요약:

Microsoft는 보안 가이드 라인에서 정기적 인 비밀번호 변경에 대한 권장 사항을 제거했습니다. 이 변경은 사용자가 더 간단한 암호를 생성하고 비밀번호를 정기적으로 변경해야 할 때 여러 계정에서 재사용하는 경향이 있기 때문에 구현되었습니다. 필수 비밀번호 변경 대신 Microsoft는 다중 인 인증 사용을 옹호합니다. 사용자가 약한 암호를 생성하지 못하도록 조직은 모든 ​​유형의 문자를 사용해야하는 비밀번호 정책을 시행하고, 일반적인 단어를 금지하며, 이전 비밀번호의 사용을 방지 할 수 있습니다. 또한 조직은 사용자가 데이터 유출에 노출 된 비밀번호를 사용하지 못하게해야합니다. 암호 관리를 지원하기 위해 AdSelfservice Plus. 이 기능에는 비밀번호에 사용되는 문자, 문자 반복 또는 이전 비밀번호의 사용, 패턴 사용 및 일반적인 단어 사용 및 비밀번호의 길이에 관한 규칙이 포함됩니다. Adselfservice Plus는 또한 내가 Pwned와 통합됩니다? 선택한 암호가 이전에 위반되었는지 사용자에게 경고합니다. 암호 관리 외에도 Adselfservice Plus.

키 포인트:

  1. Microsoft는 보안 가이드 라인에서 필수 정기 비밀번호 변경을 제거했습니다.
  2. 사용자는 비밀번호를 정기적으로 변경해야 할 때 더 간단한 비밀번호를 생성하고 여러 계정에서 재사용하는 경향이 있습니다.
  3. Microsoft는 필수 암호 변경의 대안으로 다중 인 인증을 사용하는 것이 좋습니다.
  4. 비밀번호 정책을 시행하면 사용자가 약한 비밀번호를 만들지 못하게 할 수 있습니다.
  5. 비밀번호 정책에는 모든 유형의 문자 사용, 일반적인 단어 금지 및 이전 암호 사용 방지 요구 사항이 포함될 수 있습니다.
  6. 데이터 유출에 노출 된 암호 사용 방지는 계정 보안에 중요합니다.
  7. AdselfService Plus는 사용자 정의 비밀번호 정책을 만들기위한 비밀번호 정책 집행 기능을 제공합니다.
  8. 비밀번호 정책 집행 기능에는 사용 된 문자 규칙, 문자 반복, 패턴 사용 및 일반적인 단어 및 비밀번호 길이가 포함됩니다.
  9. Adselfservice Plus와 통합되어 내가 Pwned를 받았습니다? 비밀번호가 이전에 위반 된 경우 사용자에게 경고합니다.
  10. Adselfservice Plus는 다중 인증 인증, 단일 사인온 및 비밀번호 만료 알림과 같은 추가 기능을 제공합니다.

질문:

1. Microsoft가 보안 지침에서 필수 암호 변경을 제거한 이유?

Microsoft는 정기적으로 암호를 변경할 때 더 간단한 암호를 생성하고 여러 계정에서 재사용하는 경향이 있기 때문에 필수 비밀번호 변경을 제거했습니다.

2. 비밀번호 보안을위한 Microsoft의 대체 권장 사항은 무엇입니까??

Microsoft는 필수 암호 변경의 대안으로 다중 인 인증을 사용하는 것이 좋습니다.

삼. 조직이 사용자가 약한 비밀번호를 생성하지 못하게하는 방법?

조직은 모든 ​​유형의 문자를 사용해야하는 비밀번호 정책을 시행하고, 일반적인 단어를 금지하며, 이전 비밀번호의 사용을 방지 할 수 있습니다.

4. 데이터 유출에 노출 된 암호 사용을 방지하는 것이 중요한 이유?

공격자는 종종 향후 공격으로 이러한 암호를 저장하고 재사용하기 때문에 데이터 유출에 노출 된 암호 사용을 방지하는 것이 중요합니다.

5. AdselfService Plus가 제공하는 비밀번호 정책 집행 기능은 무엇입니까??

비밀번호 정책 집행 기능을 통해 조직은 사용 된 문자, 캐릭터 반복, 패턴 사용 및 일반적인 단어 사용 및 비밀번호 길이에 대한 특정 규칙을 가진 사용자 정의 비밀번호 정책을 만들 수 있습니다.

6. adselfservice plus와 어떻게 통합 되었습니까??

Adselfservice Plus와 통합되어 내가 Pwned를 받았습니다? 선택한 암호가 이전에 위반 된 경우 사용자에게 경고합니다.

7. 암호 관리 외에도 다른 기능은 AdSelfService Plus가 제공합니다?

Adselfservice Plus는 다중 인증 인증, 단일 사인온 및 비밀번호 만료 알림과 같은 기능을 제공합니다.

8. 다중 인 인증을 사용하면 어떤 이점이 있습니까??

다중 인 인증을 사용하면 사용자가 검증을 위해 비밀번호 및 지문과 같은 여러 형태의 인증을 제공하도록함으로써 추가 보안 계층이 추가됩니다.

9. 비밀번호 정책을 시행하는 것이 중요한 이유는 무엇입니까??

비밀번호 정책을 시행하면 사용자가 더 안전하고 무단 액세스에 대한 강력하고 복잡한 암호를 생성 할 수 있습니다.

10. Adselfservice Plus가 조직이 보안을 향상시키는 데 어떻게 도움이됩니까??

AdselfService Plus.

11. 비밀번호 정책에 의해 시행되는 규칙의 몇 가지 예는 무엇입니까??

비밀번호 정책에 의해 시행되는 규칙의 예로는 대문자, 소문자, 숫자 및 특수 문자의 조합을 사용하고, 사용자 이름에서 특정 문자의 연속 반복을 제한하고, 사전 단어 또는 키보드 시퀀스의 사용을 방지하는 것이 포함됩니다.

12. 비밀번호 재사용을 방지하면 보안 향상에 도움이됩니다?

