비밀번호 정책은 조직 또는 디지털 시스템 내에서 비밀번호를 생성, 사용, 저장, 변경, 보호, 모니터링하는 방법을 정의하는 규칙, 통제 수단 및 절차의 집합입니다. 사용자 계정, 관리자 계정, 서비스 계정, 애플리케이션, 장치, 클라우드 플랫폼이 일관된 비밀번호 보안 요구 사항을 따르도록 보장합니다.

비밀번호는 여전히 업무 시스템, 웹사이트, 클라우드 서비스, 이메일 플랫폼, VPN, 데이터베이스, 커뮤니케이션 시스템, 엔터프라이즈 애플리케이션에서 가장 일반적인 인증 수단 중 하나입니다. 비밀번호는 추측되거나 재사용되거나 도난당하거나 피싱에 노출되거나 유출되거나 크래킹될 수 있기 때문에, 조직은 계정 침해를 줄이고 ID 보안을 강화하기 위한 명확한 정책이 필요합니다.

현대적인 비밀번호 정책은 단순히 대문자, 숫자, 특수문자를 포함하도록 강제하는 데 그치지 않습니다. 비밀번호 길이, 비밀번호 재사용, 알려진 유출 비밀번호, 다중 요소 인증, 계정 잠금, 속도 제한, 비밀번호 관리자, 안전한 저장, 비밀번호 재설정 절차, 특권 계정, 감사 로그, 사용자 교육까지 함께 고려해야 합니다. 목표는 보안, 사용편의성, 운영 안정성 사이의 실용적인 균형을 만드는 것입니다.

비밀번호 정책이란 무엇인가요?

정의와 핵심 의미

비밀번호 정책은 계정과 시스템을 보호하기 위해 문서화되고 기술적으로 강제되는 비밀번호 규칙의 집합입니다. 직원, 관리자, 계약자, 고객, 파트너, 서비스 계정, API, 원격 접속 사용자, 특권 사용자에게 적용될 수 있습니다. 이 정책은 비밀번호가 생성, 변경, 재설정, 저장되거나 인증에 사용될 때 허용되는 사항을 정의합니다.

비밀번호 정책의 핵심 의미는 통제된 비밀번호 보안입니다. 모든 사용자나 시스템 소유자가 각자의 비밀번호 관행을 선택하도록 허용하는 대신, 조직이 공통의 기준을 정의합니다. 이 기준은 약한 비밀번호, 재사용되는 자격 증명, 통제되지 않은 비밀번호 공유, 일관성 없는 접근 관행을 줄이는 데 도움이 됩니다.

비밀번호 정책은 ID 플랫폼, 디렉터리 서비스, 운영 체제, 클라우드 인증 도구, SaaS 관리 포털, 비밀번호 관리자, 특권 접근 관리 시스템, 애플리케이션 수준의 보안 설정을 통해 구현될 수 있습니다.

비밀번호 정책은 비밀번호 보안을 개인 습관에서 조직 차원의 접근 통제 표준으로 바꿔 놓습니다.

비밀번호 정책이 중요한 이유

비밀번호 정책이 중요한 이유는 유출된 비밀번호가 시스템으로 침투하는 흔한 경로이기 때문입니다. 공격자는 피싱, 자격 증명 스터핑, 무차별 대입 공격, 비밀번호 스프레이, 악성코드, 사회 공학, 유출된 비밀번호 데이터베이스를 이용해 접근 권한을 얻을 수 있습니다. 사용자가 짧거나 재사용되거나 예측 가능하거나 흔히 알려진 비밀번호를 선택하면 위험은 더욱 커집니다.

명확한 정책은 최소 요구 사항을 설정하고 더 나은 인증 행동을 유도함으로써 이러한 위험을 줄이는 데 도움이 됩니다. 또한 관리자가 여러 시스템, 사용자, 부서에 걸쳐 계정 보안을 관리하는 데 도움이 됩니다. 정책이 없으면 비밀번호 관행이 일관성을 잃고 감사하기 어려워질 수 있습니다.

비밀번호 정책은 규정 준수, 사고 대응, 거버넌스도 뒷받침합니다. 계정 보안이 관리되고 있고, 접근이 통제되고 있으며, 유출된 자격 증명이 정의된 절차를 통해 처리될 수 있음을 조직이 입증하는 데 도움이 됩니다.

비밀번호 정책의 작동 방식

비밀번호 생성 규칙

비밀번호 생성 규칙은 사용자가 새 비밀번호를 설정할 때 따라야 할 사항을 정의합니다. 이 규칙에는 최소 길이, 최대 길이 지원, 흔히 사용되는 비밀번호 차단, 개인 정보 사용 금지, 비밀번호 재사용 억제 등이 포함될 수 있습니다. 현대적인 정책은 복잡한 문자 조합만을 요구하기보다 긴 비밀번호나 패스프레이즈를 강조하는 경우가 많습니다.

좋은 비밀번호 생성 규칙은 사용자가 더 강력한 비밀번호를 선택하도록 도우면서도 절차가 불필요하게 답답해지지 않아야 합니다. 규칙이 너무 복잡하면 사용자는 단어 끝에 "123!"을 붙이거나, 비밀번호를 안전하지 않게 적어두거나, 시스템 간에 비슷한 비밀번호를 재사용하는 등 예측 가능한 패턴을 만들어낼 수 있습니다.

효과적인 비밀번호 정책은 비밀번호 생성 화면에서 요구 사항을 명확하게 설명해야 합니다. 사용자는 비밀번호가 거부된 이유와 더 나은 비밀번호를 선택하는 방법을 알 수 있어야 합니다.

비밀번호 검증

사용자가 로그인하면 시스템은 입력된 비밀번호를 저장된 비밀번호 기록과 대조합니다. 안전한 시스템은 실제 비밀번호를 평문으로 저장해서는 안 됩니다. 대신 적절한 솔트와 계산 비용을 수반하는 안전한 해싱 과정을 통해 생성된, 보호된 비밀번호 표현을 저장해야 합니다.

로그인하는 동안 시스템은 입력된 비밀번호에 동일한 보호 계산을 적용하고 그 결과를 저장된 값과 비교합니다. 일치하면, 다중 요소 인증이나 조건부 접근 규칙 같은 다른 통제에 따라 사용자가 진행할 수 있습니다.

검증에는 반복적인 추측에 대한 보호도 포함되어야 합니다. 속도 제한, 잠금 규칙, 점진적 지연, 봇 탐지, 모니터링은 자동화된 공격을 줄이는 데 도움이 됩니다.

