많은 사이버 보안 전문가들은 비밀번호 관리자를 사용하는 것이 보안을 강화하는 가장 좋은 방법이라고 믿습니다. 강력하고 고유한 비밀번호 각 온라인 계정에 대해. 다른 사람들은 이러한 도구의 가치를 과소평가하는 반면.
적대적인 입장에서 비밀번호 관리자는 핵심적인 취약점입니다. 비밀번호 관리자는 분실, 도난 또는 해킹이 가능한 단일 마스터 비밀번호로 보호되는 매우 민감한 정보의 보고이기 때문입니다.
- 최고의 암호 관리자 소프트웨어 귀하의 온라인 계정을 안전하게 보호하세요.
- LastPass, 1Password 및 기타 비밀번호 관리자가 해킹될 수 있습니다. 어떻게 해야 합니까?
그렇다면 누구의 말이 맞을까요? Tom's Guide 팀은 여러 디지털 보안 전문가와 인터뷰를 진행하고 현재 비밀번호 관리 솔루션의 장단점에 대한 설문 조사를 진행했습니다.
이러한 논란의 여지가 있는 기술 도구에 대한 그들의 의견과 모든 비밀번호를 한 곳에 보관함으로써 발생하는 위험을 완화하는 방법에 대한 몇 가지 팁을 소개합니다.
보안 전문가들이 비밀번호 관리 소프트웨어를 칭찬하다
모든 보안 전문가가 비밀번호 관리자를 선호하는 것은 아니지만, 선호하는 보안 전문가는 비밀번호 관리자 없는 세상은 상상도 할 수 없다고 합니다. 대표적인 예로 보스턴에 거주하는 보안 분석가이자 Safr.me의 CEO인 로버트 시칠리아노는 650개가 넘는 비밀번호가 실제로 사용되고 있기 때문에 비밀번호 관리자 없이는 업무를 처리할 수 없다고 말했습니다.
시칠리아노는 이메일에서 "비밀번호 관리자가 없으면 사용자는 아무런 관리 없이 취약한 비밀번호로 돌아가게 됩니다."라고 말했습니다. "모든 중요 계정에 동일한 비밀번호를 사용하게 되고 결국 해킹당할 것입니다." 이는 민감한 데이터를 보호하기 위해 강력한 비밀번호 관리자를 사용하는 것의 중요성을 강조합니다.
하지만 비밀번호 관리자 사용에 반대할 논리적 근거는 없다고 강조한 시칠리아노조차도 모든 비밀번호를 한 곳에 보관하는 위험을 줄이기 위한 조치를 취하고 있습니다. 이러한 예방 조치는 정보 보안 강화에 필수적입니다.
그는 가장 중요한 계좌(예: 온라인 뱅킹 계좌)의 로그인 정보는 기억하고 나머지 비밀번호는 웹 기반 비밀번호 관리자에 저장한다고 설명했습니다. 기억과 저장의 이러한 균형은 균형 잡힌 보안 전략을 보여줍니다.
"모든 비밀번호를 기억할 수는 없습니다."
뉴욕에서 자신의 IT 컨설팅 회사인 Tabush Group을 운영하는 Morris Tabush는 비밀번호만을 사용하여 보호하는 데 내재된 위험을 지적합니다. 귀하의 디지털 아이덴티티그는 사용자들이 이 어려운 현실 속에서 자신의 비밀번호를 보호하기 위해 최선을 다해야 한다고 믿습니다.
Taboush의 경우 가장 좋은 솔루션은 비밀번호 관리자를 사용하는 것입니다.
타보시는 이메일을 통해 "모든 사이트와 서비스에 하나의 사용자 이름과 비밀번호를 사용하는 것은 불가능합니다. 각 사이트나 서비스마다 비밀번호 요건이 다르기 때문입니다."라고 설명했습니다. "다양한 사용자 이름과 비밀번호의 모든 조합을 기억할 수는 없습니다."
