암호 관리자란?

1. 암호 관리자란 무엇입니까?

암호 관리자는 인터넷 사용자가 다양한 온라인 서비스에서 암호를 생성, 저장, 관리 및 사용할 수 있도록 도와주는 기술 도구입니다.

많은 온라인 서비스에서 계정을 만들고 특정 서비스에 액세스하려면 사용자 이름과 암호가 필요합니다. 시간이 지남에 따라 사용자는 반복적인 선택에 직면하게 됩니다. 각 사이트에 대해 고유한 암호를 생성하거나, 기억해야 하거나, 하나의 암호를 반복적으로 재사용하거나, 보안 문제를 해결해야 합니다.

사이트가 침해되어 사용자 이름과 암호가 노출되면 공격자는 해당 암호를 다른 사이트에서 시도합니다. Verizon의 연례 "데이터 위반 조사 보고서"에 따르면 이러한 자격 증명 스터핑 공격 (도난당한 자격 증명 사용)이 2022년 사이버 공격의 거의 절반을 차지했습니다. 물론 때때로 사용자는 단순히 암호를 잊어버리고 암호 재설정 주기에 시간이 걸리므로 사용자의 전반적인 경험이 저하됩니다.

암호 관리자는 사용자가 기억할 필요 없이 모든 온라인 계정에 대해 고유하고 복잡한 암호를 생성할 수 있도록 암호 유용성과 보안을 개선하기 위한 시도입니다. 모든 정보는 암호 저장소에 안전하게 저장되며 암호 관리자를 통해 액세스할 수 있습니다.

암호 관리자는 또한 사용자가 온라인 서비스 계정을 관리하는 데 도움이 되며 사이트 또는 서비스 이름, 웹 주소, 사용자 계정 이름 및 암호를 포함합니다. 이에 따라 사용자 이름과 암호가 필요한 다양한 서비스에 의존하는 사용자에게 암호 관리자가 중요하고 심지어 필수적입니다.

2. 암호 관리자 작동 원리는?

사용자가 비밀번호 관리자를 사용하는 동안 사용자 이름과 비밀번호가 필요한 사이트를 처음 방문하면 다양한 결과가 발생할 수 있습니다.

사용자가 이전에 사이트에 대한 사용자 이름과 암호를 생성하지 않은 경우 암호 관리자는 고도로 무작위화된 고유한 암호를 생성하는 데 도움을 줄 수 있습니다. 사용자가 암호 입력 필드에 커서를 놓으면 암호 관리자가 사용자에게 강력한 새 암호를 생성하라는 메시지를 표시합니다. 사용자 이름과 새 암호를 입력하면 암호 관리자는 일반적으로 사용자에게 정보를 저장하라는 메시지를 표시합니다. 그러면 사용자 이름과 암호가 암호 관리자에 안전하게 저장됩니다. 다음에 사용자가 동일한 사이트를 방문하면 암호 관리자는 일반적으로 사용자 입력이 필요한 위치 위에 프롬프트 창을 열어 사용자가 이전에 저장된 정보를 입력할 것인지 묻습니다.

반면에 사용자가 이미 사용자 이름과 비밀번호를 가지고 있지만 비밀번호 관리자가 설치된 사이트를 처음 방문하면 향후 방문을 위해 계정 정보를 저장하라는 메시지가 표시됩니다.

3. 암호 관리자는 암호가 필요한지 어떻게 감지합니까?

웹사이트는 일반적으로 사용자 이름 및 암호 필드에 표준 Hypertext Markup Language 형식을 사용합니다. 암호 관리자 기술은 사용자 이름 및 암호 필드가 있는지 감지합니다. 암호 관리자는 또한 방문한 웹 주소를 식별하여 알려진 자격 증명 목록과 일치시키고 암호 자격 증명을 입력할 수 있는지 또는 새 암호가 필요한지 결정합니다.

브라우저 개발자와 타사 암호 관리자는 사용자 이름 및 암호 필드를 감지하는 서로 다른 메커니즘을 가지고 있습니다. Google은 개발자가 안정적으로 감지되는 사용자 이름 및 비밀번호 양식을 빌드하는 데 도움이 되는 일련의 모범 사례를 게시했습니다. 1Password 및 Last Pass를 포함한 타사 암호 관리자 도구도 개발자가 호환할 수 있는 양식을 구축하는 데 도움이 되는 정보를 게시했습니다.

4. 암호 관리자는 암호에 대한 액세스를 어떻게 보호합니까?

암호 관리자 자체도 보안이 필요하며 일반적으로 암호 관리자에 액세스하는 데 사용되는 마스터 암호를 사용합니다. 또한 최고의 암호 관리자는 두 번째 암호 또는 안면 인식과 같은 생체 인식 측정과 같은 다단계 인증(MFA) 또는 2단계 인증(2FA)을 사용합니다. 암호 관리자의 모든 사용자 이름 및 암호 정보는 일반적으로 Advanced Encryption Standard 256으로 보호됩니다 .

300x250

5. 암호 관리자 사용의 이점

암호 관리자는 다음을 포함하여 많은 장치에서 암호에 액세스하고 사용할 때 여러 가지 이점을 사용자에게 제공합니다.

(1) 편의

인터넷 사용자가 요구하는 모든 사용자 이름과 암호 조합을 통해 암호 관리자를 사용하면 암호를 훨씬 쉽고 빠르게 생성, 관리 및 사용할 수 있습니다.

(2) 자동 완성

암호 관리자의 핵심 기능은 시스템에 사용자 이름과 암호가 있는 로그인 양식이 감지되면 사용자 자격 증명을 자동으로 채우는 기능입니다.

(3) 비밀번호 재사용 최소화

사용자가 사용하는 모든 사이트에 대해 새롭고 고유한 암호를 만들 수 있도록 지원하는 통합 기능을 통해 암호 관리자는 암호 재사용을 최소화하거나 제거할 수 있습니다.

(4) 더 강력한 암호

암호 관리자는 독특하고 공격자가 해독하기 어려운 복잡하고 강력한 암호를 생성할 수 있습니다.

(5) 향상된 보안

암호 관리자는 사용자 암호를 암호화하고 안전한 액세스를 제공합니다. 또한 자격 증명이 데이터 위반 또는 피싱 시도의 일부인 경우 사용자에게 경고할 수 있습니다.

(6) 암호 이동성

많은 암호 관리자는 데스크톱에서 모바일에 이르기까지 여러 장치에서 사용자 이름과 암호를 동기화할 수 있습니다.

(7) 모범 사례 준수

National Institute of Standards and Technology에 따르면 암호 관리자를 사용하는 것은 인증 및 수명 주기 관리를 위한 모범 사례로 간주합니다 .

사용자는 다중 요소 인증(MFA) 및 암호 관리자 사용을 포함하여 양호한 암호 위생 상태를 유지하기 위한 주요 단계를 수행해야 합니다.

6. 암호 관리자 사용의 문제점

암호 관리자의 이점과 함께 다음을 포함하여 남아 있는 취약성과 사용자 작업 문제가 있습니다.

(1) 보안 문제

암호 관리자를 사용하면 사용자는 본질적으로 단일 실패 지점을 만듭니다. 암호 관리자가 해킹되면 사용자의 모든 암호가 위험에 처할 수 있습니다. 최근 몇 년 동안 암호 관리자 서비스에서 공개적으로 보안 사고를 보고한 여러 사건이 있었습니다. 또한 공개된 연구에 따르면 여러 암호 관리자가 보안 취약점을 가지고 있는 것으로 나타났습니다.
마스터 암호 분실 위험. 암호 관리자를 사용하면 사용자 암호에 대한 모든 액세스가 단일 마스터 암호로 보호됩니다. 해당 암호를 분실하면 사용자는 쉽게 복구할 방법 없이 모든 암호에 대한 액세스 권한을 잃을 수 있습니다.

