블로그
비밀번호와 보안, 그리고 우리가 배운 것 대부분이 틀렸던 이유에 관한 글.
비밀번호란 무엇인가, 그리고 우리는 왜 육십 년째 틀리고 있는가
컴퓨터 비밀번호는 1961년 MIT에서 태어났다. 첫 유출은 그 이듬해였고, 범인은 범죄자가 아니라 계산 시간을 더 원한 학생이었다. 우리가 모두 배운 규칙이 왜 나빴는지 — 그리고 어디서 왔는지에 관한 이야기.
password.es가 당신의 비밀번호를 어디로도 보내지 않는 이유
어떤 사이트든 페이지에 “비밀번호를 저장하지 않습니다”라고 적을 수 있다. 공짜고, 아무것도 강제하지 않고, 확인할 방법도 없다. 정직한 출구는 하나뿐이다. 그 데이터를 필요로 하지 않는 것. 모든 계산은 당신의 브라우저 안에서 끝나고, 여기서는 우리를 믿지 않고도 개발자 도구를 열어 직접 확인하는 방법을 알려준다.
비밀번호 관리자 vs 당신의 기억: 살아남은 단 하나의 규칙
비밀번호에 대해 배운 것들 중 살아남은 규칙은 딱 하나입니다. 사이트마다 다르게 쓸 것. 그런데 아무도 지키지 않죠. 당신의 기억력이 거기까지 버텨주지 않으니까요. 관리자는 편의 도구가 아닙니다. 그 규칙을 비로소 가능하게 만들어주는 물건입니다.
패스키: 존재하지 않는 비밀번호
수십 년 동안 우리는 비밀번호를 더 알아맞히기 어렵게 만들려고 애썼다. 패스키는 다른 일을 한다. 서버가 보관해야 했던 비밀 자체를 치워 버린다. 사이트에는 훔쳐 가도 아무 쓸모 없는 공개 키만 남고, 피싱은 작동을 멈춘다. 물론 전부를 고치지는 못한다.
보안 질문은 당신이 고르지 않은 비밀번호다
보안 질문은 결함이 셋인 비밀번호다. 당신이 고르지 않았고, 남들이 맞힐 수 있고, 대개 어딘가 공개된 문서에 적혀 있다. 2015년 구글이 실제 데이터로 측정했더니 결과는 양쪽에서 참혹했다. 맞히기도 쉽고, 잊어버리기도 쉽다. 자신을 지키겠다고 거짓말한 사람은 결국 자기 계정에 못 들어간다.
2FA: SMS는 왜 좋은 것들 중 최악인가
SMS 2FA를 켜는 것은 오늘 당신이 내릴 수 있는 가장 좋은 결정 중 하나이자, 가장 먼저 다시 검토해야 할 결정이다. 약점은 암호화에도, 당신 휴대폰에도 없다. 통신사에서 전화를 받는 사람에게 있다. SMS에서 보안 키까지, 계단 전체를 정리했다.