용하여 소금에 절이고 해싱해야 한다. 키 파생 함수는 암호, 소금 및 비용 계수를 입력으로 사용한 후 암호 해시를 생성한다. 그들의 목적은 비밀번호 해시 파일을 획득한 공격자에 의한 각각의 비밀번호 추측 재판을 비싸게 만들고, 따라서 추측 공격의 비용이 높거나 엄청나게 들게 하는 것이다.

NIST는 부록 A에 새로운 지침에 대한 근거를 포함시켰다.

양상

암호 정책의 일반적인 구성 요소:

암호 길이 및 형성

참고 항목: 암호 강도

대부분의 정책은 최소 비밀번호 길이를 요구한다. 8자가 전형적이지만 적절하지 않을 수 있다.[5][6][7] 긴 비밀번호는 일반적으로 더 안전하지만, 일부 시스템은 기존 시스템과의 호환성을 위해 최대 길이를 부과한다.

일부 정책은 다음과 같이 사용자가 선택할 수 있는 암호 유형에 대한 요구사항을 제안하거나 부과한다.

  • 대문자와 소문자 모두 사용(대소문자 민감도)
  • 하나 이상의 숫자 자리 포함
  • @, #, $와 같은 특수 문자 포함
  • 암호 차단 목록에 있는 단어 금지
  • 사용자의 개인정보에서 발견된 단어의 금지
  • 회사명 또는 약칭의 사용 금지
  • 달력 날짜, 번호판 번호, 전화 번호 또는 기타 공통 번호 형식과 일치하는 암호 금지

다른 시스템들은 사용자를 위한 초기 비밀번호를 만들지만, 그 비밀번호를 짧은 간격 내에 그들 자신의 선택사항 중 하나로 변경하도록 요구한다.

암호 차단 목록

비밀번호 차단 목록은 항상 사용이 차단되는 비밀번호 목록이다. 블록 목록에는 달리 회사 정책에 부합하는 문자 조합으로 구성된 암호가 포함되지만, 쉽게 추측하거나 공통 패턴을 따르거나 이전 데이터 위반으로 인한 공개 하나 이상의 이유로 인해 불안정하다고 간주되어 더 이상 사용해서는 안 된다. 일반적인 예로는 Password1, Qwerty123 또는 Qaz123wsx가 있다.

암호 기간

일부 정책은 사용자가 90일 또는 180일마다 정기적으로 비밀번호를 변경하도록 요구한다. 그러나 암호 만료의 이점은 논쟁의 여지가 있다.[8][9] 이러한 정책을 구현하는 시스템은 사용자가 이전 선택과 너무 가까운 비밀번호를 선택하는 것을 방해하기도 한다.[10]

이 정책은 종종 역효과를 낳을 수 있다. 일부 사용자들은 기억하기 쉬운 "좋은" 패스워드를 고안하는 것을 어려워하기 때문에, 만약 사람들이 비밀번호를 자주 변경해야 하기 때문에 많은 패스워드를 선택해야 한다면, 그들은 결국 훨씬 더 약한 패스워드를 사용하게 된다; 이 정책은 또한 사용자들에게 패스워드를 기록하도록 권장한다. 또한, 이 정책이 사용자가 최근 암호를 반복하지 못하게 하는 경우, 이것은 모든 사용자의 최근 암호(또는 해시)를 메모리에서 지우는 대신, 모든 사용자의 최근 암호(또는 해시)가 존재하는 데이터베이스가 있어야 한다. 마지막으로, 사용자는 몇 분 안에 비밀번호를 반복적으로 변경한 후, 비밀번호 변경 정책을 완전히 우회하여 사용하고자 하는 비밀번호로 변경할 수 있다.

암호의 인간적인 측면도 고려해야 한다. 컴퓨터와 달리 인간 사용자는 하나의 메모리를 삭제하고 다른 메모리로 대체할 수 없다. 따라서 암기된 암호를 자주 변경하면 인간의 기억력에 부담이 되며, 대부분의 사용자는 비교적 쉽게 추측할 수 있는 암호를 선택한다(암호 피로 참조). 사용자는 복잡한 비밀번호를 기억하기 위해 니모닉 기기를 사용하는 것이 좋다. 그러나 암호를 반복적으로 변경해야 할 경우 사용자가 어떤 니모닉을 사용해야 하는지 기억하지 못하기 때문에 니모닉은 무용지물이다. 더욱이 니모닉("2BOrNot2B"와 같은 암호로 연결)을 사용하면 암호를 추측하기가 더 쉽다.

