어떤 사람들은 암호의 죽음에 대해 이야기하는 것을 멈출 수 없습니다. 암호는 오래되고 안전하지 않으며 쉽게 유출됩니다. 곧 우리 모두 생체 인식, 하드웨어 보안 키 및 기타 미래형 솔루션을 사용할 것입니다. 맞습니까? 글쎄, 그렇게 빠르지는 않습니다.
우리는 1Password 보안 책임자 인 Jeffery Goldberg는 "이번에는 암호 문제가 움푹 패인 것을 볼 수있을 것이라고 조심스럽게 낙관합니다."라고 말했습니다.
이것은 낙관적 인 견해이며 암호의 죽음과는 거리가 멀습니다.
사람들이 암호를 죽이려는 이유
회사의 목표 인“ 암호없이 세상을 만들고, ”2018 년 5 월 Microsoft의 보안 팀은 다음과 같이 썼습니다.
“암호를 좋아하는 사람은 없습니다. 불편하고 안전하지 않으며 비용이 많이 듭니다. 사실 우리는 그것들이 너무 싫어서 암호가없는 세상을 만들기 위해 노력하고 있습니다. "
암호는 시간이 지남에 따라 더욱 성가 시게되었고 우리 모두 암호를 재사용하는 위험에 대해 현명 해졌습니다. 여러 사이트에서 동일한 비밀번호를 사용하고 비밀번호가 유출 된 경우 다른 웹 사이트에서 계정에 액세스하는 데 사용할 수 있습니다. 따라서 사용하는 각 서비스에 대해 강력하고 고유 한 암호를 선택해야합니다. 소수의 웹 사이트에서 짧고 간단한 비밀번호를 재사용하던 시대는 지났습니다.
초인적 인 기억이없는 대부분의 사람들은 모든 온라인 계정에 대해 강력하고 고유 한 비밀번호를 기억하는 것이 불가능합니다. 그래서 암호 관리자를 권장합니다 — 사용자를 위해 강력하고 고유 한 모든 암호를 기억합니다. 100을 기억하는 것보다 훨씬 쉽고 동일한 암호를 재사용하는 것보다 훨씬 더 안전한 마스터 암호를 기억하기 만하면됩니다.
하지만 비밀번호 관리자가 있어도 완전히 안전하지는 않습니다. 누군가 키로거 시스템에서 암호를 캡처하고 로그인 할 수 있습니다. 이것이 서비스가 추가 보안을 추가하는 이유입니다. 우리는 종종 암호를 입력 한 다음 코드 나 키로 두 번째 인증을 받아야합니다.
더 좋은 방법이 있습니까?
암호를 대체 할 수있는 것은 무엇입니까?
Goldberg는 지난 20 년 동안 암호를 죽이겠다고 제안한 "계획 후 계획"을 본 적이 있다고 말했습니다.이 중 대부분은 과거에 실패한 것을 배우지 못했습니다. 그러나 최신 제품은 더 강력한 로컬 장치와 같은 발전으로 인해 성공할 가능성이 더 높습니다.
생체 인식은 암호를 대체 할 수 있습니다. PIN을 입력하는 대신 Touch 또는 Face ID (생체 인식)를 사용하여 iPhone에 로그인 할 수 있습니다. Android 휴대 전화에는 지문 및 얼굴 로그인 기능도 있습니다.
이제 "암호없는"Microsoft 계정 생성 Windows에 로그인합니다. 사용자 이름은 전화 번호이고 입력 한 "비밀번호"는 SMS를 통해 전화 번호로 전송되는 코드입니다.
당신은 또한 사용할 수 있습니다 물리적 보안 키 온라인 계정을 인증하기위한 암호 대신. 키는 휴대하고 (키 체인에 보관할 수도 있음) 로그인 할 때 USB, NFC 또는 블루투스를 통해 사용할 수 있습니다.
전화로도 암호를 바꿀 수 있습니다. Google은 이제 Android 기기가 FIDO2 키로 작동하도록 허용합니다. . 노트북에서 웹 사이트에 로그인 할 때 휴대 전화에서 지문으로 인증해야 할 수도 있습니다.
많은 회사에서 "싱글 로그인"공급자를 제공하여 암호에 대한 의존도를 낮추려고합니다. 이것은 Facebook, Google 등에 로그인 한 다음 해당 계정을 사용하여 다른 서비스에 로그인하는 경우이며 추가 비밀번호가 필요하지 않습니다.
암호 "대체"가 암호를 대체하지 않음
하지만 여기에는 큰 문제가 있습니다. 암호 "교체"로 선전되는 기술은 적어도 아직까지는 실제로 대체되지 않습니다.