비밀번호 재사용을 방지하면 여러 계정에서 동일한 암호를 사용하면 하나의 암호가 노출되면 모든 계정이 손상 될 위험이 높아 지므로 보안 향상에 도움이됩니다.

13. AdselfService Plus는 곧 알 수있는 비밀번호에 대해 사용자에게 알리나요??

AdselfService Plus는 곧 알 수있는 비밀번호와 관련하여 사용자에게 알림을 보냅니다.

14. 단일 사인온 사용의 이점은 무엇입니까??

단일 사인온을 사용하면 사용자는 매번 자격 증명을 입력 할 필요없이 한 번에 로그인하고 여러 응용 프로그램에 액세스 할 수 있으므로 여러 비밀번호 관리의 번거 로움을 줄일 수 있습니다.

15. 도메인 비밀번호 변경 중에 AdselfService Plus가 비밀번호 보안을 향상시키는 방법은 어떻게 변경되고 재설정됩니다?

AdselfService Plus 도메인 비밀번호 변경 중 암호가 변경되는 동안 CTRL+ALT+DEL 화면 및 암호를 사용하여 Active Directory 사용자 및 컴퓨터 콘솔을 사용하여 비밀번호를 재설정하여 비밀번호 보안 조치가 일관되게 따라야합니다.

Microsoft는 필수 비밀번호 변경이 IS라고 말합니다 “고대적이고 쓸모가 있습니다”

Margosis는 권장되는 최소 암호 길이, 이력 또는 복잡성에 영향을 미치지 않는다는 것이 분명했습니다. 또한 지적한 바와 같이 Microsoft는 사람들이 다중 인 인증을 사용하도록 계속 촉구합니다.

보안

작년에 Microsoft는 고객에게 권장하는 보안 지침에서 정기적 인 비밀번호 변경이 제거되었다고 발표했습니다. 비밀번호 만료를 사용하여 필수 주기적 비밀번호 변경이 지난 몇 년 동안 Active Directory 계정 보안에 필요한 단계로 선전되었지만 왜 그러한 변화가 발생 했습니까??

비밀번호를 정기적으로 변경하도록 추진했을 때, 사용자는 전임자와 한두 가지 문자 만 다른 더 간단하고 기억하기 쉬운 암호를 생성하는 경향이 있습니다. 여기에 동일한 비밀번호를 여러 계정에 사용하는 관행에 추가하면 정기적 인 비밀번호 변경을 부과하는 목적을 물리 치는 문제가 있습니다.

이에 대한 간단한 해결 방법은 더 강력하고 더 복잡한 암호를 만드는 데 도움이되는 규칙을 시행하는 것입니다. 이 규칙의 예는 다음과 같습니다

  • 모든 유형의 문자 사용을 시행합니다 (대문자, 소문자, 숫자 및 특수 문자.
  • 조직에서 흔히 볼 수있는 단어 사용 금지.
  • 이전 암호 사용 방지.

또 다른 솔루션은 사용자가 데이터 유출 중에 이미 노출 된 암호를 사용하지 않도록하는 것입니다. 공격자는 데이터 유출 중에 잘못된 비밀번호를 저장하고 향후 공격에 사용하는 것으로 유명합니다. 암호 재사용이 또 다른 위험한 습관이되면 사용자가 노출 된 자격 증명을 사용하지 않으면 계정이 위반 될 위험이 있습니다.

통합 된 Active Directory 셀프 서비스 비밀번호 관리 및 단일 사인온 솔루션 인 AdSelfService Plus는 조직이 사용자 정의 비밀번호 정책을 작성하고 원하는 OU 및 그룹에 이러한 정책을 적용 할 수있는 암호 정책 집행 기능을 제공합니다. 비밀번호 정책은 사용자에게 강력하고 복잡한 암호를 만들도록 강요하는 복잡성 규칙으로 구성됩니다. 규칙을 통해 관리자는 다음을 관리 할 수 ​​있습니다

  1. 비밀번호에 사용 된 문자 : 여기에는 비밀번호에 사용되는 특수 문자, 숫자 및 유니 코드 문자 수를 제한하는 규칙이 포함됩니다.
  2. 비밀번호 또는 이전 비밀번호 사용으로 문자 반복 : 여기에는 비밀번호 재설정 중 암호 기록 확인을 시행하는 규칙이 포함되며 사용자 이름 (E)에서 특정 문자의 연속 반복을 제한합니다.g. “AAAAA” 또는 “user01”)).
  3. 패턴 및 일반적인 단어 사용 : 여기에는 키보드 시퀀스, 사전 단어 및 palindromes를 제한하는 규칙이 포함됩니다.
  4. 비밀번호의 길이 : 여기에는 최소 및 최대 암호 길이를 지정하는 규칙이 포함됩니다.

AdselfService Plus는 도메인에서 사용자 정의 비밀번호 정책 구현을 개선하는 다음 옵션을 제공합니다

  • 비밀번호가 특정 길이를 초과하는 경우 사용자가 비밀번호 정책을 재정의하도록 허용.
  • 비밀번호를 성공적으로 만들기 위해 충족 해야하는 최소 규칙 수 지정.
  • AdselfService Plus에서 제공하는 비밀번호 변경 및 셀프 서비스 비밀번호 재설정 중 암호 정책 규칙 표시.
  • CTRL+ALT+DEL 화면 및 Active Directory 사용자 및 컴퓨터 콘솔을 사용하여 암호를 사용하여 비밀번호 변경 중 암호 정책 시행.

Adselfservice Plus가 제공하는 또 다른 기능은 내가 Pwned와의 통합입니다?. 생성 한 암호가 이전에 위반 된 경우 사용자에게 경고하는 서비스입니다. Adselfservice가 통합되면 Pwned가 있습니다? 도메인 사용자는 아래 조치 중 어느 것 중 하나가 생성 한 암호가 이전에 노출 된 경우 경고됩니다

  • adselfservice plus를 사용하여 셀프 서비스 비밀번호 재설정
  • Ctrl+Alt+DEL 옵션을 사용하여 비밀번호 변경.
  • Active Directory 사용자 및 컴퓨터 콘솔을 사용하여 비밀번호 재설정.

