ITGC 진행하면서 또 암호 설정 시 복잡도 규칙을 추가하라는 가이드가 나왔다.
- 영문, 숫자, 특수문자 조합하여 8자리 이상
무차별대입 공격의 대비인데,
현 시점에 웬만한 서비스는 로그인 누적실패에 따른 재시도 횟수제한이 있다.
만약 없다면, 이 장치의 마련이 최우선이다!
이런 장치가 미비하던 시절에는 아래와 유사한 표를 보여주며 '해커가 암호를 알아내는데 몇 초~ 몇 년 걸린다.' 하는 식으로 논리를 전개했었다.
물론 재시도 횟수제한이 없는 개인 엑셀파일이나, 탈취된 인증서 같은 경우, 무한한 부르트포스 공격이 가능하기 때문에 위와 같은 전략이 유효하다. 하지만 2022년 현 시점에 웹서비스 가입자에게 그리 중요한 포인트는 아니다.
다행히 2019년 개편된 KISA 가이드에는 이 복잡도 부분이 약간 완화되고, 다른 사회적 요인들에 대한 부분이 추가되었다.
종합적 사고 없이 보수적으로 들이대는 관습적인 잣대를 경계해야한다.