Face 또는 Touch ID와 같은 생체 인식은 여전히 기기에 암호와 Apple ID 암호가 모두 필요합니다. 일부 작업에는 백그라운드 암호화 용도로도 PIN이 필요합니다. Android의 생체 인식 기능과 Windows 10의 Windows Hello는 기본적으로 편의 기능과 동일한 방식으로 작동합니다. 매번 암호를 입력 할 필요가 없기 때문에 기기에 로그인하는 것이 더 쉽습니다. 바꾸다 너의 비밀번호.
전화 코드를 보내는 비밀번호없는 계정도 좋지 않습니다. 이 서비스는 귀하의 계정에 대해 하나의 암호가 아닌 로그인을 시도 할 때마다 새 암호를 생성하여 SMS를 통해 귀하에게 보냅니다. 이것은 단일 암호와 로그인 할 때 전송되는 보안 코드의 기존 방법보다 덜 안전합니다.
안타깝게도 공격자는 여러 상황에서 쉽게 전화 번호를 훔쳐가므로 보안 수준이 떨어집니다. 전화 번호가 유비쿼터스 인 국가의 사람들에게 다가 갈 수있는 좋은 방법이며 계정 가입의 마찰을 줄여주기 때문에 Amazon에서도이를 제공합니다. 그러나 암호를 교체하는 것은 좋은 해결책이 아닙니다.
물리적 보안 키를 채택한 대부분의 서비스는이를 다음과 같이 사용합니다. 추가 인증 옵션 . 여전히 암호로 로그인 한 다음 보안 키를 2 차 확인으로 제공하여 로그인합니다. 암호없이 키를 사용할 수있는 기능은 아직 멀었습니다.
싱글 사인온 서비스에도 개인 정보 보호 문제가 있습니다. "Google로 로그인"또는 "Facebook으로 로그인"을 클릭하면 서비스 운영자 (Google 또는 Facebook)가 사용자가 로그인하는 항목을 알고 있습니다.
항상 암호가 있음 (백그라운드에서)
비밀번호를 휴대 전화로 바꾸려는 Google의 꿈이 실현 되더라도 비밀번호가 사라지지는 않습니다. 더 버지 다음과 같이 Google의 계획을 요약했습니다. "이미 휴대 전화에 로그인 한 상태라면 Google 계정에 로그인하려는 다음 기기를 '부트 스트랩'하는 데 사용할 수 있습니다."
오랫동안 비밀번호 사용을 피할 수 있지만 여전히 백그라운드에 있습니다. 결국 모든 장치를 잃어버린 경우 필요합니다.
암호는 여전히 널리 퍼져 있습니다. 설정 및 사용이 쉽습니다. 암호 "교체"는보다 편리하거나 추가 보안을 제공합니다. 하지만 기기를 분실하여 생체 인식 또는 하드웨어 보안을 사용할 수없는 경우 항상 액세스 권한을 다시 얻을 수있는 방법이 필요합니다.
1Password의 최고 운영 책임자 인 Matt Davey는 "암호를 요구하는 극한 사례는 항상있을 것이라고 생각합니다."라고 말했습니다. 예 : Apple로 로그인 iOS 13 비 Apple 기기에서 로그인 할 때 Apple ID 암호를 사용하는 웹 기반 로그인 옵션을 제공합니다. 비밀번호는 어디서나 작동하며 고급 생체 인식 또는 하드웨어 보안 기능을 사용할 수없는 경우 보편적 인 기본값입니다.
Goldberg가 말했듯이 웹 사이트에서 "비밀번호는 정말 정말 쉽습니다." "여전히 서비스 사업자가 사용하기에 가장 간단한 방법입니다."
이것이 바로 1Password가 암호 관리자의 미래에 낙관적 인 이유입니다. 이 회사는 경쟁이 치열 해지면서 더 많은 신규 사용자를 보았고 Apple, Google 및 Mozilla와 같은 회사는 암호 관리에 대해 더 진지하게 생각한다고 말했습니다.
미래는 어떻게 될까요?
암호를 죽이는 꿈은 먼 길입니다. 프로세스가 잘 진행 되더라도 가장 좋은 시나리오는 비밀번호 대신 더 쉬운 대안을 사용하여 천천히 앞으로 나아갈 것입니다.
언젠가는 비밀번호가 백그라운드로 너무 강등되어 오랫동안 잊혀진 계정 복구 방법이 될 수 있습니다. 그러나 그들은 아마 오랫동안 주변에있을 것입니다. 대다수의 사람들을 위해 일상적인 사용에서 그들을 추방하기위한 전투는 길고 힘들 것입니다. 하지만 암호를 완전히 죽이는 건가요? 상상하기 훨씬 더 어렵습니다.