행정 요인도 쟁점이 될 수 있다. 사용자들은 때때로 비밀번호 기간이 만료되기 전에 사용된 비밀번호를 필요로 하는 오래된 기기를 가지고 있다.[clarification needed] 이러한 구형 기기를 관리하기 위해 사용자는 구형 기기에 로그인해야 하는 경우 모든 구형 비밀번호를 기록해야 할 수 있다.

매우 강력한 암호를 요구하고 변경하지 않는 것이 종종 더 낫다.[11] 그러나 이러한 접근방식은 큰 단점이 있다: 허가받지 않은 사람이 비밀번호를 취득하여 탐지되지 않고 사용할 경우, 그 사람은 무기한으로 접근할 수 있다.

이러한 요소들을 따져볼 필요가 있다: 비밀번호가 약하기 때문에 추측할 수 있는 가능성, 또는 추측하지 않고 비밀번호가 강할 수 있는 가능성.

브루스 슈나이어는 "기억할 수 있는 것은 거의 다 금이 갈 수 있다"고 주장하며, 어떤 사전에도 등장하지 않을 암호를 사용하는 계획을 추천한다.[12]

제재

비밀번호 정책은 경고로 시작하여 컴퓨터 특권 상실 또는 업무 종료로 끝날 수 있는 점진적 제재를 포함할 수 있다. 예를 들어, 기밀 정보가 있는 경우와 같이 법에 의해 기밀성이 요구되는 경우, 비밀번호 정책을 위반하는 것은 형사 범죄가[citation needed] 될 수 있다. 일각에서는[who?] 안보의 중요성에 대한 설득력 있는 해명이 제재[citation needed] 위협보다 더 효과적이라고 보고 있다.

선정과정

필요한 암호 강도의 수준은 무엇보다도 공격자가 여러 개의 추측을 제출하는 것이 얼마나 쉬운지에 따라 달라진다. 일부 시스템은 사용자가 일부 지연이 발생하거나 계정이 정지되기 전에 잘못된 암호를 입력할 수 있는 횟수를 제한한다. 다른 극단에서는, 어떤 시스템에서는 누구나 그 유효성을 확인할 수 있도록 특별히 해시된 버전의 암호를 사용할 수 있게 한다. 이렇게 하면 공격자는 매우 빠르게 비밀번호를 시도할 수 있다. 따라서 합리적인 보안을 위해 훨씬 강력한 비밀번호가 필요하다. (암호 균열암호 길이 방정식을 참조하십시오.) 루트나 시스템 관리자 계정과 같이 권한이 높은 계정에도 엄격한 요구사항이 적합하다.

사용적합성 고려사항

암호 정책은 대개 이론적 보안과 인간 행동의 실용성 사이의 절충이다. 예를 들면 다음과 같다.

  • 지나치게 복잡한 비밀번호를 요구하고 자주 바꾸도록 강요하는 것은 사용자들로 하여금 컴퓨터 근처의 롤로덱스나 포스트잇처럼 침입자가 찾기 쉬운 곳에 비밀번호를 적어두게 할 수 있다.
  • 사용자들은 관리해야 할 수십 개의 비밀번호를 가지고 있는 경우가 많다. 온라인 신문을 읽고 연예 웹사이트에 접속하는 것과 같은 모든 낮은 보안 어플리케이션에 대해 하나의 패스워드를 사용하는 것이 더 현실적일 수 있다.
  • 마찬가지로, 사용자가 자신의 비밀번호를 절대 기록하지 않도록 요구하는 것은 비현실적일 수 있으며 사용자가 약한 비밀번호를 선택하도록 유도할 수 있다(또는 사용자가 비밀번호를 잊어버렸을 때 많은 불편을 야기할 수 있다). 대안은 서면 암호를 금고나 암호화된 마스터 파일과 같은 안전한 장소에 보관할 것을 제안하는 것이다. 이 접근법의 타당성은 가장 가능성이 높은 위협으로 간주되는 것에 달려 있다. 잠재적 공격자가 보안 저장소에 접근할 수 있는 경우 암호를 적는 것은 문제가 될 수 있지만, 위협이 주로 저장소에 접근할 수 없는 원격 공격자라면 매우 안전한 방법이 될 수 있다.
  • 사용자가 다른 국가에서 컴퓨터에 로그온해야 하는 경우 특수 문자를 포함시키는 것이 문제가 될 수 있다. 일부 특수 문자는 다른 언어를 위해 설계된 키보드에서 찾기가 어렵거나 불가능할 수 있다.
  • 일부 신원 관리 시스템에서는 셀프 서비스 비밀번호 재설정을 허용하는데, 여기서 사용자는 '어디서 태어났니', '좋아하는 영화가 뭐니' 등 하나 이상의 보안 질문에 대한 답변을 제공해 비밀번호 보안을 우회할 수 있다. 종종 이러한 질문에 대한 답은 사회공학, 피싱 또는 간단한 연구에 의해 쉽게 얻을 수 있다.