AdselfService Plus는 또한 조직의 광고 계정을 보호하기위한 다른 기능을 제공합니다. 이 중 일부는 다음과 같습니다

  • 다중 인증 인증 : 도메인 로그인 중에 TOTP, Google 인증기 및 지문 인증과 같은 방법을 사용하여 여러 인증의 계층을 구현하고, 비밀번호 재설정 및 계정과 같은 셀프 서비스 작업 AdSelfService Plus Portal 및 Enterprise Login (SSO)을 사용하여 잠금 해제됩니다.
  • 단일 사인온 : 사용자가 AdSelfService 포털에 한 번 로그인하고 다시 로그인하지 않고 다른 엔터프라이즈 애플리케이션에 액세스 할 수 있습니다.
  • 비밀번호 만료 알림 : 빨리 확장 된 비밀번호에 대해 사용자에게 알립니다.

AdSelfService Plus로 비밀번호 관리를 단순화하십시오.

감사해요!

다운로드가 진행 중이며 몇 초만에 완료됩니다!
문제가 발생하면 여기에서 수동으로 다운로드하십시오

셀프 서비스 비밀번호 관리 및 단일 사인온 솔루션

ManageEngine Adselfservice Plus. 생체 인식 및 고급 비밀번호 정책 제어를 포함한 엄격한 인증 제어로 엔드 포인트 보안 확인.

  • 관련 상품
    • Admanager PlusActive 디렉토리 관리 및보고
    • Adaudit PluseReal Active Directory 감사 및 UBA
    • EventLog AnalyzerReal 시간 로그 분석 및보고
    • AD360Integrated Identity & Access Management
    • Log360 Comprehensive Siem 및 UEBA
    • 광고 무료 도구 디렉토리 무료 도구

    완전한 셀프 서비스 비밀번호 관리를위한 단일 유리창

    • 암호 셀프 서비스
    • 디렉토리 셀프 서비스
    • 하나의 정체성
    • 보안
    • 관련 상품
    • 셀프 서비스 비밀번호 재설정
    • 셀프 서비스 계정 잠금 해제
    • 비밀번호 만료 통지서
    • Windows Logon 2 요소 인증
    • 비밀번호 정책 집행자
    • Windows/Mac/Linux 로그온 에이전트
    • 모바일 비밀번호 관리
    • 캐시 된 자격 증명 업데이트
    • 다단계 인증

    Microsoft는 필수 비밀번호 변경이 IS라고 말합니다 “고대적이고 쓸모가 있습니다”

    주요 트렌드를 버리고 회사는 오래된 관행에 반대합니다.

    Dan Goodin -2019 년 6 월 3 일 오후 9시 8 분 UTC

    게임 쇼 비밀번호의 스크린 샷

    독자 의견

    Microsoft는 마침내 보안 전문가가 수년 동안 거의 보편적으로 받아 들여진 최대를 따라 잡고 있습니다.

    지난달 말에 발표 된 크게 간과 된 게시물에서 Microsoft는 고객 및 감사인에게 권장하는 보안 기준 설정에서 정기적 인 비밀번호 변경을 제거하고 있다고 말했다. Microsoft Employee Aaron Margosis는 수십 년간의 Microsoft 권장 암호를 정기적으로 변경 한 후에는 요구 사항이 “매우 낮은 가치의 고대 및 쓸모없는 완화.”

    추가 독서

    심장의 변화는 크게 암호가 크래킹에 가장 경향이 있음을 보여주는 연구 결과입니다’가장 좋아하는 영화 나 책에서 이름이나 문구를 사용할 때와 같은 최종 사용자가 기억하기 쉬운. 지난 10 년 동안 해커는 수백만 단어의 사전을 조립하기 위해 실제 비밀번호 위반을 채굴했습니다. 초고속 그래픽 카드와 결합하여 해커는 오프라인 공격에서 수많은 추측을 할 수 있으며, 이는 일반 텍스트 사용자 암호를 나타내는 암호화 적으로 스크램블 된 해시를 훔칠 때 발생합니다.

    추가 독서

    사용자가 기억하기 쉬운 암호를 난독 화하려고 시도하더라도 단어에 문자 나 기호를 추가하거나 0을 대체하여’O에 대한 s’s 또는 1’l에 대한 s’S— Hackers는 사전 항목을 수정하는 프로그래밍 규칙을 사용할 수 있습니다. 결과적으로 이러한 조치는 현대 크래킹 기술에 대한 보호를 거의 제공하지 않습니다.

    연구원들은 최상의 암호가 길이가 11 자 이상이고 무작위로 생성되며 상류 및 소문자, 기호 (예 : %, *, 또는> 및 숫자로 구성되어 있다는 합의에 점점 더 많이오고 있습니다. 이러한 특성은 대부분의 사람들이 기억하기 어렵게 만듭니다. 같은 연구자들은 30 일, 60 일 또는 90 일 또는 다른 기간마다 비밀번호가 변경되면 여러 가지 이유로 유해 할 수 있다고 경고했습니다. 그 중에서도 최종 사용자가 다른 방법보다 약한 비밀번호를 선택하도록 권장합니다. 있었던 비밀번호 “p@$$ w0rd1” becomes “p@$$ w0rd2” 등등. 동시에, 필수 변경은 보안 혜택을 거의 제공하지 않습니다. 보안 혜택은 거의 없습니다. 정책에 의해 규정 된 시간이 아닌 실제 위반시 암호를 즉시 변경해야하기 때문입니다.

    추가 독서

    연구원들 사이의 합의가 증가 함에도 불구하고, Microsoft와 대부분의 다른 대형 조직은 주기적 비밀번호 변경에 대해 말하기를 원하지 않았습니다. 주목할만한 예외 중 하나는 2016 년 Lorrie Cranor와 연방 무역위원회가’S의 최고 기술자는 자신의 고용주가 제공 한 조언을 불렀습니다. 거의 3 년 후 Cranor는 회사가 있습니다.