타보시는 자신과 수십 개의 온라인 계정을 보유한 중소기업 소유주인 고객들에게 비밀번호 관리자의 중요성을 강조합니다. 그는 Windows와 Mac뿐 아니라 iOS와 Android 모바일 기기에서도 사용 가능한 비밀번호 관리 애플리케이션인 Siber Systems의 RoboForm을 선호합니다.
Tapush RoboForm은 데스크톱, 노트북, iPhone, iPad 등 모든 기기에서 작동하기 때문에 이상적인 선택입니다. 이 웹 기반 비밀번호 관리자는 비밀번호를 암호화된 파일에 저장하기 때문에 Tapush 기기를 도난당하더라도 도난당한 사람이 로그인 정보에 접근할 수 없습니다. 이는 계정 해킹 및 데이터 유출로부터 추가적인 보호 기능을 제공합니다.
디지털 기술의 어두운 면
물론, 비밀번호 관리자 없이는 살 수 없다고 주장하는 전문가가 있는 반면, 비밀번호 관리자 없이 평생을 보내고 싶어 하는 전문가도 있습니다. 이러한 의견 차이는 데이터 보안에 대한 정당한 우려를 반영합니다.
이는 몬트리올에 본사를 둔 사이버보안 컨설팅 회사인 Digital Locksmiths의 공동 창립자이자 CTO인 테리 커틀러의 견해입니다.
이메일 인터뷰에서 커틀러는 "저는 비밀번호 관리자를 전혀 좋아하지 않습니다. 비밀번호 관리자가 해킹당하면 모든 코드가 유출됩니다."라고 말했습니다. 커틀러는 특히 사이버 공격이 점점 더 정교해짐에 따라 잠재적 위험이 이점보다 더 크다고 생각합니다.
오리건주 포틀랜드에 있는 사이버 보안 회사인 트립와이어의 보안 연구 개발 책임자인 타일러 레골리는 커틀러의 의견에 동의합니다. 그는 비밀번호 관리자가, 특히 비밀번호 관리자를 안전하게 설정할 전문 지식이 부족한 일반 사용자에게는 득보다 실이 더 많을 수 있다고 주장합니다.
"비밀번호 관리자는 사회가 나쁜 습관을 컴퓨터로 옮기는 방식입니다."라고 레골리는 덧붙입니다. "비밀번호를 '적어두는' 것은 용납되지 않기 때문에 컴퓨터에 '저장'합니다. '저장'은 단순히 '적어두는 것'의 디지털 버전입니다." 레골리는 단일 비밀번호 관리자에 의존하면 중앙 취약점이 생겨 공격자에게 매력적인 표적이 된다고 설명합니다. 대신, 각 계정에 강력하고 고유한 비밀번호를 사용하고 가능한 경우 2단계 인증을 활성화하는 등 더 나은 보안 관행을 채택할 것을 권장합니다.
"저는 온라인 비밀번호 관리자를 신뢰하지 않습니다."
어떤 도구가 안전하고 어떤 도구가 안전하지 않은지 판단하는 것은 쉬운 일이 아닙니다. ReliaQuest의 보안 전략 책임자인 켄 웨스틴이 지적했듯이, 비밀번호 관리자가 실제로 얼마나 안전한지 아는 것은 어렵습니다.
"개인적으로 저는 온라인 비밀번호 관리자를 신뢰하지 않습니다." 웨스틴은 이메일에서 이렇게 말했습니다. "안전하지 않다고 생각해서가 아니라, 얼마나 안전한지, 제 정보를 어떻게 저장하는지, 그리고 제 데이터가 제대로 암호화되어 있는지 모르기 때문입니다."
이러한 의심 때문에 웨스틴은 가장 민감한 정보를 웹 기반 비밀번호 관리자에 저장하지 않겠다고 말했습니다. 금융 및 이메일 계정의 비밀번호를 관리할 때는 오프라인 도구를 사용할 것을 권장했습니다. 민감한 비밀번호의 보안을 위해서는 잠재적 위험으로부터 격리해야 한다고 생각했기 때문입니다.