 

(2) 상호 운용성

모든 웹사이트가 모든 암호 관리자의 모범 사례를 준수하는 것은 아닙니다. 일부는 특정 암호 관리자 기술과 호환되지 않습니다.
(3) 기존 사이트에 대한 설정

새로운 사용자는 때때로 기존 사용자 이름과 암호 정보를 최근 배포된 암호 관리자에 통합하는 데 어려움을 겪습니다.
MFA 또는 2FA와의 호환성. 많은 사이트에서 일반적인 모범 사례는 MFA 또는 2FA를 지원하는 것입니다. 그러나 암호 관리자가 항상 MFA 또는 2FA와 직접 연결되는 것은 아니기 때문에 사용자는 여전히 해당 측면을 별도로 관리해야 합니다.

 

7. 비밀번호 관리자 유형

브라우저는 대부분의 사용자가 사이트 및 서비스에 액세스하는 기본 방법이므로 가장 잘 알려져 있고 쉽게 액세스할 수 있는 유형의 암호 관리자는 브라우저 기반 접근 방식입니다. Google Chrome, Apple Safari, Microsoft Edge 및 Mozilla Firefox를 비롯한 모든 주요 브라우저 플랫폼에는 오래전부터 일종의 통합 암호 관리자가 있었습니다.

원래 모든 브라우저 기반 비밀번호 관리자는 로컬 비밀번호 관리자이기도 했습니다. 그들은 로컬 장치에서 사용자 이름과 암호만 실행하고 저장했습니다. 더 이상 그렇지 않습니다. 많은 브라우저 공급업체에는 여러 장치에서 암호를 관리할 수 있는 동기화 기능이 포함되어 있습니다. 예를 들어 Apple Safari의 암호 관리자는 Apple iCloud 키 체인과 통합되어 장치 간에 보안 자격 증명 공유가 가능합니다.

브라우저 기반 암호 관리자 외에 선택할 수 있는 다른 암호 관리자에는 다음이 포함됩니다.

(1) 로컬 비밀번호 관리자
언급했듯이 최초의 암호 관리자는 로컬 암호 관리자였습니다. 사용자 장치의 애플리케이션은 해당 특정 장치에서 사용자 자격 증명을 저장하고 관리합니다. 로컬 비밀번호 관리자의 예로는 오픈 소스 Password Safe 및 KeePass 애플리케이션이 있습니다.

(2) 클라우드 기반 암호 관리자
이러한 암호 관리자를 사용하면 사용자가 인터넷에 연결된 모든 장치에서 암호를 클라우드에 저장하여 검색할 수 있습니다. 클라우드 기반 암호 관리자를 제공하는 벤더 중에는 1Password, Dashlane 및 LastPass가 있습니다.

(3) 엔터프라이즈 비밀번호 관리자
기업 내에서 비밀번호를 관리하기 위해 엔터프라이즈 비밀번호 관리자가 작업용으로 구축되었습니다. 이러한 암호 관리자는 역할 기반 액세스 제어 및 기업 디렉터리 기술과 통합될 수도 있으며 종종 권한 있는 액세스 관리 기능도 포함합니다. 이 공간의 공급업체에는 이전에 Thycotic으로 알려진 CyberArk 및 Delinea가 포함됩니다.

(4) 하드웨어 암호 관리자
하드웨어 암호 관리자는 다양한 방식으로 작동합니다. 종종 USB 키로 배포되는 일부 하드웨어 장치는 계정에 대한 액세스를 가능하게 하는 토큰을 기능적으로 보유합니다. 다른 하드웨어 장치는 암호를 관리하기 위한 안전한 오프라인 저장소 역할만 합니다. 하드웨어 또는 토큰 암호 관리자의 예로는 YubiKey 및 Only Key와 Google Titan Key가 있습니다.