내 독자 중 한 명이 저에게 Dedoimedo, 암호를 어떻게 관리합니까? 이 질문은 암호 관리에 대한 나의 관점을 제시하고자 하는 이 기사의 아이디어가 되었습니다. 내 백업 가이드와 마찬가지로 이 글의 목적은 무엇을 해야 하는지 알려주는 것이 아니라 요구 사항에 맞는 최상의 솔루션을 찾는 데 도움을 주는 것입니다. 거의 심리학자에게가는 것과 같습니다. 더 좋습니다.
따라서 비밀번호로 무엇을 하는지는 말하지 않겠습니다. 관련이 없습니다. 귀하의 비밀번호를 알아야 하는 유일한 사람은 귀하이기 때문에 제 방법과 방법은 그 점에서 귀하에게 도움이 되지 않을 것입니다. 그래서 주로 질문을 하게 됩니다. 괜찮아? 나 후에.
참고:Tony Werman, flickr.com, CC BY-SA 2.0 라이선스.
비밀번호 관리의 세 가지 원칙
온라인에서 10억 개의 가이드를 읽었을 것입니다. 길고 짧고 복잡한 암호, 온라인 금고, 암호화, 2단계 인증 등. 너무 많아서 혼란스러울 수 있습니다. 하지만 본질적으로 암호 관리는 다음 세 가지로 요약됩니다.
무엇을 지키려고 하는가?
당신은 기술에 정통한 사람입니까?
당신이 죽으면 당신의 온라인 계정이 어떻게 되는지 신경쓰십니까?
위험
밝혀진 바와 같이 사람들은 누군가 해당 암호를 훔칠 경우 위험이나 손상 또는 손상 위험을 이해할 필요가 없을 수 있습니다. 단순하거나 간단한 것이 아닙니다. 어리석은 이메일과 사진으로 가득 찬 개인 이메일이 누구에게도 그다지 흥미롭지 않다고 생각할 수 있습니다. 사실은 그렇지 않습니다. 그러나 그 이메일은 다른 서비스의 암호를 복구하는 데 사용될 수 있습니다. 이는 사람들이 자주 하는 일이며, 그런 다음 흥미로운 일이 됩니다. 정보가 이동하고 최종적으로 전달되는 방식은 매우 중요합니다.
참고:CC BY-SA 3.0에 따라 라이선스가 부여된 Wikimedia에서 가져온 이미지입니다.
또한 사람들은 외부의 누군가가 자신의 시스템에 침입하여 물건을 훔치려 한다고 생각할 수 있습니다. 이것은 사람들이 자신의 행동과 즉각적인 환경에 너무 많은 중요성을 부여하는 USI(Unwarranted Human Importance) 증후군의 매우 전형적인 사례입니다. 밝혀진 바와 같이 인터넷은 기름칠이 잘되고 기계화된 시스템으로 자동화와 혼돈이 너무 많기 때문에 당신은 자신의 어리석음, 사고 또는 방치의 임의의 희생자가 될 가능성이 있습니다. 당신의 사회적 낙인과 할리우드 기대를 충족시키는 익명의 낯선 사람. 개별 hax0rz가 당신을 망치기 위해 최선을 다하는 것에 대해 걱정할 필요가 거의 없습니다. 개인 타겟팅은 중요한 사람들의 것이며 귀하는 중요하지 않습니다.
전문 기술
대부분의 사람들에게 암호 관리를 위한 간단한 솔루션은 펜과 종이입니다. 실제로 생각해 보면 마스터 암호와 2단계 인증이 있는 온라인 계정을 보유하는 것보다 더 의미가 있습니다. 기술자가 아닌 사람들은 이러한 도구를 사용하는 데 필요한 규율에 신경쓰지 않기 때문에 유용한 기술 집합을 보안에 기여하지 않는 일련의 취약성 및 노출 벡터로 만드는 조잡한 방식으로 도구를 사용할 것입니다.
도구는 사용자와 일치해야 합니다. KeePass와 LastPass는 훌륭한 유틸리티처럼 들리지만 Google을 거의 사용할 수 없는 사람에게는 적합하지 않습니다. 일반 시민이 테크노 전문 용어를 사용하도록 강요하지 않고도 암호를 안전하게 유지하도록 돕는 우수한 방법이 있습니다.
죽음
마지막으로, 조기에 만료되면 이메일 계정, 온라인 저장소, 클라우드 및 기타 항목은 어떻게 됩니까? 귀하의 가족과 친구가 개인 정보를 검색하거나 최소한 귀하의 이름으로 청구할 수 있습니까?
