MS사, Windows10 19H1업데이트에서 비밀번호 정책 변경

MS사는 4월24일(현지시간) 곧 릴리즈되는 Windows10의 다음 대형 업데이트 "Windows10 버전1903(19H1)"과 "Windows Server버전1903)에 대해 보안 베이스라인 설정의 DRAFT를 공개했다.

이번 DRAFT에서는 "비밀번호의 정기적인 변경 요구 정책"의 폐지가 포함되어 있어 주목된다. MS는 이에 대해 "비밀번호 보안의 현 상태에 문제가 있음에 의심의 여지가 없다"라고 인정했다.

사용자가 스스로 비밀번호를 생성한 경우 간단한 비밀번호를 선택하는 경향이 있어 외우기 어려운 비밀번호 작성을 강요당할 경우 눈에 보이는 곳에 비밀번호를 적어 두게 된다.

비밀번호의 정기적인 변경 강요가 있을 경우 이전 비밀번호에 예측 가능한 변경을 약간만 더해 만들기 쉬워 새로운 비밀번호를 잊어버리기 쉬운 문제가 있다.

비밀번호와 관련된 해시가 유출되면 그에 대한 부정 사용 검출과 제안도 곤란하다.

비밀번호의 정기적인 변경은 비밀번호와 해시가 유효기간 중 유출되었을 때 부정사용에 대한 대책이었으나 이것은 낡은 시대의 매우 효과가 낮은 대책이라고 MS는 말했다.