소소한 일상 기록

농협의 인터넷 뱅킹 비밀번호는 6자리에서 10자리, 영문과 숫자만 입력 가능하고 영문도 대소문자를 구분하지 않는다.

농협 인터넷 뱅킹의 웹사이트에서 캡쳐했다. 비밀번호 변경을 하려고 했더니, 웹 로그인 비밀번호는 영문과 숫자로 구성된 6~10자리라고 한다. 영문은 심지어 대소문자도 구분하지 않는다고 한다..

언뜻 뭐가 문제인지 모르겠다는 사람이 있을 수 있을 것 같아서, 네이버 개인정보보호 블로그의 글을 링크( http://privacyblog.naver.com/80137623988 )한다.

링크한 글의 내용에 따르면, 영어 대문자나 소문자만으로 만든 6자리 비밀번호는 30초 만에 알아낼 수 있다고 한다. 영어 대문자 또는 소문자라면 한 자리에 26*2가지 (52가지) 경우가 있을 수 있는 조합이다. 52가지 조합으로 6자리 비밀번호를 만들면 30초라고 한다. 농협은 대소문자를 구분하지 않는 영문자와 숫자이므로 한 자리에 26+10가지 (36가지) 경우가 있을 수 있는 조합이다. 6자리 비밀번호를 만든다면 경우의 수가 훨씬 (36/52배) 적기 때문에 30초가 채 걸리지 않고 암호가 풀린다.

5회 암호가 틀리면 잠기는 기능이 있다고는 하지만, 굳이 이렇게 약한 암호를 설정하도록 강제할 필요가 있었을까? 해시 값을 저장한다면, 글자 수를 저렇게 제한할 필요도 없고, 대소문자를 구분하지 않을 이유도 없었을텐데 말이다. 농협이 비밀번호를 원문으로 저장하고 있다고 생각하지는 않고 싶다. 이용하고 있는 다른 은행도 로그인 비밀번호에 농협보다는 자유도가 있지만, 특수문자를 사용하지 않도록 제한하고 있다.

오래된 장비가 있어서 호환성 문제로 제한하는 것이라면, 고객의 비밀번호 자유도를 낮추어서 대응할 것이 아니라, 장비를 업그레이드 하는 것이 적절하다고 생각한다.

Requesting to the server, please wait.