비밀번호 변경 및 재설정

비밀번호 변경 및 재설정 워크플로우는 사용자가 비밀번호를 업데이트하는 방법을 정의합니다. 사용자가 자발적으로 비밀번호를 변경할 수도 있고, 침해 증거, 의심스러운 활동, 계정 탈취, 관리자 조치, 사용자 요청이 있을 때 조직이 변경을 요구할 수도 있습니다.

비밀번호 재설정 절차는 안전해야 합니다. 공격자가 종종 재설정 워크플로우를 노리기 때문입니다. 재설정 링크, 헬프데스크 절차, 복구 질문이 취약하면 공격자가 비밀번호 자체를 우회할 수 있습니다. 강력한 재설정 절차에는 인증된 이메일, 다중 요소 인증, 신원 확인, 시간 제한 링크, 지원 승인, 안전한 셀프 서비스 복구 등이 포함될 수 있습니다.

비밀번호 변경 시, 특히 침해 후에는 적절하게 기존 세션을 무효화해야 합니다. 이렇게 하면 비밀번호가 변경된 후에도 공격자가 로그인 상태를 유지하는 것을 막을 수 있습니다.

모니터링 및 강제

비밀번호 정책은 기술적으로 강제되고 지속적으로 모니터링될 때 가장 잘 작동합니다. 정책 설정을 통해 약한 비밀번호를 차단하고, 재사용을 막고, 다중 요소 인증을 요구하고, 실패 시도를 기록하고, 의심스러운 행동에 대해 경고하며, 사용자가 유출된 자격 증명을 설정하는 것을 방지할 수 있습니다.

모니터링에는 로그인 실패 추세, 비밀번호 스프레이 지표, 해외·비상식적 이동, 이례적인 로그인 위치, 비밀번호 재설정 급증, 특권 계정 변경, 유출 자격 증명 탐지 등이 포함될 수 있습니다. 이러한 신호는 보안 팀이 심각한 사고로 발전하기 전에 공격을 식별하는 데 도움이 됩니다.

강제는 모든 주요 시스템에서 일관되어야 합니다. 한 애플리케이션에 강력한 비밀번호 정책이 적용되어도, 다른 중요한 시스템이 약하거나 재사용된 비밀번호를 허용하면 조직을 보호할 수 없습니다.

비밀번호 정책의 주요 기능

최소 비밀번호 길이

최소 비밀번호 길이는 비밀번호 정책에서 가장 중요한 설정 중 하나입니다. 긴 비밀번호는 일반적으로 짧은 비밀번호보다 추측하거나 크래킹하기 어렵습니다. 특히 유일하고 일반적인 단어나 예측 가능한 패턴에 기반하지 않은 경우에 그렇습니다.

많은 현대 보안 가이드라인은 긴 비밀번호나 패스프레이즈를 권장합니다. 더 강력하면서도 사용자가 기억하기 더 쉬울 수 있기 때문입니다. 서로 관련 없는 여러 단어로 구성된 패스프레이즈는 강제된 특수문자로 가득 찬 짧은 비밀번호보다 입력하고 기억하기 더 쉬울 수 있습니다.

선택된 최소 길이는 시스템의 위험 수준, 다중 요소 인증 필요 여부, 사용자 유형, 계정의 민감도를 반영해야 합니다.

긴 비밀번호 및 패스프레이즈 지원

좋은 비밀번호 정책은 긴 비밀번호를 허용해야 합니다. 시스템이 비밀번호를 짧은 최대 길이로 제한하면 사용자가 강력한 패스프레이즈를 선택할 수 없게 됩니다. 긴 비밀번호 지원은 사용자가 고유한 자격 증명을 생성하기 위해 비밀번호 관리자에 의존할 때 특히 유용합니다.

패스프레이즈는 사용자가 무작위 짧은 문자열보다 문장 형태나 단어 기반의 비밀번호를 더 쉽게 기억할 수 있기 때문에 사용성을 향상시킬 수 있습니다. 그러나 패스프레이즈가 유명한 인용구, 흔한 문구, 노래 가사, 회사 슬로건, 예측 가능한 개인 정보여서는 안 됩니다.

시스템은 실용적인 범위 내에서 공백과 넓은 범위의 문자를 허용하면서, 로그인, 재설정, 모바일, 웹, API 인터페이스 간 비밀번호 처리가 일관되도록 해야 합니다.

흔하거나 유출된 비밀번호 차단

강력한 비밀번호 정책은 약하거나 흔하거나 유출되었거나 침해된 것으로 알려진 비밀번호를 차단해야 합니다. 예를 들어 단순한 연속 숫자, 반복 문자, 키보드 패턴, 사전 단어, 회사명, 제품명, 사용자 이름, 그리고 유출 데이터 세트에서 발견되는 비밀번호 등이 있습니다.

알려진 나쁜 비밀번호를 차단하는 것이 사용자에게 특수문자나 숫자를 포함하도록 강제하는 것보다 더 효과적인 경우가 많습니다. "Password2026!"과 같은 비밀번호는 일부 오래된 복잡도 규칙을 충족할 수 있지만 여전히 예측 가능하고 안전하지 않습니다.

유출 비밀번호 검사는 공격자가 이미 비밀번호 목록에 가지고 있을 수 있는 자격 증명을 사용자가 선택하는 것을 방지하는 데 도움이 됩니다.

비밀번호 재사용 방지

비밀번호 재사용 방지는 사용자가 동일한 비밀번호를 반복적으로 사용하거나 소수의 비밀번호를 순환시키는 것을 막습니다. 이는 한 시스템에서 유출된 비밀번호가 다른 시스템을 공격하는 데 사용될 수 있기 때문에 중요합니다.

재사용 통제는 동일 시스템 내에서, 전사적 ID 서비스 전반에 걸쳐, 또는 비밀번호 관리자 정책을 통해 적용될 수 있습니다. 업무 계정의 경우 사용자는 개인 비밀번호, 공유 팀 비밀번호, 관련 없는 서비스의 오래된 비밀번호를 재사용해서는 안 됩니다.

재사용 방지는 특권 계정, 관리자 계정, 원격 접속 계정, 민감한 정보가 포함된 시스템에 특히 중요합니다.

다중 요소 인증 요구 사항

현대적인 비밀번호 정책은 다중 요소 인증과 연결되어야 합니다. MFA는 인증 앱, 하드웨어 보안 키, 패스키, 생체 인식 요소, 푸시 승인, 일회용 코드 등 비밀번호 너머의 또 다른 인증 단계를 추가합니다.

