암호에 특수문자 등을 강요하는건 쓸데없는 짓

#보안

현재 수많은 사이트에서 회원가입을 하려면, 비밀번호에 특수문자를 넣으라고 강요하는 곳이 대단히 많다. 대소문자에 숫자까지 강요하는 곳도 있고.

근데 이건 사용자 편의성만 떨어뜨리고 보안에는 별 도움이 안되는 방식이다.

애초에 특수문자+대소문자의 비밀번호 형태를 제안한 사람이 '빌 버'라는 사람인데.
이 양반부터가 이 체계가 쓸데없는 미신이었음을 인정했다.

특수문자같은거 넣으라 해봐야 대부분의 사람들은 '!'같은 단순한 것들만 대충 박아넣고 마는데. 이는 기본적인 딕셔너리에 들어있으므로 그냥 바로 노출될 수 있다는 것이다.

그리고 자꾸 저런 규칙을 부여하는것보단, 그냥 비밀번호를 자주 바꾸는게 제일 좋다고 말한다.

기사 원문
"""
로그인할 때 비밀번호는 보통 영어, 숫자, 특수문자 등으로 구성되어 있는데요, 해커들로부터 계정을 보호하려고 이런 규칙이 만들어졌는데 사실 보안에는 큰 도움이 안 되는 것으로 밝혀졌습니다.

해킹당하고 싶지 않으면 이렇게 패스워드를 만들라고 한 사람은 미국의 '빌 버'라는 사람입니다.

그가 2003년 미 국립 표준 기술연구소에서 일하던 당시 만들어진 보고서가 있는데 계정을 보호하기 위해 지켜야 할 패스워드 생성 규칙을 담고 있습니다.

이 문서는 미국 정부, 대기업 등 곳곳에 퍼져 패스워드 가이드라인으로 자리 잡았고 우리나라도 대부분 따르고 있죠.

그런데 이걸 만든 빌 버가 이 규칙을 만든 걸 후회하고 있다고 밝혔습니다. 그가 만든 규칙이 보안 수준을 높이는데 별 도움이 안 되는 것으로 밝혀졌기 때문입니다.

특수문자나 숫자를 섞어 쓰라고 한 건 암호를 복잡하게 만들어 해커들이 해킹하기 어렵게 만들 목적이었는데 예상과 달리 사람들은 단순한 방식으로 패스워드를 만들었던 겁니다.

끝에 느낌표나 물음표를 추가하는 식이고, 심지어 특수문자를 사용하는 것만으로는 보안이 강화되는 것도 아니었습니다.

90일마다 패스워드를 바꾸는 것 역시 대부분 끝자리 하나만 바꾸는 등 큰 변화 없이 이뤄져 효과가 없었습니다.

해킹 시도 흔적이 있다면 패스워드를 바꾸는 것만으로도 충분하다고요. 기억하기 어렵고 입력하기도 불편하다는 평가만 받은 이 규칙은 10여 년 만에 바뀌게 되었습니다.
"""