    지난 달’S 블로그 게시물, Microsoft의 Margosis는 다음과 같이 썼습니다

    거기’비밀번호 보안 상태가 문제가되고 오랫동안 이루어 졌다는 데는 의문의 여지가 없습니다. 인간이 자신의 암호를 선택하면 너무 자주 추측하거나 예측하기 쉽습니다. 인간에게 할당되거나 기억하기 어려운 암호를 만들도록 강요되면 너무 자주’다른 사람들이 볼 수있는 곳에 기록하십시오. 인간이 암호를 변경해야 할 때 너무 자주’ll 기존 비밀번호로 작고 예측 가능한 변경을하거나 새 비밀번호를 잊어 버립니다. 암호 또는 해당 해시가 도난 당하면 무단 사용을 감지하거나 제한하기가 어려울 수 있습니다.

    최근 과학적 연구는 의문의 여지가있는 비밀번호 만료 정책과 같은 많은 장기 비밀번호 보안 관행의 가치와 금지 된 통과 워드 목록 시행 (Azure AD 암호 보호) 및 다중 인증 인증과 같은 더 나은 대안을 대신 포인트하는 것입니다. 이러한 대안을 권장하지만 Windows에서 구축 된 권장 보안 구성 기준으로 표현하거나 시행 할 수 없습니다’ 내장 그룹 정책 설정이며 고객 별 가치를 포함 할 수 없습니다.

    정기 비밀번호 만료는 유효성 간격 동안 암호 (또는 해시)가 도난 당할 확률에 대한 방어입니다. 암호를 도난하지 않으면 거기에 있습니다’만료 될 필요가 없습니다. 그리고 비밀번호가 도난 당했다는 증거가 있다면, 당신은 아마도 문제를 해결하기 위해 만료를 기다리지 않고 즉시 행동 할 것입니다.

    그 경우’S A 비밀번호가 도난 당할 가능성이 높다는 점에서, 도둑이 도난당한 비밀번호를 계속 사용할 수있는 시간은 며칠이 지날 수 있습니다? Windows 기본값은 42 일입니다. 그렇습니다’T는 엄청나게 오랜 시간처럼 보입니다? 글쎄, 그러나 우리의 현재 기준선은 60 일이라고 말하면서 90 일이라고 말하면 자주 만료가 자주 발생하기 때문에 자체 문제가 발생하기 때문입니다. 그리고 만약’비밀번호가 도난 당할 것이라는 주어진 것은 아닙니다. 또한, 사용자가 사탕 바를 암호로 교환하는 주차장에서 설문 조사에 기꺼이 답변하려는 종류라면 암호 만료 정책이 도움이되지 않습니다.

    Margosis는 권장되는 최소 암호 길이, 이력 또는 복잡성에 영향을 미치지 않는다는 것이 분명했습니다. 또한 지적한 바와 같이 Microsoft는 사람들이 다중 인 인증을 사용하도록 계속 촉구합니다.

    Microsoft 로의 변경’S 보안 기준선 설정이 승리했습니다’t Windows Server 버전에 포함 된 기본값을 변경합니다. Margosis는 기존 기준선 설정에서 제안 된 60 일도 미만으로 42 일이라고 계속 말했습니다. 그럼에도 불구하고, 기준 변화는 자체 조직 내부의 변화를 옹호 할 때 직원의 탄약을 줄 것입니다. 비밀번호 보안 전문가이자 Terahash의 창립자이자 CEO 인 Jeremi Gosney가 말했다’s는 또한 회사가 정해진 시간 내에 암호 변경을 제정하지 않는 한 회사가 규정 준수에서 종종 규정 준수를 발견하는 감사인을 대상으로하는 데 도움이 될 것입니다.

    “Microsoft는 공식적으로 필수 암호 변경과의 싸움에 뛰어 들었습니다,” 고스니가 말했다, “회사에 큰 규정 준수에 대한 더 많은 레버리지를 제공 할 것입니다.”

    이 게시물의 소제목이 변경되었습니다. 이전에는 읽었습니다. “주요 추세를 버리고 회사는 더 이상 조직이 정기적 인 변화를 시행 할 것을 권장하지 않습니다.”

    NIST 및 Microsoft 비밀번호 정책 모범 사례

    2022 비밀번호 정책 모범 사례

    Microsoft와 NIST (National Institute of Security Technology)는 강력한 암호 정책을 제공하기위한 두 가지 주요 리소스입니다. 이 기사에서는 귀하의 조직의 암호가 해커 및 사이버 범죄자로부터 보호 할 수있을 정도로 강력한 지 확인하기위한 권장 전략에 대해 논의합니다.

    NIST는 모든 연방 기관이 따라야하는 정보 보안 표준 및 지침을 개발할 책임이 있으며 대부분의 사이버 보안 전문가도 따라야합니다. 마이크로 소프트. NIST 및 Microsoft 암호 지침 및 권장 사항을 검토하여 조직에 가장 적합한 정책을 결정하십시오.

    마이크로 소프트. 또한 모든 사용자가 암호 정책 변경에 대해 교육을받을 수 있도록 직원 교육의 중요성을 강조하고 최신 보안 위협을 발견하는 방법을 알고 있습니다. Microsoft는 조직의 사이버 보안 계획의 일환으로 암호 기반 신원 및 액세스 관리 보안을 제공하기 위해 다음 정책을 권장합니다.