MFA는 비밀번호가 도난당하거나, 피싱당하거나, 추측되거나, 유출되었을 때 계정 침해 위험을 줄이는 데 도움이 됩니다. 원격 접속, 관리자 계정, 클라우드 서비스, 금융 시스템, 이메일 계정, 고객 데이터 플랫폼에 특히 중요합니다.

비밀번호를 유일한 방어선으로 간주해서는 안 됩니다. MFA, 조건부 접근, 장치 신뢰, 위험 기반 로그인 통제가 인증 절차를 강화할 수 있습니다.

계정 잠금 및 속도 제한

계정 잠금과 속도 제한은 반복적인 비밀번호 추측을 방어하는 데 도움이 됩니다. 속도 제한은 반복적인 실패 후 시도를 느리게 만듭니다. 계정 잠금은 너무 많은 실패 시도 후 일시적으로 접근을 차단합니다. 점진적 지연은 합법적인 사용자에 대한 서비스 거부 잠금 위험을 줄이면서 공격자를 지연시킬 수 있습니다.

이러한 통제는 신중하게 설계해야 합니다. 잠금 규칙이 너무 공격적이면 공격자가 의도적으로 많은 사용자 계정을 잠글 수 있습니다. 너무 약하면 공격자가 대량의 비밀번호 추측을 멈추지 않고 시도할 수 있습니다.

균형 잡힌 정책은 엄격한 잠금에만 의존하지 않고 속도 제한, 모니터링, 경고, 의심스러운 로그인 탐지를 함께 사용합니다.

비밀번호 관리자 지원

비밀번호 관리자는 사용자가 다른 계정에 대해 길고 고유한 비밀번호를 만들고 저장하도록 도와줍니다. 비밀번호 정책은 긴 비밀번호를 허용하고 불필요한 제한을 피하며, 사용자가 수십 개의 서로 다른 자격 증명을 암기하지 않도록 장려함으로써 비밀번호 관리자 사용을 지원해야 합니다.

비밀번호 관리자는 비밀번호를 재사용해야 한다는 부담을 줄여줍니다. 또한 사람이 만든 비밀번호보다 추측하기 훨씬 어려운 무작위 비밀번호를 생성할 수도 있습니다.

비즈니스 환경에서는 공유 제어, 액세스 로그, 보관소 정책, 비상 액세스, 오프보딩 지원을 갖춘 엔터프라이즈 비밀번호 관리자를 선택할 수 있습니다.

비밀번호 정책의 구성 요소

일반 사용자 비밀번호 요구 사항

사용자 비밀번호 요구 사항은 일반 사용자가 어떻게 비밀번호를 만들고 유지하는지를 정의합니다. 이러한 요구 사항은 명확하고 실용적이며 사용자 집단에 적합해야 합니다. 불필요한 좌절감을 유발하지 않으면서 강력하고 고유한 비밀번호를 장려해야 합니다.

요구 사항에는 최소 길이, 긴 비밀번호 지원, 재사용 금지, 흔한 비밀번호나 유출 비밀번호 금지, 사용자 이름 기반 비밀번호 금지, 민감한 시스템에 대한 MFA 사용 등이 포함될 수 있습니다. 사용자에게는 비밀번호를 공유하거나 보안되지 않은 메모에 저장하지 말라고 조언해야 합니다.

좋은 사용자 정책은 이해하기 쉽고 올바른 도구를 사용하면 따르기 쉬워야 합니다.

특권 계정 요구 사항

특권 계정은 시스템을 변경하고, 민감한 데이터에 접근하고, 사용자를 생성하고, 권한을 변경하고, 보안 통제를 비활성화하며, 비즈니스 운영에 영향을 미칠 수 있기 때문에 더 엄격한 보호가 필요합니다. 관리자 비밀번호는 더 길고, 고유하며, MFA로 보호되고, 강력한 접근 통제를 통해 관리되어야 합니다.

특권 접근에는 세션 기록, 승인 워크플로우, 적시 접근, 비밀번호 보관, 자동 교체, 모니터링이 필요할 수도 있습니다. 가능하다면 공유 관리자 비밀번호는 피해야 합니다. 책임 소재가 불분명해지기 때문입니다.

비밀번호 정책은 특권 계정을 일반 사용자 계정보다 위험도가 높은 것으로 취급해야 합니다.

서비스 계정 비밀번호

서비스 계정은 애플리케이션, 스크립트, 통합, 데이터베이스, 자동화된 프로세스에 의해 사용됩니다. 그 비밀번호나 비밀은 구성 파일, 환경 변수, 보관소, 자동화 플랫폼에 저장될 수 있습니다. 제대로 관리되지 않으면 서비스 계정은 숨겨진 보안 위험이 될 수 있습니다.

서비스 계정 자격 증명은 고유하고, 길고, 무작위로 생성되며, 안전하게 저장되고, 필요할 때 교체되며, 필요한 최소 권한으로 제한되어야 합니다. 여러 시스템에서 재사용해서는 안 됩니다.

조직은 서비스 계정의 인벤토리를 유지하여 오래되었거나 사용하지 않는 자격 증명이 무기한 활성 상태로 남아 있지 않도록 해야 합니다.

공유 비밀번호 및 팀 접근

공유 비밀번호는 책임 소재와 보안 문제를 야기합니다. 여러 사람이 동일한 비밀번호를 사용하면 누가 작업을 수행했는지 알기 어려워집니다. 공유 비밀번호는 복사되거나 안전하지 않게 저장되거나 전 직원이 보유할 수도 있습니다.

팀 접근이 필요할 때 조직은 역할 기반 권한이 있는 개별 계정을 선호해야 합니다. 공유 자격 증명이 불가피하다면, 접근 로깅, 제한된 가시성, 통제된 교체가 수반되는 승인된 비밀번호 보관소에 저장해야 합니다.

공유 자격 증명은 예외로 취급되어야 하며, 접근을 관리하는 일반적인 방식이 되어서는 안 됩니다.

비밀번호 저장 요구 사항

비밀번호 정책에는 안전한 비밀번호 저장을 위한 요구 사항이 포함되어야 합니다. 시스템은 매우 구체적이고 통제된 이유가 없는 한 비밀번호를 평문이나 가역적인 형식으로 저장해서는 안 됩니다. 비밀번호는 고유한 솔트와 적절한 계산 비용을 수반하는 강력한 해싱 방법을 사용하여 보호되어야 합니다.

