보안 질문은 나쁜 아이디어이며 그 이유는 다음과 같습니다

비밀번호와 계정이 생긴 이후로 해커들은 항상 그것들을 손에 넣으려 했습니다. 더 중요한 것은 사람들이 비밀번호를 잊어버리는 경우도 많다는 것입니다. 이를 복구하기 위해 계정 제공자는 종종 “비밀 답변“을 제공하는 일련의 질문을 구현합니다. 이 시스템은 수년 동안 잘 작동했지만 해커의 일을 쉽게 만드는 방법으로 가득 차 있습니다. 답변이 비밀이긴 하지만, 사실상 이 희생이 언젠가 비밀번호 복구에 도움이 되기를 바라며 보안을 희생하고 있는 것처럼 보입니다.

보안 질문이 보안에 끔찍한 이유

securityquestions-forgotpassword

2015년 5월 21일, 구글은 전체 보안 질문 체계에 대한 연구 결과를 발표했습니다. “당신의 첫 번째 애완동물의 이름은 무엇이었나요?”라는 질문이 당신의 보안에서 가장 약한 고리가 될 수 있으며, 해커에게 당신의 계정을 은혜롭게 제공할 수 있다는 것입니다. 추측할 수 없는 비밀번호를 만들 수 있지만, 복구를 위한 보안 질문은 쉽게 답할 수 있도록 설계되어 있습니다. 다른 사람이 추측할 수 없는 모호한 답변을 사용할 때는 잘 작동하지만, 애완동물의 이름이 “맥스”나 “스팟”과 같은 매우 일반적인 이름이라면 끔찍하게 작동합니다. 만약 당신이 개의 이름을 “율리시스”나 “페루기아”라고 지었다면, 가능성이 있겠지만 그리 유망하지는 않습니다.

또한 질문에 대한 답변을 거짓말하는 옵션 B를 선택할 수도 있습니다(예: 어머니의 결혼 전 성을 물었을 때 “오프람 클링만스타인 III”라고 답하는 것). 문제는 이렇게 되면 또 다른 기억해야 할 것이 생긴다는 것입니다. 거짓말한 답변을 기억하는 것은 처음에 잊어버린 비밀번호를 기억하는 것만큼 어렵습니다. 이는 해결책이 아니라 추가적인 부담입니다.

이러한 질문을 대체할 것은 무엇인가?

securityquestions-selection

질문이 도입하는 보안 문제 외에도, 태어났던 도시나 첫 번째 애완동물의 이름을 기억하지 못하는 사람들에게 혼란을 더할 뿐입니다(이런 일이 일어납니다). 당신을 잘 아는 사람들은 이 방법으로 쉽게 당신의 계정에 접근할 수 있습니다. 이제 “비밀 답변“ 방법을 대체할 무언가가 필요하다는 결론에 도달했기를 바랍니다. 다행히도 대체할 좋은 후보가 많이 있으며, 그 중 하나는 이중 인증입니다.

“비밀 답변“ 방법은 사람들이 SMS 메시지를 열 수 있는 휴대폰을 일반적으로 갖기 전에 발명되었습니다. 현재 역사적 시점에서 인터넷에 접근할 수 있는 거의 모든 사람이 휴대폰을 가지고 있습니다. 70억 명 중 약 68억 대의 전화기가 있습니다. 구글은 복구를 위해 SMS를 통해 일회용 비밀번호를 전송하는 새로운 인증 방법을 채택했습니다. 전화기가 없는 경우, 신뢰할 수 있는 사람의 백업 이메일이나 자신이 사용하는 이메일을 사용할 수 있습니다. 이 방법은 사용자의 전화기 없이 계정에 “추측”하는 것을 매우 어렵게 만듭니다.

이중 인증을 사용하면 두 가지를 동시에 해결할 수 있습니다: