Amazon, Reddit, Wikipedia를 비롯한 초 인기 사이트라면 "password1"또는 "hunter2"끔찍한 비밀임을 사용자에게 가르친다 고 생각할지 모른다. 그러나 그렇지 않다. 유력 사이트의 비밀번호 경향을 지난 11 년간 추적 한 한 연구 프로젝트에 따르면, 대부분의 사이트가 암호 대략적인 제약 밖에 부과 않고 대부분 사용자의 도움이되지 않는다.
영국 프리머스 대학의 Steven Furnell는 2007 년에 웹 사이트의 비밀번호 동향 조사를 처음 실시하여 2011 년과 2014 년에도 반복했다. 그리고 이번주 다시 실시했다. 그의 결론은 어떻게?
2018 년의 전체 경향이 2007 년과 거의 변하지 않은 것에 조금 실망했다. 그동안 암호의 선택과 사용의 실패에 대해 많은 기사가 쓰여 왔지만, 올바른 방법의 장려와 의무는 거의 진행되지 않았다.
이 대학의 발표 자료 에 따르면, Google, Microsoft 및 Yahoo가 암호 절차에 관하여는 우수하고, Amazon, Reddit, Wikipedia가 최악이라고 지적하고 있지만, 자세한 내용은 외교적으로 언급을 피하고있다. 다행히 나는 조사 보고서를 입수했기 때문에 이름을 밝혀 보자.
조사 대상이 된 10 대 영어 웹 사이트이다 : Google, Facebook, Wikipedia, Reddit Yahoo, Amazon, Twitter, Instagram, Microsoft Live 및 Netflix.
최악이었던 것은 확실히 Amazon에서이 사이트에 놀라운 가치를 가진 개인 서비스와 진정한 잘못된 암호 제어가 동거하고있다. Wikipedia와 Reddit 제약은 적지 만 어느 사이트도 그다지 중요한 데이터를 보호하는 것은 아니다. Amazon 계정이 악의적 인 해커에 액세스하는 것이 훨씬 위험은 훨씬 크다.
Amazon은 Furnell 노력 비밀번호를 사실상 뭐든지 허용했다. 사용자 이름의 반복, 사용자의 본명, 그리고 영원 불변의 고전 "password"도. (Netflix와 Reddit도 "password"를 통하지 만 Wikipedia는 통과하지 않는다. 반면 Wikipedia는 "b"같은 글자 비밀번호를 용서있다.
제한을 가하고있다 사이트에서 예를 들어 여러 문자 유형을 요구하거나 자주 사용되는 비밀번호를 거부하고있는 곳도 제대로 설명 할 수있는 곳은 드물다. 아무 말도하지 않고 계정을 만들기 시작한 사용자가 암호를 입력하면 더 길어야하지 않는다고 다음에 특정 단어 (사용자 성 등)이 들어 가지 말라라고, 또 특수 문자가 포함되어 있지 않으면 말라 등의 말을 계속한다. 또한 사이트는 가입 할 때와 암호를 변경할 때와에서 요구 사항이 변하는 곳도있다.
왜 처음에 모두 말 아닌가? 그런 의미에서 왜 그렇게 한 몇몇 이유를 설명하지 않는가? 작은 정보 상자에 "Y는 이유로 X가 필요합니다"라고 쓰는 것은 쉬운 일이다. 하지만 어디를 상위 사이트도하고 있지 않다.
이 슬픈 보고서 중 유일한 밝은 빛은 두 요소 인증 (좋은 암호보다 확실히 중요)이 인기를 끌고있다하여 암호 정책의 최악 범 안에도 채용하고있는 곳이있다 (Amazon 당신의 것 이다). 다음은 SMS 대신 보안이 높은 인증 응용 프로그램을 사용하게되면 더욱 좋다.
마지막 말은 지난 10 년 동안 변하지 않는 :
기본적인 생각은 - 자주 참조되는 기존의 연구와 마찬가지로 - 사용자가 직접 관련된 보안에 적절한 지원이 매우 필요가있는 것이다. 비밀번호는 좋은 예로, 많은 사람들이 잘 사용하지 않는 것을 우리는 알고있다. 그러나 교훈은 무시되고 계속 우리는 방식을 비판하고 계속 대신 사용자를 몰아 세운다.
2 요소 인증은 하나의 출발점이지만 :
사용자는 2 단계 인증 사용을 더욱 촉진 될, 아니, 의무화한다. 그렇지 않으면 암호와 같이 잠재적으로 보호 능력이 있어도 실용적으로는 불충분 것이되어 버리는 것이다.
즉, 나쁜 비밀번호에 대해 이야기하는 것이 아니라이를위한 행동을 일으키는 것이다.