    관리자를위한 비밀번호 지침

    • 8 자 최소 길이 요구 사항을 유지하십시오 (더 길은 더 나은 것은 아닙니다)
      비밀번호 길이 요구 사항 (약 10 자 미만)은 예측 가능하고 바람직하지 않은 사용자 동작을 초래할 수 있습니다. 예를 들어, 16 문자 암호를 가지고 있어야하는 사용자는 문자 길이 요구 사항을 충족하지만 추측하기 어렵지 않은 Fourfourfourfour 또는 PasswordPassword와 같은 반복 패턴을 선택할 수 있습니다. 또한, 길이 요구 사항은 사용자가 암호 작성, 재사용 또는 문서에 암호화되지 않은 저장과 같은 다른 불안한 관행을 채택 할 가능성이 높아집니다. 사용자가 고유 한 비밀번호에 대해 생각하도록 장려하려면 합리적인 8 자 최소 길이 요구 사항을 유지하는 것이 좋습니다.
    • 문자 구성 요구 사항이 필요하지 않습니다. 예를 들어, *& (^%$
      암호 복잡성 요구 사항은 사용자가 예측 가능한 방식으로 행동하여 좋은 것보다 더 많은 해를 끼칠 수 있습니다. 대부분의 사람들은 비슷한 패턴을 사용합니다 (예 : 첫 번째 위치의 대문자, 마지막 2의 기호, 마지막 2의 숫자). 사이버 범죄자는 이것을 알고 있으므로 가장 일반적인 대체물 “$”, “S”, “@”, “a”, “1”의 “L”을 사용하여 사전 공격을 실행합니다. 사용자가 상단, 하단, 자릿수, 특수 문자의 조합을 선택하도록 강요하면 부정적인 영향을 미칩니다. 일부 복잡성 요구 사항은 사용자가 안전하고 기억에 남는 비밀번호를 사용하지 못하고 덜 안전하고 기억에 남는 암호를 제공하도록 강요합니다.
    • 사용자 계정에 주기적으로 비밀번호 리셋이 필요하지 않습니다
      비밀번호를 변경해야한다는 사용자는 약한 비밀번호를 선택하고이를 기록 할 가능성이 더 높다는 증거가 있습니다. 다중 인증 인증을 시행 한 다음 사용자가 오랫동안 사용할 수있는 강력한 암호를 만들도록 장려하는 것이 더 나은 접근 방식 일 수 있습니다.
    • 시스템에서 가장 취약한 비밀번호를 유지하려면 공통 비밀번호를 금지하십시오
      비밀번호를 만들 때 사용자에게 넣어야 할 가장 중요한 비밀번호 요구 사항은 공통 비밀번호 사용을 금지하여 조직의 무차별 부대 암호 공격에 대한 감수성을 줄이는 것입니다. 일반적인 사용자 비밀번호에는 다음이 포함됩니다. abcdefg, 암호, 원숭이.
    • 비 작업 관련 목적으로 조직 암호를 재사용하지 않도록 사용자에게 교육하십시오
      조직의 사용자에게 전달하는 가장 중요한 메시지 중 하나는 조직의 비밀번호를 다른 곳에서 재사용하지 않는 것입니다. 외부 웹 사이트에서 조직 비밀번호를 사용하면 사이버 범죄자들이 이러한 비밀번호를 손상시킬 가능성이 크게 높아집니다.
    • 다단계 인증을위한 등록 시행
      사용자가 대체 이메일 주소, 전화 번호 또는 푸시 알림에 등록 된 장치와 같은 연락처 및 보안 정보를 업데이트하여 보안 문제에 응답하고 보안 이벤트에 알릴 수 있는지 확인하십시오. 업데이트 된 연락처 및 보안 정보는 사용자가 비밀번호를 잊어 버리거나 다른 사람이 계정을 인계하려고하는 경우 자신의 신원을 확인하는 데 도움이됩니다. 또한 로그인 시도 또는 변경된 비밀번호와 같은 보안 이벤트의 경우 밴드 아웃 알림 채널을 제공합니다.
    • 위험 기반의 다중 인증 인증 문제를 활성화하십시오
      위험 기반의 다중 인증 인증은 당사 시스템이 의심스러운 활동을 감지 할 때 사용자에게 합법적 인 계정 소유자인지 확인하도록 도전 할 수 있습니다.
    • 비밀번호없는 인증은 미래입니다
      Microsoft는 관리자가 암호없는 인증이라고하는 것에 익숙해지면서 조직을 미래로 가져 오도록 초대하고 있으며 지금 사용할 수 있습니다. 이를 통해 사용자는 응용 프로그램 및 서비스를 더 빨리 도달하고 비밀번호보다 높은 수준의 보안을 제공하며 IT 지원 비용과 비밀번호 재설정으로 인한 생산성 손실을 제거 할 수 있습니다. 오늘날 사용 가능한 3 개의 Microsoft Password없는 인증 옵션에는 Windows Hello Facial 인식 및 지문 스캔 인증, 암호없는 전화 로그인 및 US/NFC 키, USB 생체 인식 키 또는 생체 웨어러블로 제공되는 FIDO2 보안 키를위한 Microsoft Authenticator 앱이 포함됩니다.

    NIST 특별 간행물 800-63B 디지털 아이덴티티 가이드 라인, 인증 및 라이프 사이클 관리 2020 년에 발행 된 것은 암호 보안의 금 표준으로 간주됩니다. 가이드 라인에는 연방 기관에이어야하며, 직원 계정 및 회사 데이터의 보안을 보장하기 위해 비밀번호 정책을 설정할 때 NIST 비밀번호 권장 사항을 따라야합니다. 이 문서는 기억하기 쉽지만 암호를 추측하기 어렵고 암호를 추측하기가 어렵다는 것을 암호 보안을 개선하도록 설계된 새로운 프로토콜을 도입 한 반면, 보안을 실제로 감소시키는 것으로 입증 된 과거의 많은 암호 복잡성 요구 사항을 제거했습니다.