안전한 저장은 매우 중요합니다. 공격자가 종종 비밀번호 데이터베이스를 노리기 때문입니다. 비밀번호 데이터베이스가 도난당하고 비밀번호가 제대로 저장되지 않았다면 공격자는 사용 가능한 자격 증명을 빠르게 복구할 수 있습니다.

저장 요구 사항은 커스텀 애플리케이션, 레거시 시스템, SaaS 플랫폼, 내부 도구 및 인증 데이터를 관리하는 모든 시스템에 적용되어야 합니다.

비밀번호 정책의 이점

계정 침해 위험 감소

비밀번호 정책의 가장 직접적인 이점은 계정 침해 위험 감소입니다. 더 강력하고 고유한 비밀번호는 추측, 자격 증명 스터핑, 비밀번호 재사용 공격을 더 어렵게 만듭니다. MFA는 비밀번호가 도난당했을 때 위험을 더욱 줄여줍니다.

약하고 유출된 비밀번호를 차단하는 정책은 사용자가 공격자가 이미 알고 있는 자격 증명을 선택하는 것을 방지하는 데 도움이 됩니다. 속도 제한과 모니터링은 자동화된 공격의 효과를 떨어뜨립니다.

비밀번호 정책이 모든 계정 위험을 제거할 수는 없지만 인증 보안의 첫 번째 계층을 크게 개선합니다.

ID 거버넌스 개선

비밀번호 정책은 사용자, 관리자, 서비스 계정, 비밀번호 재설정, 오프보딩, 접근 검토에 대한 일관된 규칙을 만들어 ID 거버넌스를 지원합니다. 조직이 더 넓은 ID 프로그램의 일환으로 인증을 관리하는 데 도움이 됩니다.

정책이 없으면 각 시스템이 서로 다른 규칙을 사용할 수 있습니다. 이는 사용자에게 혼란을 초래하고 보안 감사를 어렵게 만듭니다. 통일된 정책은 조직 전체에서 접근 관행을 표준화하는 데 도움이 됩니다.

더 나은 거버넌스는 보안과 운영 통제를 모두 향상시킵니다.

규정 준수 지원 강화

많은 조직은 사용자 접근이 합리적인 통제로 보호된다는 점을 입증해야 합니다. 비밀번호 정책은 인증 요구 사항이 정의되고, 강제되고, 검토되고, 유지된다는 증거를 제공하는 데 도움이 됩니다.

규정 준수 검토에서는 비밀번호가 보호되고 있는지, 특권 접근이 통제되고 있는지, 실패한 로그인 시도가 모니터링되는지, 계정이 검토되는지, 유출된 자격 증명이 처리되는지를 질문할 수 있습니다.

문서화되고 강제되는 비밀번호 정책은 규정 준수 감사를 더 효율적으로 만들 수 있습니다.

사용자 경험 개선

잘 설계된 비밀번호 정책은 사용자 경험을 개선할 수 있습니다. 오래된 정책은 종종 잦은 비밀번호 변경과 복잡한 문자 규칙을 강제하여 사용자에게 불편을 주었습니다. 현대적인 정책은 더 긴 패스프레이즈, 비밀번호 관리자, MFA, 유출 비밀번호 차단을 강조할 수 있습니다.

이를 통해 사용자가 기억하기 어렵고 입력 실수가 잦은 부자연스러운 비밀번호를 만들어야 할 필요성이 줄어듭니다. 비밀번호를 잊어버리거나 계정이 잠겨 헬프데스크에 요청하는 일도 줄일 수 있습니다.

좋은 보안은 사용자가 일관되게 따를 수 있을 만큼 실용적이어야 합니다.

더 강력한 사고 대응

비밀번호 정책은 자격 증명이 침해된 것으로 의심되거나 확인되었을 때 어떤 일이 일어나는지를 정의함으로써 사고 대응을 지원합니다. 정책에 따라 비밀번호 재설정, 세션 무효화, MFA 검토, 계정 모니터링, 접근 로그 검토, 사용자 통지가 요구될 수 있습니다.

사고 발생 중에 명확한 규칙은 혼란을 줄여줍니다. 보안 팀은 비밀번호를 언제 변경해야 하는지, 어떤 계정이 우선인지, 접근이 안전하게 보호되었는지 어떻게 확인할지를 알고 있습니다.

정책은 자격 증명 사고를 통제된 대응 프로세스로 전환시킵니다.

비밀번호 정책의 응용 분야

엔터프라이즈 사용자 계정

엔터프라이즈 사용자 계정은 비밀번호 정책의 주요 응용 분야 중 하나입니다. 직원은 이메일, 협업 도구, HR 시스템, CRM 플랫폼, ERP 시스템, 파일 스토리지, VPN 및 내부 애플리케이션에 접근하기 위해 비밀번호를 사용합니다.

비밀번호 정책은 직원 계정이 강력한 인증 관행을 사용하도록 보장하는 데 도움이 됩니다. 또한 입사, 역할 변경, 비밀번호 재설정, 퇴사, 접근 검토를 지원합니다.

엔터프라이즈 계정의 경우 비밀번호 정책은 MFA, SSO, 조건부 접근, ID 생명주기 관리와 결합되어야 합니다.

클라우드 및 SaaS 플랫폼

클라우드 및 SaaS 플랫폼에는 종종 민감한 비즈니스 데이터가 포함되어 있으며 다양한 네트워크와 장치에서 접근할 수 있습니다. 비밀번호 정책은 사용자 계정, 관리자 콘솔, API 접근, 고객 데이터를 보호하는 데 중요합니다.

많은 SaaS 플랫폼은 관리자가 비밀번호 길이, MFA, 세션 타임아웃, SSO, 비밀번호 재설정 규칙, 계정 잠금을 구성할 수 있도록 허용합니다. 이러한 설정은 조직의 전체 ID 보안 정책과 일치해야 합니다.

클라우드 시스템이 기본값이거나 약한 인증 설정으로 방치되어서는 안 됩니다.

원격 접속 및 VPN

원격 접속 계정은 사용자가 조직의 신뢰할 수 있는 네트워크 외부에서 연결할 수 있도록 허용하기 때문에 위험도가 높습니다. VPN, 원격 데스크톱, 클라우드 관리자 포털, 원격 관리 도구는 강력한 비밀번호 정책 강제가 있어야 합니다.

