바보의 패스워드 정책

October 27, 2013

바보의 패스워드 정책

일정 기한이 지나기 전에 패스워드를 무조건 변경해야하는 서비스들이 있다. 이런 서비스들은 또 쓸데없이 까탈스러워서 숫자, 공백, 특수문자, 대소문자 등의 조합을 강제하거나 입력할 수 없는 조합이 존재한다. 그래서 사용자는 패스워드를 강제로 사이트마다 다르게 만들어야 한다. 분명 어떤 조합은 다른 서비스에서 동작하지 않는 조합이 있어서 통일할 수 없기 마련. 갱신 주기도 달라서 점차 패스워드는 관리가 거의 불가능한 상황이 된다. 어떤 서비스를 한, 두달만 쓰지 않으면 이메일 등을 통한 본인 인증을 통해 새 패스워드를 발급받아야만 제대로 쓸 수 있다. 스스로 보안 등급을 높였다고 주장하는 병신들이 유기적으로 결합되어 서로의 보안을 방해한 탓에 실제 패스워드는 오히려 망가지기 쉽다.

얘네들은 한결같이 비밀번호 찾기를 내 이메일을 통해서 제공한다. 대개 등록된 이 메일은 내 gmail 주소이다. 내 gmail만 뚫으면 모든 서비스들을 로그인할 수 있게 된 상황이다. 대부분의 서비스에서 이것의 예외적인 절차를 찾을 수가 없었다. 기껏해야 평소에는 쓰지 않는 다른 이메일을 지정하는 정도다. 그리고 그 이메일이 뚫린다면 보안이 망가질게 뻔하기 때문에 내가 가장 안전하다고 믿고 주로 쓰는 gmail을 등록하는게 가장 합리적인 선택이다. 나는 gmail을 다른 서비스들과 비밀번호를 다르게 하고 있는데 그게 무슨 소용이람. 내 패스워드는 사실 상 하나로 등록된거나 다름이 없다. 공격자의 입장에서는 어떤 상황이든 내 gmail만 뚫으면 다 열 수 있는 것.

제발 병신같은 말 같지도 않은 보안 헛 소리 그만하자. 바보같은 발상이 실제로 보안을 향상시킨 것은 전혀 없다. 제발 50자 가량의 문장이나 입력가능하게 해달라.

PS: 패스워드 정책이 점차 꼬여가서 주기적으로 내 비밀번호 찾기를 하지 않고서는 살아갈 수 없게된 후 빡쳐서 쓴 글.