이제는 패스워드 매니져와 보안 토큰을 사용할 때

점점 많은 사람들의 생활의 축이 인터넷 으로 옮겨 가면서 패스워드 관리의 중요성이 부각되고 있다. 특히 개발자들은 웹으로 제공되는 다양한 도구들도 사용하게 되기 때문에 패스워드 관리의 중요성은 두말할 필요가 없다.  다음 방법을 통해 패스워드 입력 시간은 줄어들고 기억해야할 패스워드의 수도 적어지며  혹시 모를 패스워드 노출 사고에도 더욱 안전해 진다.  보안 토큰에 관련 해서는 별도의 Wiki 링크에  더 자세히 적는다.

사이트 별로 다른 패스워드 사용

패스워드 관리의 기본이라고 할 수 있다. 노출된 패스워드가 다른 사이트에서 동작하지 않게 하기 위해 중요하다. 특히 소규모 쇼핑몰이나 토렌트, 도박 등,, 위험도가 높은 사이트를 사용할수록 본인이  알아차리지 못한 사이에 주요 계정들을 탈취 당할 수 있다.  기사에 의하면  52%는 패스워드를 재사용한다. 왜일까? 업계에는 일상 생활에서 여러 패스워드를 번갈아 입력해야 하는 피로를 일컫는  Password Fatigue라는  단어가 있다. 그래서 현실은 대부분의 사람들이 패스워드가 노출 되도 그대로 사용한다는 것이다. (관련기사 )

패스워드 매니져를 사용한다

사이트 별로 다른 패스워드를 사용하기 위해선 현실적으로 도구의 도움이 반드시 필요하다.  아무런 의미도 가지지 않는 임의의 문자 10자리를 매번 생각해내기는 거의 불가능하다. 각 사이트 별로 암기하는 것도 힘들고 적어놓고 관리하기도 힘들다. 그럴때 도움이 되는 것이 패스워드 매니져이다. 이를 통해 다양한 사이트나 앱에서 회원가입시에 안전한 패스워드를 생성할 수 있으며 로그인시에도 자동입력까지 지원 받을 수 있다. 필자는 무료 1Password와 크롬의 비빌번호 관리자, mac의 키체인을 번갈아 가며 사용한다.

보안 토큰을 활성화한다

패스워드 매니져의 사용을 장려하는  Wired의 기사에도 브라우져에서 제공하는 패스워드 관리자를 사용하지 말것을 장려하고 있다. 로컬 컴퓨터의 관리자 자격이 있으면 누구나 평문의 패스워드를 볼 수 있다는 우려때문이다. 하지만 기사에 나온 1Password나 LastPass를 100% 신뢰할 수 있는가? 물론 나는 돈을 지불하고 서비스를 사용할 만큼 해당 서비스를  신뢰하고 있지만  언제든지 예기치 않은 사고는 일어날 수 있다.

그래서 최악의 경우를 고려해서 까지 보안을 강화할 수 있는 방법이 있다. 바로 구글이나 패스워드 매니져등 탈취 당하면 다른 사이트의 보안까지 위협 받을 수 있는 사이트에 보안 토큰을 등록하는 것이다. 이 방법으로 물리적인 토큰없이는 비밀번호 만으로는  로그인이 허용되지 않는다. Google AuthenticatorAuthy와 같은 2MFA 앱을 사용해도 좋지만 매번 앱을 열어서 코드를 입력하기는 번거로우며 OTP이외에 다양한 인증방법도 지원하지 않는다. 인증시에 정해진 토큰을 가지고 있는지 확인하는 과정은 엔터프라이즈급 보안에서는 최고등급이라고 할 수 있다.

민감함 데이터를 다루지 않는 일반인의 경우에는 1번과 2번의 조합으로 충분하지만 개발자와 같이 여러 종류의 웹앱을 사용하는 사람들은 반드시 보안 토큰 등록까지 활성화 해놓길 바란다.

참고

https://haveibeenpwned.com (이메일을 입력하면 해외 사이트 기준으로 정보가 누출된 적 있는지 알려준다)

https://twofactorauth.org (2FA를 지원하는 사이트들의 목록을 제공한다. 일반 사용자들이 쓰는 OTP는 소프트웨어 토큰, 유비키나 타이탄 키는 하드웨어 토큰이다)

https://passwords.google.com (구글에 저장된 데이터를 기반으로 얼마나 많은 사이트에서 중복된 패스워드를 사용하고 있는지 알 수 있으며 패스워드가 누출된 사이트에 대해서는 변경을 권하기도 한다)

패스워드 매니져

https://www.dashlane.com

https://www.lastpass.com

https://1password.com

보안토큰

https://tacogrammer.com/wiki/fido-u2f-유비키-yubikey/

https://cloud.google.com/titan-security-key/

https://www.yubico.com/product/yubikey-5-nano