원격 접속에는 일반적으로 MFA가 요구되어야 합니다. 비밀번호만 사용하는 원격 접속은 도난된 자격 증명이 공격자에게 내부 시스템으로 가는 직접적인 경로를 제공할 수 있기 때문에 위험합니다.

원격 로그인 활동을 모니터링하는 것도 중요합니다. 이례적인 소스 위치나 반복적인 실패는 공격을 나타낼 수 있기 때문입니다.

특권 접근 관리

특권 접근 관리는 관리자 계정, 루트 계정, 데이터베이스 관리자, 도메인 관리자, 네트워크 장치 관리자, 비상 접근 계정을 보호하기 위해 비밀번호 정책을 사용합니다.

특권 비밀번호는 길고, 고유하며, MFA로 보호되고, 적절한 경우 안전한 보관소에 저장되며, 필요할 때 교체되고, 감사 로그를 통해 모니터링되어야 합니다. 접근은 필요할 때만 부여되고 더 이상 필요하지 않으면 제거되어야 합니다.

특권 계정 침해는 심각한 영향을 미칠 수 있으므로, 이러한 계정에 대한 비밀번호 정책은 더 강력해야 합니다.

고객 포털 및 온라인 서비스

고객 포털과 온라인 서비스는 고객 계정, 개인 데이터, 청구 정보, 주문, 구독 및 서비스 이력을 보호하기 위해 비밀번호 정책을 사용합니다. 이 정책은 보안과 사용성 사이의 균형을 맞춰야 합니다. 로그인이 너무 어려우면 고객이 서비스를 이탈할 수 있기 때문입니다.

고객 대상 비밀번호 정책은 긴 비밀번호, 비밀번호 관리자, MFA 옵션, 안전한 재설정, 명확한 오류 메시지를 지원해야 합니다. 강력한 비밀번호를 방해하는 불필요한 제한을 피해야 합니다.

위험도가 높은 고객 계정의 경우 위험 기반 인증과 유출 비밀번호 검사가 보호를 개선할 수 있습니다.

데이터베이스, 애플리케이션 및 API

데이터베이스, 내부 애플리케이션 및 API는 흔히 인증을 위해 비밀번호나 비밀을 사용합니다. 이러한 자격 증명은 사용자, 애플리케이션, 서비스 계정, 통합 도구, 자동화 작업에 속할 수 있습니다.

이러한 환경에서의 비밀번호 정책에는 안전한 저장, 교체 절차, 최소 권한, 비밀 보관소, 감사 로그, 미사용 자격 증명 제거가 포함되어야 합니다. 소스 코드나 스크립트에 하드코딩된 비밀번호는 피해야 합니다.

애플리케이션과 API 자격 증명은 종종 간과되지만 심각한 보안 노출을 초래할 수 있습니다.

현대적인 비밀번호 정책 설계하기

길이와 고유성 강조

현대적인 비밀번호 정책은 길이와 고유성을 강조해야 합니다. 길고 고유한 비밀번호는 단순히 문자 복잡도 규칙을 충족시키는 짧은 비밀번호보다 일반적으로 더 강력합니다. 사용자가 패스프레이즈나 비밀번호 관리자를 사용하도록 장려해야 합니다.

고유성은 필수적입니다. 재사용된 비밀번호가 큰 위험을 초래하기 때문입니다. 유출된 서비스의 비밀번호가 업무 계정에 재사용되면 공격자는 같은 자격 증명을 다른 곳에서도 시도할 수 있습니다.

정책은 모든 중요한 계정마다 다른 비밀번호가 필요하다는 점을 분명히 해야 합니다.

불필요한 복잡도 규칙 피하기

전통적인 복잡도 규칙은 종종 대문자, 소문자, 숫자, 특수문자를 요구합니다. 이러한 규칙이 강력해 보일 수 있지만, 사용자는 예측 가능한 패턴으로 반응하는 경우가 많습니다. 예를 들어 첫 글자를 대문자로 하고 끝에 숫자나 특수문자를 추가하는 식입니다.

보다 실용적인 접근법은 약하거나 유출된 비밀번호를 차단하고, 더 긴 패스프레이즈를 허용하며, 비밀번호 강도 피드백을 제공하는 것입니다. 사용자나 비밀번호 관리자가 강력한 비밀번호를 만들 때 복잡도는 자연스럽게 발생할 수 있지만, 강제된 복잡도만으로는 주된 방어 수단이 되어서는 안 됩니다.

비밀번호 규칙은 실제 공격 위험을 줄여야 하며, 보안이 있는 것처럼 보이게만 만들어서는 안 됩니다.

중요한 계정에 MFA 사용하기

비밀번호 정책은 MFA 정책과 함께 사용되어야 합니다. 이메일, 원격 접속, 클라우드 관리자, 재무, HR, 고객 데이터, 특권 계정과 같은 중요한 계정은 가능한 한 MFA를 사용해야 합니다.

MFA는 비밀번호가 피싱되거나 유출된 경우에도 계정을 보호하는 데 도움이 됩니다. 인증 앱, 하드웨어 보안 키, 패스키와 같은 강력한 MFA 방법은 더 높은 위험 환경에서 SMS 코드보다 더 나은 보호를 제공할 수 있습니다.

조직은 위험, 사용성, 장치 가용성, 지원 필요성에 기반하여 MFA 방법을 선택해야 합니다.

유출 비밀번호와 대조 확인하기

비밀번호 검사는 제안된 비밀번호가 알려진 유출 비밀번호 목록이나 일반적인 비밀번호 사전에 나타나는지 확인해야 합니다. 사용자가 알려진 약한 비밀번호를 선택하면 시스템은 이를 거부하고 다른 비밀번호가 필요하다고 설명해야 합니다.

이 통제는 사용자가 공격자가 이미 알고 있는 비밀번호를 선택하는 것을 방지하는 데 도움이 됩니다. 많은 사용자가 익숙한 단어, 이름, 연도, 키보드 패턴, 재사용된 자격 증명을 선택하기 때문에 특히 유용합니다.

유출 비밀번호 검사는 비밀번호 자체를 불필요한 제3자에게 노출하지 않고 안전하게 수행되어야 합니다.

비밀번호 변경이 필요한 시기 정의하기

현대적인 비밀번호 정책은 비밀번호 변경에 대한 명확한 조건을 정의해야 합니다. 침해 증거, 계정 탈취 의심, 사용자 요청, 역할 전환, 장치 분실, 비밀 노출, 관리적 재설정이 있을 때 비밀번호를 변경해야 합니다.

