패스워드 변경 프로세스 정리

 

서비스	패스워드 재인증	개인정보 노출	현재 패스워드 요구	패스워드 정책	패스워드 정책 특이사항	패스워드 변경 안내	다른 디바이스 로그인 유지 기능 제공	추가 인증	강제 로그아웃	특이사항
네이버	X	X	O	영문 대소문자, 숫자, 특수기호 포함 8~16자리		네이버 알림	X	자동입력 방지문자	X
카카오	O	Login ID (Email)	X	영문 대소문자, 숫자, 특수기호 조합하여 8~32자리		카카오톡 메시지 이메일	O	X	X
쿠팡	O	Login ID (Email)	O	영문, 숫자, 특수기호 2가지 이상 조합하여 8~20자리		X	X	X	O
11번가	O	Login ID	O	영문, 숫자, 특수기호 모두 포함하여 8~20자리		X	O	X	X
YES24	O	Login ID	X	영문 대/소문자, 숫자, 특수기호 조합하여 8~20자리		X	X	등록된 생년월일 입력 or 이메일 점유인증	O	패스워드 변경하려면 숨은정보 해제 추가인증이 선행되어야 함
Facebook	X	Name	O	6자리 이상	- Only 숫자 6+ 자리 허용	이메일	O	X	X
Google	O	Name Login ID (Email)	O	8자리 이상	- Only 숫자 18+자리 허용 - Only 영문 16+자리 허용	이메일	로그인 된 기기정보만 제공, 다른 기기 로그아웃은 별도 기능으로 제공	X	핸드폰은 일부 강제 로그아웃
TWorld	O	Name (Masking) Login ID	X	영문, 숫자, 특수기호 포함 8자리 이상		이메일	X	X	App : O Web : X
KISA	X	Login ID	O	영문, 숫자, 특수기호 조합 9자리 이상		X	X	X	X
Netflix	X	X	O	6~60자리	- Only 숫자 10+자리 허용	이메일	O	X	X
Twitch	X	X	O	8자리 이상	- Only 숫자 15+자리 허용	이메일	O	X	X	로그인 시 이메일 점유인증 진행
Microsoft	X	Login ID	O	영문 대소문자, 숫자, 기호 중 최소 2개 조합하여 8자리 이상	패스워드  변경주기 설정기능 제공	이메일	X	이메일 점유인증	X
Blizzard	X	X	O	8~128자리	- Only 숫자 8+자리 허용	이메일	X	X	X

 

 

패스워드 변경 시 보안요건 옵션

• 패스워드 재인증 후 Profile 제공 또는 변경 기능 제공
• 현재 패스워드 입력
• 패스워드 정책
• 패스워드 변경 시 안내
• 패스워드 변경 시 기존 로그인된 기기에 대한 로그아웃
• 패스워드 변경 시 해당 세션을 로그아웃 후 재로그인 안내

 

국내 기업은 KISA 가이드의 (1)중요기능 제공 시 재인증 후 제공과 (2)패스워드 정책이 적용되어  제공되고 있음

외국 기업은 패스워드 정책은 복잡성에 대해 안내는 하지만 강제하지 않음, 하지만 변경 시 유저에게 패스워드가 변경되었다는 사실을 대부분 안내하고 있음

 

과거에 국내는 계정정보가 노출된 것은 기업이 관리를 잘못한 탓이고, 미국에서는 계정관리를 잘못한 유저의 잘못이라는 말을 들은 기억이 있다. 계정관리 보안에 대한 이슈가 발생하였을 때 나라별 책임소지가 누구에게 있는지 등의 문화 차이가 이런 부분에서 반영되는 것으로 보인다. 물론 모든 기업은 내부적으로 계정정보 보호를 위한 다양한 보안조치를 적용할 것이다.  물위의 백조가 우아하게 보이지만 수면에서는 열심히 다리를 움직이는 것 처럼, Face ID와 같은 간단한 인증을 사용하더라도 내부적으로는 복잡한 인증절차가 진행되는 것처럼 말이다.