    아래는 가이드 라인에 자세히 설명 된 최상위 비밀번호 권장 사항에 대한 요약입니다

    • 다단계 인증이 필요합니다
      다중 인증 인증은 하나 이상의 메소드를 사용하여 신원을 확인하는 데 포함됩니다. 다중 인증 인증은 비밀번호를 추측하거나 훔치더라도 공격자로부터 계정을 보호하는 데 도움이 될 수 있습니다. 공격자는 두 번째 보안 계층을 통과하지 않고도 계정에 액세스 할 수 없습니다.
    • 비밀번호 길이는 최소 8 자이지만 64 자 미만이어야합니다
      비밀번호가 10 자 미만인 암호 길이 요구 사항은 해커가 추측하기 쉬운 사용자 동작을 초래하는 것으로 입증되었습니다. 길이 요구 사항은 또한 사용자가 비밀번호 작성, 재사용 또는 문서에 암호화되지 않은 저장과 같은 다른 불안한 관행을 채택 할 가능성이 높아집니다. 이러한 이유로 NIST는 이제 합리적인 8 자 최소 길이 요구 사항을 유지하는 것이 좋습니다. 그리고 가장 중요한 것은 다중 인증이 필요합니다!
    • 모든 특수 문자 (공간 포함)가 허용되지만 필수는 없습니다
      특수 문자는 비밀번호를 강력하게 만들지 만 특수 문자없이 강력하고 안전한 비밀번호를 만들 수 있습니다. 이 선택 사항과 필수가 아닌 경우 사용자는 기억할 가능성이 더 높은 비밀번호를 만들 수 있습니다.
    • 지식 기반 인증 제거 (e.g. 어머니의 처녀 이름은 무엇입니까)
      많은 형태의 지식 기반 인증은 인터넷에서 쉽게 찾을 수 있습니다. 해커는 공개 기록을 살펴보면 생일, 교육 배경 및 가족 이름과 같은 대부분의 보안 질문에 대한 답변을 찾을 수 있습니다. 많은 사람들이 소셜 미디어에 자유롭게 공유하는 정보의 보안 영향을 잊어 버리는 데 도움이되지 않습니다.
    • 비밀번호를 만들 때 개인 정보를 사용하지 마십시오
      Facebook 및 Instagram과 같은 소셜 미디어 플랫폼에 배치하는 개인 정보는 해커가 암호를 더 쉽게 추측 할 수 있도록합니다. 공개 기록이든 귀하 또는 다른 사람이 소셜 미디어에 게시 할 수 있는지 여부에 관계없이 귀하에 대해 알려진 것을 사용하지 마십시오. 이 정보는 당신이 기억하기 가장 쉬운 일이지만 사회 공학의 기초는 당신에게 사용됩니다. 사회 공학은 성공적인 랜섬웨어 공격에 사용되는 가장 효과적인 전략 중 하나입니다.
    • 비밀번호 타협의 증거가없는 한 필수 비밀번호 변경 제거
      NIST가 만든 가장 중요한 변경 사항 중 하나는 더 이상 일반 암호 재설정을 요구하지 않는다는 것입니다. 이 연습은 효과가 없으며 실제로 암호를 덜 안전하게 만듭니다. Microsoft의 연구에 따르면 비밀번호를 자주 재설정 해야하는 사용자는 약한 비밀번호를 사용하여 여러 계정에서 재사용 할 가능성이 높습니다.
    • 실패한 비밀번호 시도의 수를 제한합니다
      실패한 비밀번호 시도 제한을 제한하면 암호가 비밀번호를 너무 많이 맞지 않으면 공격자가 액세스 할 수없는 경우 계정을 안전하게 유지하는 데 도움이 될 수 있습니다. 이것은 해커가 정교한 소프트웨어와 AI를 사용하여 올바른 조합을 찾을 때까지 수백만 가지의 다양한 조합을 생성하는 무차별 인력 공격으로부터 계정을 보호하는 데 도움이 될 수 있습니다.
    • 비밀번호 필드에서 기능을 복사 및 붙여 넣으십시오
      NIST는 또한 비밀번호를 비밀번호 필드에 복사 및 붙여 넣을 수 있도록 허용하는 것이 좋습니다. 가이드 라인은 비밀번호 관리 소프트웨어를 사용할 필요는 없지만이 가이드 라인은 사용할 수 있습니다. 비밀번호 관리자는 모든 사용자 암호를 중앙 암호화 위치에 저장하고 로그인하기 위해 사용자가 복사 및 붙여 넣기를 허용합니다.
    • 최종 사용자 교육이 필요합니다
      인간은 정보 보안 프로세스에서 가장 약한 연관성으로 남아 있습니다. 정기 교육을 제공하는 것은 조직이 직원을 대상으로하는 공격으로부터 보호하기 위해 할 수있는 가장 중요한 일 중 하나입니다. 추가 권장 사항 – 사용하지 마십시오
    • 서비스 이름, 사용자 이름 및 파생 상품과 같은 컨텍스트 별 단어
    • 이전 위반에서 손상된 비밀번호
    • 사전에서 찾을 수있는 단어
    • 반복적이거나 순차적 인 문자 ( “aaaaaaaa”또는 “1234abcd”)

    결론

    관리자는 이러한 신뢰할 수있는 소스에서 제공 한 목록을 검토하고 회사 전반에 권장되는 정책을 시행해야합니다. Microsoft와 NIST가 권장하는 가장 중요한 보안 조치는 회사 데이터를 포함하는 모든 계정에 대한 다중 인증을 요구하는 것입니다. Microsoft의 연구에 따르면 귀하의 계정은 99 이상입니다.MFA를 사용하는 경우 9% 타협 가능성이 떨어집니다.