침해 증거 없이 일상적으로 강제되는 비밀번호 변경은 사용자의 불만을 야기하고 더 약한 비밀번호 선택으로 이어질 수 있습니다. 사용자가 비밀번호를 너무 자주 변경하도록 강요받으면 예측 가능한 변형을 사용할 수 있습니다.

비밀번호 변경 요구 사항은 위험 기반이어야 하며 모니터링으로 뒷받침되어야 합니다.

비밀번호 재설정 보안 포함하기

비밀번호 재설정 보안은 비밀번호 생성만큼 중요합니다. 공격자는 재설정 링크, 지원 데스크, 복구 질문 또는 침해된 이메일 계정을 노려 계정을 탈취하려 할 수 있습니다.

안전한 재설정 절차에는 MFA, 시간 제한이 있는 재설정 링크, 신원 확인, 사용자에 대한 통지, 세션 무효화, 감사 로깅이 포함될 수 있습니다. 개인 정보에 기반한 보안 질문은 답변을 추측하거나 온라인에서 찾을 수 있으므로 피해야 합니다.

취약한 재설정 절차는 강력한 비밀번호 정책을 무력화시킬 수 있습니다.

구축 시 고려 사항

비밀번호를 사용하는 모든 시스템 매핑하기

비밀번호 정책을 강제하기 전에 조직은 비밀번호를 사용하는 모든 시스템을 식별해야 합니다. 여기에는 디렉터리 서비스, 클라우드 애플리케이션, VPN, 데이터베이스, 네트워크 장치, 비즈니스 애플리케이션, 서비스 계정, 레거시 시스템, 서드파티 플랫폼이 포함됩니다.

시스템 매핑은 비밀번호 규칙이 일관되지 않은 곳을 드러내는 데 도움이 됩니다. 강력한 ID 공급자 정책이 자체의 취약한 비밀번호 데이터베이스를 사용하는 레거시 애플리케이션을 보호하지 못할 수 있습니다.

완전한 인벤토리가 일관된 강제를 향한 첫 번째 단계입니다.

사용자 그룹에 정책 맞추기

사용자 그룹마다 다른 비밀번호 통제가 필요할 수 있습니다. 일반 직원, 관리자, 서비스 계정, 계약자, 고객, 비상 접근 계정은 위험 수준과 운영 요구 사항이 다를 수 있습니다.

위험도가 높은 계정은 더 강력한 요구 사항이 있어야 합니다. 예를 들어 관리자 계정은 더 긴 비밀번호, MFA, 보관소 저장, 세션 모니터링, 더 엄격한 재설정 절차가 요구될 수 있습니다.

만능 정책은 특권 사용자에게는 너무 약하거나 위험도가 낮은 계정에는 너무 부담스러울 수 있습니다.

사용자 커뮤니케이션 준비하기

비밀번호 정책 변경은 명확하게 설명되지 않으면 사용자에게 불만을 일으킬 수 있습니다. 조직은 무엇이 변하는지, 왜 중요한지, 강력한 비밀번호를 만드는 방법, 비밀번호 관리자 사용법, 도움을 받을 수 있는 곳을 전달해야 합니다.

사용자는 실용적인 예시를 받아야 합니다. 예를 들어 짧고 복잡한 비밀번호 대신 긴 패스프레이즈나 비밀번호 관리자를 사용하도록 장려할 수 있습니다.

명확한 커뮤니케이션은 도입을 개선하고 헬프데스크 업무량을 줄여줍니다.

전체 강제 전에 테스트하기

비밀번호 정책 강제는 전체 롤아웃 전에 테스트되어야 합니다. 테스트는 레거시 시스템, 모바일 앱, 통합, 비밀번호 재설정 흐름, SSO 연결, 서비스 계정에 대한 문제를 드러낼 수 있습니다.

의존 관계를 이해하지 못한 상태에서 갑작스러운 정책 변경은 애플리케이션을 중단시키거나 사용자를 잠글 수 있습니다. 파일럿 그룹과 단계적 구축이 혼란을 줄일 수 있습니다.

테스트는 최소 길이, MFA 요구 사항, 비밀번호 만료 규칙, 계정 잠금 동작을 변경할 때 특히 중요합니다.

구축 후 모니터링하기

구축 후 관리자는 로그인 실패, 잠금, 비밀번호 재설정 양, 사용자 불만, 지원 티켓, 유출 비밀번호 경고, 의심스러운 로그인 시도를 모니터링해야 합니다. 이는 정책이 의도한 대로 작동하고 있는지 판단하는 데 도움이 됩니다.

모니터링을 통해 사용자에게 더 나은 가이드가 필요하다거나, 시스템이 잘못 구성되었다거나, 공격자가 계정을 테스트하고 있다는 점이 드러날 수 있습니다. 정책은 실제 운영 데이터를 기반으로 조정되어야 합니다.

비밀번호 정책은 일회성 설정이 아닙니다. 지속적인 검토와 개선이 필요합니다.

성공적인 비밀번호 정책은 기술적 강제, 사용자 교육, MFA, 모니터링, 안전한 재설정 워크플로우, 정기적 검토를 결합합니다.

일반적인 어려움

사용자 불만

사용자 불만은 가장 흔한 비밀번호 정책 과제 중 하나입니다. 사용자가 기억하기 어려운 비밀번호를 만들도록 강요받거나, 너무 자주 변경해야 하거나, 혼란스러운 규칙을 따라야 한다면 편법을 찾을 수 있습니다.

편법에는 비밀번호를 종이에 적어두거나, 오래된 비밀번호를 재사용하거나, 예측 가능한 패턴을 사용하거나, 비밀번호를 안전하지 않은 문서에 저장하는 것이 포함될 수 있습니다. 이러한 행동은 보안을 개선하기는커녕 약화시킬 수 있습니다.

좋은 정책은 위험을 줄일 만큼 강력하지만 일반 사용자가 따를 수 있을 만큼 실용적이어야 합니다.

비밀번호 재사용

비밀번호 재사용은 여전히 심각한 문제입니다. 사용자는 업무 시스템, 개인 이메일, 쇼핑 사이트, 소셜 미디어, 클라우드 서비스 전반에 걸쳐 같은 비밀번호를 재사용할 수 있습니다. 한 사이트가 침해되면 공격자는 같은 비밀번호를 다른 곳에서도 시도할 수 있습니다.

비밀번호 관리자와 사용자 교육은 재사용을 줄일 수 있습니다. 유출 비밀번호 검사나 SSO 같은 기술적 통제도 도움이 될 수 있습니다.