이것은 암호 관리에 대한 또 다른 고려 사항입니다. 물론 63자 암호와 지문 스캔 등을 사용하여 메일에 대한 두 가지 형식의 인증을 사용할 수 있지만 악의적인 액세스를 방지하도록 설계된 도구는 사망 후 가족과 친구가 정보를 검색하지 못하도록 합니다. 휴대폰이 지문 스캐너를 사용하는 경우 다른 사람이 잠금을 해제할 수 없으므로 온라인 계정에 대한 액세스 코드를 얻을 수 없으며 로그인하더라도 로그인할 수 없습니다. 그들은 암호를 알고 있지만, 당신이 모든 사람을 잠그는 미친듯이 안전한 방식으로 암호를 저장했기 때문입니다.
참고:CC BY-SA 3.0에 따라 라이선스가 부여된 Wikimedia에서 가져온 이미지입니다.
따라서 고려 사항에는 대부분의 사람들이 숙고하기를 원하지 않는 시나리오, 즉 죽음도 포함되어야 합니다. 이중 및 삼중 암호화를 사용하는 방법, 외부 볼륨을 마운트하는 방법, 여기에서 로그인하는 방법, 저기서 로그인하는 방법 등을 지시하기 위해 주변에 있지 않더라도 사랑하는 사람에게 개인 데이터를 안정적으로 전송할 수 있습니까?
사망 시나리오의 확장은 암호를 기억하는 기능입니다. 온라인에서 읽은 모범 사례 중 일부를 손상시키지 않고 실제로 사용할 수 있도록 29개의 서로 다른 웹 사이트에 대한 29개의 서로 다른 암호를 안정적으로 기억할 수 있습니까?
대부분의 사람들은 그렇게 할 수 없습니다. 그래서 그들은 종종 단일 암호를 사용합니다. 우리는 위험과 노출에 대한 질문으로 돌아가 보안이나 개인 정보가 손상되면 어떻게 됩니까? 그렇기 때문에 이를 적절하게 처리하는 방법에 대해 논의해야 합니다.
실제 사운드 조언
모든 것을 고려했으므로 이제 인터넷이 무엇을 제공해야 하는지 살펴보겠습니다. 대부분의 비밀번호 관리 요령은 다음과 관련이 있습니다.
복잡하고 추측하기 어려운 암호 또는 길고 기억하기 쉬운 암호를 사용하십시오.
이중 인증을 사용합니다.
암호를 재사용하지 마십시오.
비밀번호를 자주 새로 고치십시오.
로그인할 때 보안 연결을 사용하십시오.
이것이 기본입니다. 이제 특정 사용 사례에 적용하지 않으면 그 자체로는 의미가 없습니다. 다른 사람이 하는 일을 통제할 수는 없다는 점을 기억하십시오. 누군가가 당신을 해킹하려는지 여부를 결정할 수 없습니다. 또한 시스템이 손상되지 않는다고 100% 보장할 수 없습니다. 그러나 위험과 요구 사항을 평가하고 그에 따라 작업할 수 있습니다.
또한 고려해야 할 또 다른 차원인 손상 제어가 있습니다. 세 가지 구성 요소 중 하나가 어떤 식으로든 손상될 경우 얼마나 빨리 문제를 억제하거나 제거할 수 있습니까? 다시 말하지만, 고려 사항은 사고 전, 도중 및 이후에 발생하는 일을 중심으로 이루어집니다. 비밀번호를 저장한 노트북에 커피를 쏟은 사건이 발생할 수 있으며 지금은 비밀번호를 검색할 수 없습니다.
손상 제어
괜찮은. 신뢰할 수 있는 방식으로 암호를 사용할 수 있기를 원하고 다른 사람이 귀하의 허가 없이 암호에 액세스할 수 없기를 원합니다. 말이 됩니까? 이는 모든 유형의 사용자와 모든 유형의 데이터 민감도에 해당됩니다.
무단 액세스를 방지하려면 암호를 안전하게 유지해야 합니다. 이제 비밀번호를 보관할 수 있는 두 가지 주요 위치(오프라인 또는 온라인)가 있습니다. 오프라인은 컴퓨터에 있지 않은 것, 즉 머리나 쪽지 또는 연결이 끊긴 컴퓨터를 의미하고 온라인은 네트워크에서 액세스할 수 있는 컴퓨터에 있는 것을 의미합니다. 후자의 경우 순전히 기술적인 관점에서 볼 때 인터넷에서 비밀번호에 도달할 수 있습니다. 어려운 작업일 수 있고 그 가능성은 낮을 수 있지만 통계적으로는 가능합니다.
