NIST Scraps Passwords Complexity and Mandatory Changes
NIST Scraps Passwords Complexity and Mandatory Changes
The institute no longer requires regular password changes unless the authenticator has been compromised
www.infosecurity-magazine.com
- 주요 내용
- 미국 국립표준기술연구소(NIST) 는 비밀번호 관리에 관한 새로운 지침을 발표하며 복잡한 비밀번호 요구사항 및 정기적인 비밀번호 변경을 더 이상 최선의 관리 방법으로 권장하지 않음
- 새로운 지침에 따르면 여러 가지 문자 유형을 혼합하는 비밀번호 사용과 주기적인 비밀번호 변경은 이제 필요하지 않음
- 다만, 인증 정보가 침해된 경우 비밀번호 변경이 요구됨
- 지식 기반 인증(KBA) 이나 보안 질문을 통한 비밀번호 선택도 금지됨
- 세부 사항
- 이번 결정은 미국 연방거래위원회(FTC) 나 마이크로소프트와 같은 공공 및 민간 기관이 오랫동안 권장해 온 원칙을 공식화한 것
- 비밀번호는 최소 8자 이상이어야 하며, 가능하다면 최소 15자 이상의 비밀번호를 권장
- 비밀번호는 최대 64자까지 허용해야 하며, ASCII 및 유니코드 문자를 포함할 수 있어야 함
- 배경 및 의의
- 이번 지침은 2024년 9월 발표된 NIST SP 800-63-4의 두 번째 공개 초안의 일환으로, 최신 디지털 인증 지침의 일부임
- NIST는 2020년에 이전 비밀번호 지침을 발표한 바 있음, 이번 업데이트는 비밀번호 관리 관행의 현대적 변화를 반영
- 비밀번호 관리의 복잡성을 줄이고 사용자의 부담을 완화시키는 동시에 보다 길고 안전한 비밀번호 사용을 장려하는 방향으로 바뀌었다는 점에서 의미가 큼
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 과기부 산하기관 신규 해킹 취약점 50건 발견 (2) | 2024.09.28 |
|---|---|
| 델, 연이은 정보 유출 사고에도 침묵… 보안 위협 심화 (0) | 2024.09.28 |
| 국가 SW 공급망 보안정책 마련 위한 태스크포스 발족 (1) | 2024.09.27 |
| 새로운 Rust 기반 Splinter에 대한 경고 (1) | 2024.09.27 |
| Mozilla의 PPA 기능 도입에 따른 개인정보보호 논란 (0) | 2024.09.27 |