    비밀번호 관리자는 사용하기 쉽고 강력한 고유 비밀번호를 생성하고 직원이 모든 암호를 기억할 필요가 없도록 안전한 솔루션을 제공하는 데 도움이 될 수 있습니다. 비밀번호 관리 솔루션을 구현하는 경우 다음은 염두에 두어야 할 다섯 가지가 있습니다

    • 비밀번호 관리자에게 마스터 비밀번호에 대한 긴 암호를 선택하고 도난 당하지 않도록 보호하십시오. 암호화는 여전히 암기를 허용하면서 공격으로부터 보호하기에 충분히 길게 만들 수 있습니다.
    • 모든 계정에 대한 고유 한 비밀번호를 만들거나 대부분의 암호 관리자의 기능을 사용하여 각 계정에 대해 무작위, 고유 한 복잡한 암호를 생성합니다.
    • 마스터 비밀번호를 복구 할 수있는 암호 관리자를 피하십시오. 계정 복구 도구를 통한 마스터 비밀번호의 타협은 전체 암호 금고를 손상시킬 수 있습니다.
    • 해당 기능을 허용하는 프로그램 관리자 애플리케이션에는 다중 인증 인증을 사용하십시오.
    • 대부분의 암호 관리자에서 비밀번호 생성기 기능을 사용하여 원하는 복잡성 요구 사항을 충족하는 복잡한 임의 암호를 생성하십시오

    암호 관리자를 구현하지 않으면 각 계정에 대한 고유 한 비밀번호를 선택하는 방법에 대한 지침을 사용자에게 제공하는 것이 중요합니다. 오늘날에도 여전히 매우 효과적인 최고의 체계 중 하나는 2014 년부터 보안 블로그 게시물의 Schneier입니다. 블로그 게시물은 기억할 수있는 거의 모든 것이 금이 갈 수 있다고 인용했습니다. 개인적으로 기억에 남는 문장을 개인적으로 기억에 남는 트릭과 결합하여 해당 문장을 독특하고 기억에 남는 비밀번호로 수정하는 것이 좋습니다. 이것은 다음과 같은 것 같습니다

    • “tlpwent2tm” = “이 작은 돼지는 시장에 갔다”
    • WIW7, MSTMSRITT. = 내가 7 살 때, 언니는 화장실에 박제 토끼를 던졌습니다.
    • 와우… doestcst = 와우, 그 소파는 끔찍한 냄새.

    비밀번호 정책을 해결함으로써 조직의 보안이 크게 향상됩니다.

    사이버 보안 체크리스트를 다운로드하십시오

    조직을 개선하기위한 더 많은 사이버 보안 권장 사항은 사이버 보안 정책을 보려면 Intellisuite에게 문의하십시오 .

    사용자가 비밀번호를 변경하도록 요구하는 것이 여전히 좋은 생각입니까??

    기업이 존재하는 한, 사용자는 비밀번호를 주기적으로 변경해야했습니다. 실제로 예정된 비밀번호 변경의 필요성은 모든 모범 사례 중 가장 오랜 시간 중 하나 일 수 있습니다. 그러나 최근에는 상황이 바뀌기 시작했습니다. Microsoft. 조직은 주기적 비밀번호 변경을 요구하는지 여부에 관계없이 처음으로 고려해야합니다.

    Microsoft 비밀번호 재설정 권장 사항

    Microsoft에 따르면, 사용자는 비밀번호를 자주 변경하도록 요구하는 것이 좋은 것보다 더 해를 끼칩니다. 인간은 변화에 저항력이 있습니다. 사용자가 비밀번호를 변경 해야하는 경우 종종 이전 비밀번호를 기반으로하는 새 비밀번호가 나타납니다. 예를 들어, 사용자는 비밀번호 끝까지 숫자를 추가 한 다음 암호가 필요할 때마다 해당 숫자를 증가시킬 수 있습니다. 마찬가지로 월 비밀번호 변경이 필요한 경우 사용자는 한 달의 이름을 암호에 통합 한 다음 비밀번호 변경이 필요할 때마다 달을 변경할 수 있습니다 (예 : Mym@RCHP@SSW0RD). 더욱 혼란스러운 것은 연구가 이전 비밀번호를 알고 있다면 사용자의 현재 비밀번호를 추측하는 것이 종종 가능하다는 것을 증명했다는 것입니다. 그러한 연구에서 연구원들은 사용자의 이전 비밀번호를 알고 있다면 3 초 안에 사용자의 현재 비밀번호의 41%를 추측 할 수 있음을 발견했습니다. 강제 비밀번호 변경이 문제를 일으킬 수 있지만 사용자가 비밀번호를 변경하지 않으면 문제가 발생할 수 있습니다. 오늘날의대로 위반을 식별하는 데 평균 207 일이 걸립니다 (Ponemon Institute, 2020). 이를 염두에두고 사용자가 비밀번호를 변경하지 않아도되는 경우 위반을 식별하는 데 얼마나 오래 걸릴 수 있는지 고려하십시오. 도난당한 암호를 통해 시스템에 액세스 한 사이버 범죄자는 잠재적으로 탐지를 무기한으로 피할 수 있습니다. 주기적인 비밀번호 변경을 요구하는 관행을 포기하는 대신 조직의 보안을 약화시키는 경향이있는 근본적인 문제를 해결하는 것이 좋습니다. 필수 비밀번호 변경과 관련된 가장 큰 문제는 빈번한 비밀번호 만료가 사용자에게 약한 암호 또는 이전 비밀번호와 관련된 비밀번호를 선택하는 것입니다. 이 문제를 피하는 한 가지 방법은 사용자에게 강력한 암호를 선택한 것에 대한 보상입니다. 예를 들어 Specops 비밀번호 정책과 같은 일부 타사 비밀번호 관리 도구는 비밀번호의 길이와 복잡성에 대해 사용자의 비밀번호 재설정 빈도를 기반 할 수 있습니다. 따라서 강력한 비밀번호를 선택하는 사용자는 약한 암호를 선택하는 사용자만큼 자주 암호를 변경할 필요가 없습니다. 또한 조직은 사용자가 손상된 것으로 알려진 암호를 사용하지 못하게하는 암호 관리 솔루션을 찾아야합니다. 손상된 비밀번호는 해시되어 무지개 테이블 또는 유사한 데이터베이스에 추가 된 비밀번호로, 복잡성에 관계없이 공격자가 암호를 깨뜨릴 수 있습니다. 타협 된 것으로 알려진 클라우드 기반 암호 목록을 유지하는 타사 공급 업체가 있지만 Microsoft의 글로벌 금지 된 비밀번호 목록이 유출 된 비밀번호 목록이 아니며 암호 거부 목록에 대한 준수 권장 사항을 충족시키지 못한다는 것을 이해하는 것이 중요합니다. 암호 변경 요구 사항에 기인하는 두 번째 문제는 암호를 자주 변경 해야하는 사용자가 암호를 잊을 가능성이 높다는 것입니다. 이로 인해 계정 잠금 및 헬프 데스크 전화로 이어집니다. 이 문제를 피하는 가장 좋은 방법은 사용자가 안전한 방식으로 자신의 암호를 재설정 할 수있는 셀프 서비스 비밀번호 재설정 솔루션을 채택하는 것입니다. 앞으로 비밀번호 변경을 요구하는 조직은 선택의 여지가 거의 없지만 타사 비밀번호 관리 솔루션을 채택 할 수 있습니다. Microsoft는 Windows에서 비밀번호 만료 정책 설정을 제거하여 버전 1903으로 시작합니다. 반대로 권장 사항에도 불구하고, 사용자가 비밀번호를 주기적으로 변경하도록 요구하는 보안 상급이 있습니다. 그러나 핵심은 실수로 조직의 보안을 약화시키지 않는 방식으로 그러한 요구 사항을 구현하는 것입니다. Specops 소프트웨어의 비밀번호 솔루션을 통해 조직은 20 억 이상의 위반 암호를 차단할 수 있습니다. 솔루션은 자주 비밀번호 만료가 시행 될 때 조직이 비밀번호를 보호하는 데 도움이 될 수 있습니다.

