암호 정책이란 무엇이며 어떻게 생성합니까?

게시 됨: 2023-01-26

손상된 암호는 데이터 유출의 주요 원인입니다. 실제로 해킹 관련 유출 사고의 80% 이상이 비밀번호 관련 문제로 발생한다. 강력한 암호 정책은 비즈니스의 모든 사람이 강력한 암호를 사용하도록 하는 데 도움이 될 수 있습니다.

그렇다면 암호 정책이란 무엇입니까? 표준 암호 정책을 어떻게 만들 수 있습니까? 암호 정책 모범 사례는 무엇입니까? 아래에서 알아봅시다.

암호 정책이란 무엇입니까?

암호 정책은 회사의 모든 사람이 강력한 암호를 만들고 이를 적절하게 사용하여 컴퓨터 보안 및 온라인 보안을 강화하기 위한 일련의 지침입니다.

표준 비밀번호 정책에는 비밀번호를 생성, 변경, 저장 또는 공유할 때 사용자가 고려해야 할 사항과 피해야 할 사항이 포함됩니다.

예를 들어 암호 정책은 사용자가 특정 수의 특수 문자를 포함하여 더 긴 암호를 생성하도록 지시할 수 있습니다.

조직의 필요에 따라 암호 정책을 권고 또는 필수로 설정할 수 있습니다.

암호 정책이 중요한 이유는 무엇입니까?

암호 정책은 비즈니스에서 강력하고 고유한 암호를 사용하여 암호 보안을 강화하는 데 도움이 될 수 있습니다.

강력한 암호 보안 정책을 구현하는 것이 비즈니스에 중요한 주요 이유는 다음과 같습니다.

  • 암호 재사용은 보안 실수입니다. 암호 정책은 암호 재사용 관행을 신속하게 배제할 수 있습니다.
  • 다단계 인증 조항이 포함된 강력한 비밀번호 정책으로 다양한 보안 위험을 크게 최소화할 수 있습니다.
  • 회사의 모든 사람이 복잡한 암호를 만들고 안전하게 저장하기 시작합니다. 결과적으로 암호는 무차별 대입 공격 및 기타 암호 관련 공격으로부터 안전합니다.
  • 강력한 암호 정책은 암호를 보호하기 위해 엄격한 조치를 취하고 있음을 고객 및 공급업체에 알립니다. 이것은 그들과 신뢰를 구축하는 데 도움이 될 수 있습니다

마지막으로 소기업이 점점 더 다양한 유형의 사이버 보안 공격의 대상이 되고 있기 때문에 암호 정책은 오늘날 세계에서 가장 중요한 사이버 보안 문화를 조성합니다.

암호 정책

표준 암호 정책을 만드는 방법

다음은 강력한 암호 정책을 만드는 단계별 프로세스입니다.

1. 암호 복잡성 요구 사항 설정

시스템 관리자 또는 IT 부서는 강력한 암호 생성을 위해 암호 복잡성 지침을 설정해야 합니다.

다음은 사용자가 취약한 암호를 생성하지 않도록 암호 정책에 포함해야 하는 필수 암호 요구 사항입니다.

  • 비밀번호는 10자 이상이어야 합니다(길수록 좋음).
  • 사용자는 암호에 대문자, 소문자 및 특수 문자를 포함해야 합니다.
  • 맞춤법이 틀린 단어를 포함하는 것은 복잡한 암호를 만드는 좋은 방법입니다.

무차별 대입 공격과 사전 공격은 간단한 암호를 해독할 수 있습니다. 따라서 암호 정책에는 사용자가 해커로부터 안전한 암호를 만들도록 권장하는 복잡성 요구 사항이 있어야 합니다.

2. 비밀번호 거부 목록 만들기

사용자가 해야 할 일 외에도 암호 정책에는 사용자가 암호를 만들 때 피해야 할 사항도 명시해야 합니다.

암호 거부 목록에는 다음이 포함될 수 있습니다.

  • 이름, 생년월일, 출생지, 직책 등 개인 관련 정보
  • 전화번호, 집 번호 또는 거리 번호
  • 배우자, 자녀 또는 사랑하는 사람의 이름
  • 여러 계정에서 동일한 비밀번호 재사용

일반적으로 암호 정책의 거부 목록에는 모든 유형의 개인 정보 또는 간단한 패턴(예: QWERTY ~ 123456)이 포함되어야 합니다.

