본문 바로가기

MFA3

비밀번호를 자주 바꾸면 더 위험해진다?, 보안이 습관을 이기지 못하는 순간들, 좋은 정책이 왜 나쁜 행동을 만들기도 하는가 비밀번호를 자주 바꾸면 더 위험해진다?, 보안이 습관을 이기지 못하는 순간들, 좋은 정책이 왜 나쁜 행동을 만들기도 하는가한동안 회사 보안의 상식처럼 여겨진 말이 있습니다.“비밀번호는 3개월마다 바꿔야 한다.”“특수문자, 대문자, 숫자 다 섞어야 한다.”“예전에 쓴 것과 비슷하면 안 된다.”“자주 바꾸는 게 안전하다.”그런데 지금은 이 상식이 꽤 많이 흔들렸습니다.NIST는 최신 디지털 신원 가이드에서 주기적인 비밀번호 변경을 요구하지 말아야 한다고 밝히고, 침해 징후가 있을 때만 강제로 바꾸라고 설명합니다. Microsoft도 클라우드 계정에 대해 정기 만료 정책을 권장하지 않으며, 비밀번호가 아예 만료되지 않도록 두는 쪽을 권장한다고 안내합니다. 영국 NCSC 역시 정기적 비밀번호 만료를 강제하지 말.. 2026. 4. 29.

MFA 강제했더니 생산성 떨어졌다?, 현실적 대안으로 보는 패스키·조건부 접근 비교, “보안을 풀자”가 아니라 덜 귀찮고 더 강한 방식으로 바꾸자가 답입니다 MFA 강제했더니 생산성 떨어졌다?,현실적 대안으로 보는 패스키·조건부 접근 비교, “보안을 풀자”가 아니라 덜 귀찮고 더 강한 방식으로 바꾸자가 답입니다회사에서 MFA를 강제한 뒤 꼭 나오는 말이 있습니다.“보안은 좋아졌겠지만, 일은 더 느려졌어요.”“로그인 한 번 할 때마다 코드 입력하느라 답답합니다.”“출장 중엔 인증이 안 들어오고, 회의 직전엔 푸시가 꼬이고, 휴대폰 배터리 없으면 그냥 끝입니다.”“결국 사람들은 보안을 싫어하게 됩니다.”이 말은 절반은 맞고, 절반은 틀립니다.맞는 이유는, 잘못 설계된 MFA는 실제로 생산성을 떨어뜨릴 수 있기 때문입니다.틀린 이유는, 그 해법이 “MFA를 느슨하게 하자”는 쪽이 아니라 더 덜 귀찮고 더 피싱 저항성이 높은 인증 방식으로 바꾸자는 쪽에 있기 때문입.. 2026. 4. 12.

2FA 도입했더니 CS 폭증, 시간동기·백업코드·앱변경 “3대 실패 원인”과 바로 쓰는 FAQ/CS 템플릿 2FA 도입했더니 CS 폭증, 시간동기·백업코드·앱변경 “3대 실패 원인”과 바로 쓰는 FAQ/CS 템플릿 0) 오늘의 결론(한 줄)2FA(2단계 인증)는 보안을 올리지만, 도입 첫 2주는 CS를 폭발시킵니다.원인은 대부분 기술이 아니라 **운영 설계(시간동기·백업코드·기기변경·복구루트·메시지)**입니다.즉, 2FA는 “켜는 기능”이 아니라 실패를 설계하는 기능입니다.1) 왜 2FA 도입 후 CS가 폭증하나: 문제는 ‘로그인’이 아니라 ‘복구’다2FA가 없던 시절, 로그인 실패는 대부분 비밀번호 문제였습니다.하지만 2FA를 켜는 순간, 실패 원인이 3배로 늘어납니다.비밀번호(1차) 실패2FA 코드(2차) 실패복구(backup/recovery) 실패그리고 사용자는 이렇게 말합니다.“코드 맞게 쳤는데도 안 .. 2026. 2. 10.

이전 1 다음

티스토리툴바