▲neo 2달전 | parent | favorite | on: GN⁺: NIST(미국 국립표준기술연구소), 특정 비밀번호 문자 구성 요구 금지(mastodon.social)Hacker News 의견 NIST는 2017년부터 비밀번호 구성 규칙을 완화하는 지침을 제공해 왔음 "검증자는 암기된 비밀번호에 대해 다른 구성 규칙을 강요하지 말아야 함" "검증자는 임의로 비밀번호를 변경하도록 요구하지 말아야 함" "인증자가 손상된 증거가 있을 경우 변경을 강제해야 함" NIST는 정책을 설정하지 않지만, 많은 다른 정책들이 NIST 800-63을 참조함 웹사이트 가입 시 "좋은 비밀번호는 a, b, c를 사용해야 한다"는 규칙이 매우 짜증났음 많은 사이트 개발자들이 좋은 비밀번호에 대해 잘 모르는 것 같음 NIST는 '보안 질문'도 금지함 (예: "어머니의 성함은?") NIST는 몇십 년 동안 잘못된 비밀번호 지침을 제공하다가 이제서야 더 합리적인 해결책으로 변경함 이전의 잘못된 지침으로 인해 많은 소프트웨어가 구축되었고, 이를 변경하는 데 오랜 시간이 걸릴 것임 bcrypt 문제로 인해 "제출된 비밀번호 전체를 검증해야 한다"는 요구사항이 생긴 것 같음 NIST는 최대 비밀번호 길이를 64자로 제안함 (많은 사이트는 20자로 제한하여 암호 구문 사용이 불가능했음) 한 사용자의 이야기: 아내의 은행은 지난달까지 숫자 ID를 로그인으로 사용했음 이번 달부터 사용자 이름을 선택하도록 강제했으며, 대문자와 숫자를 포함해야 했음 이 은행은 유럽에서 8번째로 큰 은행임 특정 문자를 요구하는 것이 엔트로피를 증가시키는지 감소시키는지에 대한 논쟁이 있음 특정 문자를 요구하면 선택할 수 있는 문자의 범위가 줄어들어 엔트로피가 감소함 대부분의 사용자는 약한 비밀번호를 선택하므로 특정 문자를 요구하면 엔트로피가 증가할 수 있음 그러나 대부분의 사용자는 쉽게 추측 가능한 위치에 문자를 배치하기 때문에 엔트로피가 여전히 감소할 것임 NIST가 평문 비밀번호를 PAKE로 대체하고, W3C가 이를 위한 메커니즘을 마련하기를 기다리고 있음 원본 링크: NIST SP 800-63b
Hacker News 의견
NIST는 2017년부터 비밀번호 구성 규칙을 완화하는 지침을 제공해 왔음
NIST는 정책을 설정하지 않지만, 많은 다른 정책들이 NIST 800-63을 참조함
웹사이트 가입 시 "좋은 비밀번호는 a, b, c를 사용해야 한다"는 규칙이 매우 짜증났음
NIST는 '보안 질문'도 금지함 (예: "어머니의 성함은?")
NIST는 몇십 년 동안 잘못된 비밀번호 지침을 제공하다가 이제서야 더 합리적인 해결책으로 변경함
bcrypt 문제로 인해 "제출된 비밀번호 전체를 검증해야 한다"는 요구사항이 생긴 것 같음
NIST는 최대 비밀번호 길이를 64자로 제안함 (많은 사이트는 20자로 제한하여 암호 구문 사용이 불가능했음)
한 사용자의 이야기:
특정 문자를 요구하는 것이 엔트로피를 증가시키는지 감소시키는지에 대한 논쟁이 있음
NIST가 평문 비밀번호를 PAKE로 대체하고, W3C가 이를 위한 메커니즘을 마련하기를 기다리고 있음
원본 링크: NIST SP 800-63b