3. 비밀번호 만료 기간 설정

암호 만료 기간을 설정하는 기본 아이디어는 해커가 이전 데이터 유출에서 찾은 암호가 작동하는지 여부를 알 수 없다는 것입니다.

예를 들어, 귀하의 비밀번호가 2개월 된 데이터 유출 사건에서 공개되었습니다. 그리고 매월 비밀번호를 변경합니다. 해커는 유출된 비밀번호를 사용하여 귀하의 계정에 액세스할 수 없습니다.

이상적으로는 암호 만료 기간을 3개월로 설정해야 합니다. 그러나 비즈니스의 필요에 따라 이 기간을 조정할 수 있습니다. 또한 직원이 다른 계정에 동일한 비밀번호를 재사용하지 않도록 해야 합니다.

4. 다단계 인증 시행

다단계 인증(MFA)은 비즈니스 계정의 보안을 강화할 수 있습니다. 이는 해커가 해당 계정의 로그인 및 비밀번호를 확보하더라도 계정에 액세스할 수 없기 때문입니다.

따라서 암호 정책은 사용자가 이 기능을 허용하는 모든 계정에 대해 MFA를 구현하도록 의무화해야 합니다.

5. 계정 잠금 임계값 포함

계정 잠금 임계값을 사용하면 특정 횟수의 로그인 시도 실패 후 사용자 계정이 잠길 수 있습니다. 이 기능은 Brute Force 공격 및 사전 공격으로부터 계정을 보호합니다.

이상적으로는 계정 잠금 임계값을 5번의 로그인 시도 실패로 설정할 수 있습니다. 여기에는 15분의 계정 잠금 기간 구현이 포함됩니다.

6. 비밀번호 저장 방법에 대한 지침 마련

직원의 55%가 스티커 메모에 암호를 저장한다는 사실을 알고 계십니까? 직원이 비밀번호를 저장하는 방식이 비밀번호 보안에 영향을 미칩니다.

이메일, 휴대폰의 메모 앱, 종이 메모, 컴퓨터의 문서에 비밀번호를 저장하는 것은 나쁜 습관입니다. 이렇게 하면 암호가 길고 복잡하더라도 암호의 보안이 약화됩니다.

따라서 암호 보안 정책에는 암호를 안전하게 저장하기 위한 명확한 지침이 포함되어야 합니다. 이를 수행하는 한 가지 방법은 암호를 암호화하고 마스터 암호 뒤에 안전하게 저장하는 암호 관리자를 사용하는 것입니다.

요즘 대부분의 브라우저에는 비밀번호를 저장하는 기능이 있지만 비밀번호 관리자를 사용하여 비밀번호를 저장하는 것이 더 안전한 옵션입니다. 암호 관리자는 다른 사용자 간에 암호를 공유하는 안전한 방법도 제공합니다.

7. 정책 위반자에 대한 처벌 설정

컴퓨터와 온라인 계정을 보호하기 위해 암호 보안 정책을 만들었습니다. 그러므로 모든 사람은 그것을 종교적으로 따라야 합니다. 정책을 자주 위반하는 사람들에 대해 몇 가지 결과를 설정하는 것은 모든 사용자가 암호 정책을 준수하도록 권장하는 좋은 생각일 수 있습니다.

그러나 암호 정책 위반자가 실수를 했다고 느낄 수 있도록 창의적인 방법을 고안해야 합니다. 가혹한 처벌은 그들을 내부 위협으로 만들 수 있습니다.

정책 위반자에게 더 많은 인식 교육 세션을 제공하고 비밀번호 정책을 따르도록 권장합니다. 그러나 누군가가 많은 경고에도 불구하고 반복적으로 실수를 한다면 비즈니스를 위험에 빠뜨리기 때문에 그들을 놓아주는 것이 최선의 선택이 될 수 있습니다.

8. 비밀번호 정책을 정기적으로 업데이트하십시오.

암호 정책은 고정된 것이어서는 안 됩니다. 대신 때때로 암호 정책을 검토하고 성공 여부를 확인해야 합니다.

  • 사용자가 길고 복잡한 암호를 생성하도록 보장
  • 사용자가 해킹하기 쉬운 새 암호를 생성하지 못하도록 방지
  • 정책에서 권장하는 대로 사용자가 비밀번호를 자주 변경하도록 권장
  • 사용자가 여러 계정에 동일한 비밀번호를 사용하지 못하도록 방지

정기적인 암호 감사에서 관찰한 내용에 따라 암호 정책을 조정하면 비즈니스에서 암호 보안을 강화하는 강력한 암호 정책을 만드는 데 도움이 됩니다.