웨스틴은 "최고의 보안을 위해 이러한 서비스(금융 및 이메일 계정)의 비밀번호는 KeePass와 같은 암호화된 오프라인 비밀번호 관리자에 저장해야 합니다. 이 관리자는 인증을 거쳐야 열 수 있으며, 정기적으로 안전하게 백업해야 합니다."라고 말했습니다. 이를 통해 이러한 중요한 정보에 대한 접근이 적절하게 보호됩니다.
시애틀 지역 보안 및 개인정보 보호 기업인 프리벤드라(Prevendra)의 CEO 크리스토퍼 버지스(Christopher Burgess)는 비밀번호 관리자를 신뢰하지 않는 사람이라면 비밀번호를 직접 추적하는 방법을 제안했습니다. 이 방법은 민감한 데이터에 대한 완벽한 통제력을 제공합니다.
버지스는 "수동 시스템은 두 개의 노트북을 사용하여 간단하게 구현할 수 있습니다."라고 말했습니다. "첫 번째 노트북에는 서비스 이름, URL, 사용자 ID, 일련 번호 등 계정 정보를 입력하세요. 두 번째 노트북에는 일련 번호 옆에 비밀번호와 인증 관련 메모를 적어 두세요. 두 번째 노트북은 안전한 곳에 보관하고 비밀번호가 기억나지 않을 때 참조할 수 있도록 하세요." 이러한 방식은 간단하지만, 비밀번호 보안을 직접 제어하고 싶어 하는 사용자에게는 실용적인 대안을 제공합니다.
취해야 할 보안 예방 조치
저희가 인터뷰한 많은 전문가들은 비밀번호 관리자에 대해 확고한 의견을 가지고 있는 반면, 많은 보안 전문가들은 중립적인 입장을 취하는 것으로 보입니다. 그들은 비밀번호 관리자 프로그램이 유용한 도구이기는 하지만 완벽하거나 해킹이 불가능하다고 생각하지 않습니다.
다국적 바이러스 백신 회사인 소포스의 수석 연구 과학자인 체스터 위스니에프스키가 이메일에서 지적했듯이, 비밀번호 관리자를 현명하게 선택하지 않는 사람은 결국 "모든 것을 지배할 수 있는 유일한 반지"를 넘겨줄 수 있습니다.
위스니에프스키는 "잘 알려지고 신뢰할 수 있는 앱을 찾아볼 것을 권장합니다. 이러한 앱은 로컬에서 데이터를 암호화해야 하며, 제3자의 암호화에 의존해서는 안 됩니다. 저는 개인적으로 LastPass와 KeePass를 선호합니다."라고 말했습니다.
온타리오주 워털루에 있는 사이버보안 회사인 APrivacy의 설립자이자 CEO인 세드릭 제노는 어떤 비밀번호 관리자를 사용할지 결정할 때 신뢰할 수 있는 데이터 암호화의 중요성을 강조했습니다.
지노는 선택한 비밀번호 관리자가 로컬 컴퓨터가 아닌 클라우드에 데이터를 저장하는 경우 정보가 저장된 국가, 정보에 접근할 수 있는 사람, 비밀번호 관리자 서비스에 세심한 주의를 기울여야 한다고 설명했습니다.
Tripwire의 수석 보안 관리자인 라마 베일리는 개인이 암호화를 넘어 사용자의 온라인 신원을 보호하는 데 도움이 되는 보안 기능을 갖춘 비밀번호 관리자를 찾아야 한다고 생각합니다.
베일리는 이메일에서 "많은 비밀번호 관리자가 Heartbleed와 같은 심각한 취약점의 영향을 받거나 침해당한 웹사이트에 대한 경고를 사용자에게 제공합니다."라고 덧붙였습니다.
베일리는 비밀번호 관리자를 사용할 때 가장 중요한 것은 도구를 보호하는 데 사용하는 마스터 비밀번호라고 말했습니다.
베일리는 "모든 비밀번호 관리자의 보안은 마스터 비밀번호에 달려 있습니다. 따라서 사용자는 비밀번호 관리자의 비밀번호를 매우 강력하게 설정하고 자주 변경해야 합니다."라고 강조했습니다.
댓글이 닫혀있다.