재사용 방지는 자격 증명 스터핑 위험을 줄이는 데 필수적입니다.

레거시 시스템 제한

레거시 시스템은 긴 비밀번호, 현대적인 해싱, MFA, SSO, 유니코드 문자, 안전한 재설정 워크플로우, 상세한 감사 로그를 지원하지 않을 수 있습니다. 이러한 제한은 정책 강제를 어렵게 만들 수 있습니다.

조직은 레거시 제약 조건을 파악하고 업그레이드할지, 격리할지, 교체할지, 아니면 보완 통제를 추가할지 결정해야 합니다. 예를 들어 직접적인 정책 강제가 제한적인 경우 VPN, 네트워크 세분화, ID 프록시를 통해 레거시 시스템을 보호할 수 있습니다.

레거시 예외 사항은 문서화되고 정기적으로 검토되어야 합니다.

공유 및 하드코딩된 비밀번호

공유 및 하드코딩된 비밀번호는 일반적인 운영 위험입니다. 공유 비밀번호는 팀, 벤더, 애플리케이션, 스크립트, 장치에 의해 사용될 수 있습니다. 하드코딩된 비밀번호는 소스 코드, 구성 파일, 자동화 작업에 내장되어 있을 수 있습니다.

이러한 자격 증명은 교체하기 어렵고 추적이 쉽지 않습니다. 사람들이나 시스템이 더 이상 필요로 하지 않은 후에도 오랫동안 활성 상태로 남아 있을 수 있습니다.

조직은 공유 및 하드코딩된 비밀을 통제된 보관소로 옮기고, 가능하다면 공유 접근을 개별 인증으로 대체해야 합니다.

지나치게 공격적인 잠금 규칙

잠금 규칙은 추측 공격을 차단하는 데 도움이 될 수 있지만, 지나치게 공격적인 설정은 운영 문제를 야기할 수 있습니다. 공격자가 의도적으로 잠금을 유발하여 합법적인 사용자에게 서비스 거부를 일으킬 수 있기 때문입니다.

더 나은 접근법은 점진적 지연, 위험 기반 탐지, 경고, MFA, 의심스러운 로그인 모니터링을 결합하는 것일 수 있습니다. 잠금은 신중하게 사용하고 위험에 기반하여 조정해야 합니다.

목표는 정상적인 작업을 불안정하게 만들지 않으면서 공격자를 늦추는 것입니다.

유지보수 및 운영 팁

정책을 정기적으로 검토하기

비밀번호 정책은 기술, 위협, 규정, 사용자 행동이 시간이 지남에 따라 변하기 때문에 정기적으로 검토되어야 합니다. 몇 년 전에 작성된 정책은 시대에 뒤처진 가정에 의존하고 있을 수 있습니다.

검토 시에는 비밀번호 길이, MFA 적용 범위, 유출 비밀번호 차단, 비밀번호 재설정 워크플로우, 서비스 계정, 특권 접근, 사용자 피드백을 고려해야 합니다.

정기적 검토는 정책을 실용적으로 유지하고 현재의 위험에 부합하도록 합니다.

비밀번호 관련 이벤트 감사하기

비밀번호 관련 이벤트는 기록되고 검토되어야 합니다. 중요한 이벤트에는 로그인 실패, 비밀번호 변경, 비밀번호 재설정, 계정 잠금, MFA 실패, 특권 계정 로그인, 비밀번호 정책 변경, 새로운 관리자 계정 등이 포함됩니다.

감사 로그는 의심스러운 행동을 탐지하고 사고 조사를 지원하는 데 도움이 됩니다. 또한 규정 준수 검토를 위한 증거를 제공합니다.

로그는 무단 수정으로부터 보호되어야 하며 정책에 따라 보관되어야 합니다.

미사용 계정 제거하기

미사용 계정은 불필요한 위험을 초래합니다. 전 직원, 오래된 계약자, 테스트 사용자, 방치된 서비스 계정, 비활성 관리자 계정은 비활성화하거나 제거해야 합니다.

강력한 비밀번호 정책조차도 아무도 모니터링하지 않고 누구의 소유도 아닌 계정을 보호할 수 없습니다. 공격자는 종종 잊혀진 계정을 찾습니다. 그런 계정은 약한 비밀번호나 오래된 권한을 가지고 있을 수 있기 때문입니다.

계정 생명주기 관리는 비밀번호 정책과 함께 작동해야 합니다.

실용적인 비밀번호 보안에 대해 사용자 교육하기

사용자 교육은 실용적인 행동에 초점을 맞춰야 합니다. 사용자는 강력한 패스프레이즈를 만드는 방법, 비밀번호 관리자를 사용하는 방법, 비밀번호 재사용을 피하는 방법, 피싱을 인식하는 방법, MFA 프롬프트를 보호하는 방법, 침해가 의심될 때 보고하는 방법을 알아야 합니다.

교육에서는 "복잡하게 만드세요"와 같은 모호한 지시를 피해야 합니다. 대신 명확한 예시를 제시하고 일반적인 공격자 수법을 설명해야 합니다.

사용자 이해도가 높아지면 실제 생활에서 비밀번호 정책이 더 효과적이게 됩니다.

기술적 통제 업데이트하기

비밀번호 정책은 현대적인 기술적 통제에 의해 뒷받침되어야 합니다. 여기에는 SSO, MFA, 비밀번호 관리자 통합, 유출 비밀번호 검사, 안전한 해싱, ID 위협 탐지, 조건부 접근, 특권 접근 관리 등이 포함될 수 있습니다.

기술적 통제는 사용자의 기억력과 수동 규율에 대한 의존도를 줄여줍니다. 또한 시스템 전반에 걸쳐 더 일관된 강제를 가능하게 합니다.

시스템이 현대화됨에 따라 비밀번호 정책도 더 강력한 통제를 사용하도록 업데이트되어야 합니다.

비밀번호 정책과 관련 보안 개념의 비교

비밀번호 정책 vs. MFA 정책

비밀번호 정책은 비밀번호가 생성, 사용, 변경, 보호되는 방식을 정의합니다. MFA 정책은 사용자가 언제, 어떻게 추가 인증 요소를 제공해야 하는지를 정의합니다. 두 정책은 관련되어 있지만 동일하지는 않습니다.

비밀번호 정책은 약한 자격 증명의 위험을 줄입니다. MFA 정책은 도난된 비밀번호만으로 계정에 접근할 수 있는 위험을 줄입니다. 함께 사용될 때 더 강력한 인증 보안을 제공합니다.