암호를 디지털 형식으로 유지하려면 보호해야 합니다. 즉, 육안으로 볼 수 없도록 암호를 숨기는 일종의 메커니즘을 사용해야 하며 누군가 디스크를 움켜쥐면 데이터는 의미가 없게 됩니다. 이것은 암호화를 의미합니다. 이것은 기술적 전문성과 사후 합병증을 의미합니다.
또한 데이터를 안전하게 유지하더라도 입력 터미널(노트북, 휴대폰 또는 기타 장치)은 이론적으로 데이터 손실 없이 손상될 수 있습니다. 순전히 기술적인 관점에서 볼 때 최악의 경우 키로거를 설치한 다음 암호를 현명하게 관리하더라도 키 입력을 가로챌 수 있고 다른 사람이 귀하의 온라인 계정에 액세스할 수 있습니다.
참고:CC BY-SA 2.0에 따라 라이선스가 부여된 Wikimedia에서 가져온 이미지입니다.
즉, 암호를 관리하는 방법보다는 자신의 컴퓨터가 가장 취약한 연결 고리일 수 있지만 잠시 후에 이 부분을 다룰 것입니다. 컴퓨터 보안은 완전히 다른 주제이며 과거에 그것에 대해 이야기했습니다. 이 경우 암호에 특정한 것은 없습니다. 어떻게든 리소스를 잘못 관리하면 데이터 유출이 발생합니다. 이것은 피싱, 어리석음, 게으름, 무작위 쓰레기 설치 등이 될 수 있습니다. 암호는 손실될 수 있는 많은 잠재적 데이터 중 하나일 수 있습니다. 따라서 귀하가 해야 할 일은 기계를 안전하게 유지하는 것입니다. 저것과 같이 쉬운. 쓰레기가 없으면 파리도 없다고 할아버지가 말씀하시곤 했습니다. 별거 아니지만 좋은 말씀입니다.
하지만 실제로 할 수 없다면 다음 질문은 누군가가 귀하의 암호를 알고 있다면 어떻게 하느냐입니다. 대답은 데이터의 절반을 쓸모 없게 만드는 이중 인증입니다. 하지만 이 방법은 번거롭다. 당신은 고급 사용자가 되어야 하며, 그러면 당신의 기술이 제한 요인이 됩니다. 휴대전화를 분실하면 어떻게 되나요? 당신이 죽고 당신의 가족이 이 새로운 인증 방법을 이해하지 못한다면? 보시다시피 온라인 데이터 액세스가 가능한 한 다음과 같습니다.
온라인 --> 일반|암호화된 비밀번호 --> 키로깅
--> 이중 인증
우리는 아직 오프라인에서 논의하지 않았습니다. 이제는 암호를 절대 적어두지 않는 오래된 보안 관행이 사무실과 기업 환경에 적용됩니다. 가정 사용자에게는 의미가 없습니다. 누군가 집에 침입하면 임의의 종이 조각에 관심이 없을 것이며, 관심이 있다면 온라인 항목에 쉽게 매핑할 수 없을 것입니다. 당신이 표적이 되지 않는 한, 그럴 가능성은 매우 희박한 시나리오입니다.
그래서 당신의 물건을 적는 것은 실제로 좋은 것입니다. 매우 긴 암호를 사용할 수 있고 친구 및 가족과 공유할 수 있으며 기술적 문제가 적고 아무도 인터넷에서 종이 공책을 훔칠 수 없습니다. 이 방법은 컴퓨터 보안 부분을 수정하지 않으므로 다음이 있습니다.
오프라인 --> 키로깅 --> 이중 인증
논리가 2단계 인증을 가리키고 있음을 알 수 있습니다. 이는 대부분의 사용자가 안정적으로 구현하기에 충분히 정통하지 않기 때문에 실제로 배제됩니다. 또한 사후 사용을 복잡하게 만듭니다. 그렇기 때문에 고민을 많이 해야 합니다. 당신은 무엇을 더 두려워합니까? 온라인 해킹 또는 자신의 죽음? 맬웨어에 더 관심이 있습니까, 아니면 건전한 유산을 남기고 싶습니까?