    이 기사가 흥미 로웠습니다? 트위터에서 우리를 따르십시오  그리고 우리가 게시하는 더 많은 독점 콘텐츠를 읽으려면 LinkedIn.

    Microsoft는 비밀번호 변경이 더 이상 필요하지 않다고 말합니다

    Microsoft는 더 이상주기적인 암호 변경을 권장하지 않으며 실제로 사용자가 사용자가 해킹에 더 개방적으로 남길 수 있다고 말했습니다.

    많은 조직의 경우, 직원이 할당 된 기간 후에 비밀번호를 변경하도록 요구하는 것은 보안 관행의 표준 부분이었습니다. 그러나 Microsoft는 더 이상 이것을 추천하지 않고 연습을 부릅니다 “고대의” 그리고 “쓸모없는”.

    권장 보고서

    보고서

    신뢰하지 말고 항상 확인하십시오?

    보고서

    Codeless 내일 : Digita의 로우 코드/노 코드 플랫폼이 애플리케이션 개발에 혁명을 일으킬 수 있습니다.

    회사 정보

    Kcom Corp.

    Microsoft Corp

    Windows 10의 보안 기준에 대한 블로그 게시물에서 Microsoft’교장 컨설턴트 Aaron Margosis는 사용자가 비밀번호를 너무 자주 변경해야 할 때 암호를 더 많이 예측 가능하게 만들거나 기존 비밀번호를 약간 변경할 수 있다고 설명했습니다.

    비밀번호 만료 정책은 암호를 도난당한 경우에만 효과적입니다. 이런 일이 발생하지 않으면 변경을 변경하지 않으면 사용자가 만료되기를 기다리는 대신 즉시 행동해야합니다. 따라서 Margosis는 사용자가 정기적으로 비밀번호를 변경하도록 강요 할 수 있다고 생각합니다 “혜택을받지 않기 위해 이러한 문제를 획득하십시오”.

    대신, 금지 된 비밀번호 목록, 다단계 인증 또는 비밀번호 인식 공격 감지와 같은 기타 정책은 더 효과적 일 수 있으며 주기적 비밀번호 만료의 필요성을 완화 할 수도 있습니다.

    이로 인해 회사는 비즈니스에 대한 조언을 업데이트하여 “매우 낮은 가치의 완화, 그리고 우리는하지 않습니다’믿으십시오’우리의 기준선이 특정 값을 시행하는 데 가치가 있습니다”.

    그러나 Microsoft는 조직이 여전히 할 수 있다고 주장합니다 “인식 된 요구에 가장 적합한 것을 선택하십시오”.

    회사는 사용자가 암호 만 사용하도록 권장합니다 “무작위적이고 강합니다” 그리고 “강력하게 추천합니다” 그 조직은 추가 보호를 제시했습니다.

    “겸손한 암호는 결코 죽지 않습니다”

    KCOM의 신분 관리 서비스 책임자 인 Andy Cory는 다음과 같이 말했습니다

    “진실은 기술이 우리가 끊임없이 비밀번호를 재설정 해야하는 단계를 지나서 이동했다는 것입니다. 저것’비밀번호는 중요하지 않다고 말할 수는 없습니다. 암호의 효과적인 관리는 기업 방어의 가장 중요한 측면 중 하나입니다. 그것은 그렇습니다’주변이 얼마나 강한 지, 또는 위반 감지가 얼마나 똑똑한 지 – 사용자 인 경우’ 암호를 추측하거나 도난 당할 수 있다면 계정은 앞면에서 열릴 수 있습니다. 그러면 회사는 무방비 상태만큼 좋습니다.

    이런 식으로 계정이 손상되면 공격자는 종종 내부 경보를 설정하지 않고도 많은 민감한 정보에 액세스 할 수 있으며 조직에 대한 잠재적 인 영향을받을 수 없습니다.

    “겸손한 암호는 결코 죽지 않습니다. 그것’S 비밀번. 빈번한 비밀번호 변경은 나쁜 비밀번호를 장려하는 반면, 좋은 비밀번호는 자주 변경할 필요가 없습니다. 조직은 비밀번호 강도에 대한보다 규범 적 정책을 선호하여 암호 만료에 대한 역사적 의존성을 파기하는 것을 고려해야합니다. 그것의 일부로, 그것’또한 인증 데이터를 안정적이고 안전하게 처리 할 수있는 고용량 인프라를 확보하는 것이 중요합니다. 그러면 사용자 경험을 보안 요구와 일치시킬 수 있습니다.”