중요한 계정은 일반적으로 강력한 비밀번호 규칙과 MFA 모두로 보호되어야 합니다.

비밀번호 정책 vs. 접근 통제 정책

비밀번호 정책은 인증 자격 증명에 초점을 맞춥니다. 접근 통제 정책은 인증 후 사용자가 무엇을 할 수 있는지에 초점을 맞춥니다. 사용자는 강력한 비밀번호를 가지고 있더라도 과도한 권한을 가질 수 있습니다.

두 정책 모두 필요합니다. 비밀번호 정책은 사용자를 검증하는 데 도움이 되고, 접근 통제 정책은 역할과 비즈니스 필요에 따라 사용자의 행동을 제한합니다.

강력한 인증은 최소 권한 접근과 결합되어야 합니다.

비밀번호 정책 vs. 패스키 전략

패스키는 전통적인 비밀번호 의존도를 줄이기 위해 설계된 새로운 인증 방법입니다. 패스키 전략은 궁극적으로 일부 시스템에서 비밀번호 정책의 중요성을 감소시킬 수 있습니다. 그러나 많은 조직이 여전히 비밀번호에 의존하는 시스템을 운영하고 있습니다.

전환 기간 동안 비밀번호 정책은 여전히 중요합니다. 조직은 지원되는 애플리케이션에는 패스키를 사용하면서 레거시 시스템, 서비스 계정, 백업 접근, 아직 비밀번호 없는 로그인을 지원하지 않는 애플리케이션에는 비밀번호 통제를 유지할 수 있습니다.

비밀번호 정책과 비밀번호 없는 전략은 현대화 과정에서 공존할 수 있습니다.

비밀번호 정책 vs. 특권 접근 관리

특권 접근 관리(PAM)는 고위험 계정과 관리 접근을 통제합니다. 여기에는 비밀번호 보관, 세션 모니터링, 적시 접근, 승인 워크플로우, 자동 자격 증명 교체가 포함될 수 있습니다.

비밀번호 정책은 더 광범위하며 다양한 계정 유형에 적용됩니다. PAM은 침해 시 가장 큰 피해를 초래할 수 있는 계정에 더 엄격한 통제를 적용합니다.

조직은 특권 계정에는 PAM을 사용하고 일반적인 ID 보안에는 더 광범위한 비밀번호 정책을 사용해야 합니다.

결론

비밀번호 정책은 비밀번호가 생성, 사용, 저장, 변경, 재설정, 모니터링 및 보호되는 방식을 정의합니다. 조직이 약한 비밀번호를 줄이고, 자격 증명 재사용을 방지하고, 추측 공격으로부터 계정을 보호하며, 시스템 전반에 걸쳐 일관된 인증 관행을 만드는 데 도움이 됩니다.

현대적인 비밀번호 정책은 비밀번호 길이, 고유성, 유출 비밀번호 차단, 안전한 비밀번호 저장, MFA, 비밀번호 관리자 지원, 속도 제한, 안전한 재설정 워크플로우, 특권 계정 보호, 서비스 계정 통제, 감사 로깅을 강조해야 합니다. 실제 보안을 개선하지 못하면서 불만만 야기하는 구식 규칙은 피해야 합니다.

비밀번호 정책은 엔터프라이즈 시스템, 클라우드 플랫폼, 고객 포털, VPN, 원격 접속 서비스, 특권 접근 관리, 데이터베이스, 애플리케이션, API에서 사용됩니다. 사용자 교육, 기술적 강제, 모니터링, 정기적 검토와 결합될 때 ID 보안 및 접근 거버넌스를 위한 중요한 기반이 됩니다.

자주 묻는 질문

비밀번호 정책을 간단히 말하면 무엇인가요?

비밀번호 정책은 비밀번호를 어떻게 생성, 보호, 변경, 저장, 모니터링해야 하는지를 설명하는 규칙의 집합입니다.

조직이 약한 비밀번호를 줄이고, 계정 침해를 방지하며, 인증을 보다 일관되게 관리하도록 돕습니다.

비밀번호 정책에는 무엇이 포함되어야 하나요?

비밀번호 정책에는 최소 길이, 긴 비밀번호 지원, 유출 비밀번호 차단, 비밀번호 재사용 방지, MFA 요구 사항, 계정 잠금 또는 속도 제한, 안전한 재설정 규칙, 비밀번호 저장 요구 사항, 감사 로깅이 포함되어야 합니다.

또한 일반 사용자, 관리자, 서비스 계정, 고위험 시스템에 대해 서로 다른 통제를 정의해야 합니다.

비밀번호를 정기적으로 변경해야 하나요?

비밀번호는 침해 증거, 계정 탈취 의심, 사용자 요청, 장치 분실, 비밀 노출 또는 관리적 재설정이 있을 때 변경해야 합니다.

침해 증거 없이 주기적으로 강제 변경하면 사용자 불만을 야기하고 예측 가능한 비밀번호 패턴을 조장할 수 있습니다.

비밀번호 길이가 왜 중요한가요?

긴 비밀번호는 일반적으로 짧은 비밀번호보다 추측하거나 크래킹하기 어렵습니다. 특히 그것들이 고유하고 일반적인 단어나 예측 가능한 패턴에 기반하지 않은 경우에 그렇습니다.

긴 패스프레이즈와 비밀번호 관리자가 생성한 비밀번호는 보안과 사용성을 모두 향상시킬 수 있습니다.

강력한 비밀번호만으로 MFA 없이 충분한가요?

강력한 비밀번호는 중요하지만, 고위험 계정에는 충분하지 않습니다. 비밀번호는 여전히 피싱, 악성코드, 데이터 유출, 사회 공학을 통해 도난될 수 있습니다.

MFA는 또 다른 보호 계층을 추가하며, 원격 접속, 관리자 계정, 이메일, 클라우드 서비스, 금융 시스템, 민감한 데이터 플랫폼에 강력히 권장됩니다.

조직은 어떻게 비밀번호 재사용을 줄일 수 있나요?

조직은 비밀번호 관리자를 장려하고, 알려진 유출 비밀번호를 차단하며, 적절한 경우 SSO를 사용하고, 사용자를 교육하며, 사용자가 최근 비밀번호를 엔터프라이즈 시스템 내에서 재사용하지 못하도록 함으로써 비밀번호 재사용을 줄일 수 있습니다.

모든 중요한 계정은 고유한 비밀번호를 사용해야 합니다.