서버측 게임
지금까지 우리는 홈피스에 대해서만 이야기했습니다. 그러나 그 동전에는 양면이 있습니다. 자신과 로그인하는 서버. 그리고 이것은 완전히 새로운 범위의 질문, 문제 및 가능성을 열어줍니다. 사실, 서버를 해킹하는 것이 훨씬 더 수익성이 높습니다. 개별 대상에 노력을 낭비하는 것보다 한 번에 수백만 개는 아니더라도 수천 개의 암호를 수집할 수 있기 때문입니다. 이것은 우리가 최근에 뉴스에서 읽은 것입니다. 적절한 보안 조치를 구현하지 않은 대기업의 데이터 유출.
다시 말하지만 전체 체계에 대한 부분적 제어만 가능합니다. 보안(HTTPS) 연결을 통해 로그인했는지 확인할 수 있지만, 특히 휴대폰 등에서 이를 항상 알지 못할 수도 있습니다. 다양한 모범 사례를 따를 수는 있지만 회사가 해킹당하는 것을 막을 수는 없습니다.
이것이 우리가 피해 관리 문제로 돌아가는 이유입니다. 데이터베이스가 해킹되어 모든 사용자가 손상된 경우 암호 관리 정책을 통해 얼마나 많은 추가 위험이 발생합니까? 따라서 모든 온라인 계정에 대해 동일한 사용자와 비밀번호를 사용한다면 기술적으로 이론적으로는 이러한 자격 증명이 노출되면 누군가가 귀하의 모든 항목에 액세스할 수 있습니다. 사용자뿐만 아니라 다른 암호를 사용하는 것은 의미가 있습니다. 비개인 별칭도 익명화에 도움이 될 수 있습니다. 그리고 이러한 사용자 이름을 어디에 저장합니까? 온라인 또는 오프라인? 우리는 원점으로 돌아갑니다.
참고:CC BY-SA 3.0에 따라 라이선스가 부여된 Wikimedia에서 가져온 이미지입니다.
위의 모든 내용은 비밀번호가 얼마나 강력하거나 기억하기 쉬운가와는 아무런 관련이 없습니다. 그들은 모두 데이터 유출의 결과와 그러한 사고 이전, 도중 및 이후에 무엇을 할 수 있는지에 대해 논의합니다. 왜 이런 일이 일어날 수 있는지에 대한 이유는 잊어버리십시오. 그것은 일어날 것입니다. 중요한 것은 손상을 최소화하기 위해 무엇을 했는지, 문제가 진행되는 동안 무엇을 할 수 있는지, 문제가 해결된 후에 무엇을 해야 하는지입니다.
당신이 현명하다면 사슬의 가장 초기 연결에 많은 에너지를 투자할 것입니다. 왜냐하면 당신이 더 빨리 행동할수록 비용이 더 저렴하기 때문입니다. 준비만 잘하면 문제가 있어도 별로 신경쓰지 않을 수 있다.
클라이언트 측에서는 스마트 보안을 의미하므로 데이터 손상에 대해 걱정할 필요가 없습니다. 아이러니하게도 해킹 가능성이 적은 사람들은 해킹 가능성을 최소화하도록 설계된 방법인 이중 인증을 사용할 가능성이 더 높은 사람들입니다.
결국 오프라인 또는 온라인 암호 저장소를 선택하고 서버 측 문제가 있을 경우 발생할 수 있는 피해를 최소화하는 것을 의미합니다. 즉, 다양한 온라인 계정에 다른 이름과 암호를 사용하십시오. 고통스럽지만, 모든 사람에게 자신의 정체성을 알리며 거리를 돌아다니시나요? 아니요. 그렇다면 왜 온라인에서 그렇게 하시겠습니까?
요약하자면, 은총알 솔루션은 없습니다.
모두 기억하기
그러나 암호는 보안에 관한 것이 아닙니다. 부분적으로 그렇습니다. 그러나 그것들을 잘 관리해야 하는 훨씬 더 중요한 이유가 있습니다. 당신 자신의 두뇌. 당신이 그들을 잊으면, 당신은 망했어. 찾을 수 없을 정도로 깊은 곳에 묻었다면 망한 것입니다. 죽으면 다 없어집니다.
사실 보안은 개념으로서 매우 과대평가되고 있습니다. 온라인 세계의 일부이지만 일상 생활에서 성병에 걸릴 이유가 없듯이 악성 코드를 만질 이유가 없습니다. 분별력 있게 행동하면 웹의 해당 측면을 피할 수 있습니다. 다시 말하지만 컴퓨팅의 역설입니다. 이 조언이 필요한 사람들은 이 기사를 읽지 않을 것이며, 이미 하고 있는 일에 대한 확신을 즐기며 스크롤을 내리는 괴짜들일 것입니다.