암호 정책 모범 사례

다음은 암호 정책의 성공을 극대화하기 위한 모범 사례입니다.

1. 접근하기 쉬운 비밀번호 정책을 가집니다.

정책 가이드북은 사용자가 비밀번호 생성 및 비밀번호 저장과 같은 다양한 섹션을 쉽게 탐색할 수 있도록 구성되어야 합니다.

사용자가 원하는 방식으로 액세스할 수 있도록 암호 정책의 하드 카피와 소프트 카피를 모두 준비하십시오.

2. 비밀번호 관리 시스템 도입

정책에 암호 관리자의 의무 사용을 포함하면 암호 보안을 크게 강화할 수 있습니다. 어떻게?

요즘 직원들은 여러 개의 비밀번호를 만들어야 합니다. 그리고 각 계정에 대해 고유한 암호를 만드는 것은 많은 사용자에게 문제가 될 수 있습니다. 암호 관리자는 해독하기 어려운 암호를 즉시 생성하고 여러 암호를 안전하게 저장할 수 있습니다.

3. 안전하지 않은 비밀번호 공유 금지

여러 직원이 단일 프로젝트에서 작업하는 오늘날의 비즈니스 환경에서는 사용자 간에 암호를 공유하는 것이 일반적입니다.

비밀번호 보안을 개선하려면 문자 메시지, 이메일 또는 인스턴트 메시지를 통해 비밀번호를 공유하지 않도록 해야 합니다. 보안 암호 공유는 암호 보안을 개선하는 데 필수입니다. 평판이 좋은 모든 암호 관리자를 통해 사용자는 암호를 안전하게 공유할 수 있습니다.

4. 로그인 시간 구현

직원은 계정과 시스템을 사용할 때만 로그인해야 합니다. 아무도 사용하지 않을 때 계정과 시스템을 로그인 상태로 유지하는 것은 형편없는 사이버 보안 관행입니다. 그리고 암호 정책은 이러한 관행을 엄격히 금지해야 합니다.

5. 정기적인 암호 감사 수행

암호 정책의 효율성을 확인하기 위해 정기적으로 암호 감사를 실시하십시오. 이를 통해 비밀번호 정책의 개선 영역을 파악하여 성공을 극대화할 수 있습니다.

NIST 암호 지침은 무엇입니까?

암호에 대한 필수 NIST 지침에는 최소 8자 길이의 암호 생성, 복잡성보다 길이 강조, '암호 표시' 설정 켜기, 2단계 또는 다중 요소 인증 구현 및 빈번한 암호 변경 방지가 포함되지만 이에 국한되지 않습니다.

복잡한 암호가 최소 암호 길이만큼 중요합니까?

해킹하기 어려운 암호를 생성하려면 복잡성과 암호 길이가 모두 필요합니다. 그러나 더 긴 암호보다 더 복잡한 암호를 선택하면 사용자가 암호를 기억하기 어렵습니다. 회사에서 암호 관리자 앱을 사용하는 경우 길이와 복잡성을 최대화하는 것이 좋습니다.

암호를 얼마나 자주 변경해야 합니까?

대부분의 사이버 보안 전문가는 암호를 3개월마다 변경해야 한다고 권장합니다. 모든 좋은 비밀번호 관리자는 저장된 비밀번호가 데이터 유출 사건에서 발견되는지 알려주는 기능을 가지고 있는 경우가 많습니다. 정보 유출에 노출된 경우 즉시 비밀번호를 변경해야 합니다.

소기업은 암호 관리자를 사용해야 합니까?

예, 소기업은 암호 관리자를 사용해야 합니다. 암호 관리자 앱은 직원들이 복잡한 암호를 만들고 암호를 안전하게 저장하고 암호를 안전하게 공유하도록 도와줍니다. 암호 관리자를 사용하면 안정적인 암호 보호 기능을 제공합니다.

이상적인 암호 정책은 무엇입니까?

이상적인 암호 정책은 해독하기 어려운 암호를 만들고, 암호를 안전하게 저장하고, 계정마다 다른 암호를 사용하는 데 중점을 둡니다. 또한 이전 암호를 자주 변경하는 것을 강조합니다.

당신은 또한 좋아할 수 있습니다:

  • 비즈니스 WiFi 암호 공유는 어려울 필요가 없습니다. 이와 같이 QR 코드를 사용하십시오

이미지: Envato 요소

자세히 알아보기: 사이버 보안