2010년 75개의 다른 웹사이트의 비밀번호 정책에[13] 대한 조사는 보안이 부분적으로만 더 엄격한 정책을 설명한다고 결론짓는다: 정부 사이트와 같은 서비스의 독점 제공자는 소비자가 선택할 수 있는 사이트(예: 소매 사이트와 은행)보다 더 엄격한 정책을 가지고 있다. 이 연구는 보다 엄격한 정책을 가진 사이트들이 "더 큰 보안 문제를 가지고 있지 않으며, 사용성 저하로 인한 결과로부터 더 잘 격리되어 있다"고 결론짓는다.

일반적으로 단순한 비밀번호보다 더 안전하다고 간주되는 다른 접근법이 이용 가능하다. 여기에는 S/Key와 같은 보안 토큰 또는 일회용 암호 시스템의 사용 또는 다중 요소 인증이 포함된다.[14] 그러나 슈만 고세마점더에 따르면 이러한 시스템은 보안과 편의 사이의 절충을 높인다. 이러한 시스템은 모두 보안을 향상시키지만 "최종 사용자에게 부담을 떠넘기는 대가를 치르고" 온다고 한다.[15]

정책 시행

암호 정책이 복잡할수록 사용자가 적절한 암호를 기억하거나 선택하는 데 어려움을 겪기 때문에 정책을 적용하기가 어려울 수 있다.

대부분의 기업들은, 사용자들 어떠한 암호 정책과, 회사 직원들 보건 및을 알고 있어야 하는데 필요한 같은 방식으로 많이 익숙해지기 위하고 안전 규제나 건물 비상구, 하지만 그것은 종종 자신이 관련 정책이 진짜 발생은 automaticall에 시스템 없이 미행하고 있는지 확인하기가 매우 어렵요구할 것이다.y정책을 강요하다 Microsoft Windows와 같은 많은 시스템에서는 암호가 설정된 정책을 시행하는 기본 제공 방법을 사용하도록 요구한다. 이것이 그 정책이 지켜지고 있는지 확인하는 유일한 신뢰할 수 있는 방법이다.

참고 항목

참조

  1. ^ 표준화된 비밀번호 정책을 통한 비밀번호 관리의 사용성 개선. 2012-10-12년에 검색됨
  2. ^ "Electronic Authentication Guideline" (PDF). nist.gov. USG. Retrieved 9 April 2020.
  3. ^ Statt, Nick (7 August 2017). "Best practices for passwords updated after original author regrets his advice". The Verge. Retrieved 9 April 2020.
  4. ^ Grassi Paul A. (June 2017). SP 800-63B-3 – Digital Identity Guidelines, Authentication and Lifecycle Management. NIST. doi:10.6028/NIST.SP.800-63b. Public Domain 글은 공개 도메인에 있는 이 출처의 텍스트를 통합한다..
  5. ^ "Password Complexity Requirements". The Bug Charmer. September 7, 2012.
  6. ^ "How long should passwords be?". The Bug Charmer. June 20, 2016.
  7. ^ John D. Sutter (August 20, 2010). "How to create a 'super password'". CNN. Retrieved August 31, 2016.
  8. ^ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  9. ^ spaf (April 19, 2006). "Security Myths and Passwords". CERIAS.
  10. ^ "Tip: Best Practices for Enforcing Password Policies". Microsoft. Retrieved 2018-03-01.
  11. ^ Yinqian Zhang; Fabian Monrose; Michael K. Reiter (2010). The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis (PDF). Proceedings of the 17th ACM conference on Computer and communications security. New York, NY, US. pp. 176–186. doi:10.1145/1866307.1866328.
  12. ^ "Choosing Secure Passwords". BoingBoing. March 2014 – via Schneier on Security.
  13. ^ 보안 정책은 어디에서 왔는가? Proc. 동정심. 사용 가능한 개인 정보 보호 및 보안, 2010
  14. ^ spaf (May 11, 2006). "Passwords and Myth". CERIAS.
  15. ^ Rosenbush, Steven; Norton, Steven (May 27, 2015). "For CISOs, IRS Breach Highlights Tension Between Security and User Convenience". The Wall Street Journal.