그래서 보안. 사람들은 그것에 많은 돈을 투자하지만 더 시급한 문제가 있습니다. 데이터 백업처럼. 해킹 당할 가능성은? 낮은. 하드 디스크를 잃어버릴 가능성은 얼마나 됩니까? 100%. 이것이 사람들이 잊는 것입니다.
비밀번호도 마찬가지입니다. 당신은 그들을 잊을 것입니다. 당신은 그들을 잘못 놓을 것입니다. 당신은 죽을 것이다. 따라서 유용하고 실용적으로 만드십시오. 그리고 이것은 실제로 원래 요청에 대한 답변입니다. 암호를 현명하게 관리하는 방법은 무엇입니까?
대답은 - 저는 가지고 있지 않습니다. 귀하의 고려를 유도하는 것은 암호가 필요할 때 기억할 수 있는 방법입니다. 그리고 기억하세요. 내 말은, 뇌 세포 내부나 오래되고 망가진 종이 어딘가에서 그것들을 찾을 수 있다는 것입니다.
복잡한 암호와 긴 암호의 논쟁이 떠오릅니다. 사실, 가짜 암호를 사용하는 것은 모두 l33t이고 멋지고 멋집니다. 그러나 실제로는 사람의 표적이 되지 않는 한 길고 기억하기 쉬운 암호를 사용하는 것이 대다수의 사람들에게 통계적으로나 수학적으로 더 현명한 접근 방식입니다. 그들은 노래 가사나 장소 등을 쉽게 기억할 수 있지만 우리 괴짜들이 그들에게 가하는 말도 안되는 대문자 소문자 특수 문자는 확실히 마스터할 수 없습니다.
이 모든 것의 부수적인 이점은 비밀번호 관리 프로세스가 재미있다면 사람들이 이를 고수하고 어느 정도 규율을 유지할 가능성이 더 높다는 것입니다. 좋아하는 영화와 함께 가서 목록을 작성하고 즐기십시오. 간단하고 효과적인 것 같습니다. 암호의 유산을 보장하기 위해 자신만의 방법을 찾아야 하기 때문에 제가 이것을 옹호하는 것이 아니라는 점을 기억하십시오.
암호 관리의 삼각형을 잊지 마십시오. 위험. 기술. 죽음. 당신의 노래가 높고 강력할 수 있지만 숨겨진 폴더 안에 pr0n.txt라는 파일에 저장했다고 아무도 추측할 수 없다면 의미가 없겠죠?
결론
보시다시피 실망하실 수 있습니다. 특정 앱이나 기술을 언급하지 않고 이 기사를 마치겠습니다. 조언을 하는 것은 너무 쉽고 당신이 그것을 적용해야 할 때 아무 의미가 없기 때문입니다. 속담 속담처럼 생각과 추론의 황금 비법으로 무장한 암호 관리의 파란 공을 남길 것입니다. 그러면 필요한 도구를 얻을 수 있습니다.
세 가지 중요한 매개 변수를 기반으로 상황을 평가하십시오. 확률을 알면 가장 약한 링크를 알 수 있습니다. 먼저 강화한 다음 사다리를 작업하십시오. 일어날 것이라는 기대로 피해를 최소화하십시오. 무의미한 보안의 인상적이지만 무의미한 요새를 만드는 대신 기술을 사용하여 자신과 가족을 지원하십시오. 당신은 당신이 생각하는 것만큼 중요하지 않으며, 해킹당하기 전에 일어날 백 가지 일이 있습니다. 그리고 당신은 보안 포럼을 너무 많이 방문했기 때문에 그들 모두를 무시하고 있습니다.
결론적으로 암호 관리는 특히 다른 계정 이름과 암호를 사용하는 경우 약간의 작업을 의미하지만 지속 가능한 방식으로 수행할 수 있습니다. 당신은 당신의 삶의 기대치, 기술적인 기술, 변덕, 호기심, 대담함, 어리석음, 그리고 평범한 디스크 오류로 모든 것을 잃을 위험과 일치하는 것을 찾기만 하면 됩니다. 끝났습니다. 원한다면 날 미워해 XYZ 2.0 및 MyP@ss 17.3 사용과 같은 조언을 찾고 있다면 다른 곳을 살펴보십시오. 우리는 생각하는 법을 배우기 위해 여기 있습니다! 끝.
추신 두뇌 메모리 이미지는 공개 도메인에 있습니다.
건배.