n개월마다 비밀번호를 강제로 변경하게 하는 사이트들

By | 2019-09-30

사이트에 로그인하다보면 6개월마다 비밀번호를 변경하라는 안내문구가 뜨는 경우가 있다. 다음에 변경하기 버튼을 눌러 이번에 변경하지 않도록 해줄 수 있는 사이트면 다행인데 강제로 변경하게 하는 사이트들이 문제다. 새로 비밀번호를 지정하지 않으면 서비스를 이용할 수 없게한다. 대체 왜 이걸 강제하는 것일까. 자기네 사이트 회원정보가 털렸고 비밀번호는 암호화하지 않고 보관하고 있던 것일까? 비밀번호 관리 프로그램을 쓰는 사람들은 다 그렇겠지만 모든 사이트와 모든 앱에서 같은 비밀번호를 쓰는 경우란 없으며 비밀번호 또한 h94oFqb{MmismwUk 라든가 NCErhC9fCzxjZ9&Q 같은 무작위 영문대소문자,특수문자,숫자를 혼합하여 사용한다. 사전 데이터로 대입할 수 없으며 유추가 불가능한 비밀번호다. 이런 사이트들의 특징은 기존 사용하던 비밀번호와 동일하게 재지정 할 수 없게할 뿐더러 심지어 기존 비밀번호와 일정 자리수이상 겹쳐도 안되게 해놓았다. 결국 완전히 다른 문자열로 지정하게 하는 것인데, 이걸 사람이 기억해둘 도리가 없다. 결국 어딘가에 적어두거나 기억하기 쉬운 비밀번호로 지정하는, 역효과를 낳게 할 수 있다.
어제 겪은 모 공공기관 사이트의 비밀번호 변경 캠페인은 사용자를 매우 짜증나게 만들었는데.
일단 로그인 했더니 비밀번호 변경 안내문이 나왔다. 권장이라고 하지만 강제였다. 확인을 누르면 비밀번호 변경화면으로 가는 것이 아니라 생뚱맞게 아이디, 비밀번호 변경 화면으로 이동한다. 수동으로 개인정보변경 메뉴로 이동하였다.

비밀번호는 영문+숫자+특수문자=9자리이상 조합이어야하고 특수문자는 3자리 이상이어야 한단다.

규칙에 맞게 비밀번호를 입력하고보니 입력 규칙이 틀렸단다.

아니, 모든 특수문자가 가능한것이 아니라면 사용이 허용된 특수문자를 미리 알려줘야지 사용자가 무슨 수로 허용되는 특수문자와 허용되지 않는 특수문자를 알수 있단 말인가. 숫자 1~5까지와 함께 있는 특수문자 5개만 입력가능한것이면 6~0까지는 물론 슬래쉬, 물음표, 꺽쇠괄호, 네모괄호, 파이프, 쉼표 등 더 많은 특수문자는 불가능하단 이야기인데 그렇다면 규칙에 맞는 특수문자보다 그렇지 않은 특수문자가 훨씬 많다. 즉 웬만하면 틀린다는 이야기다. 심지어 입력폼에서는 9자 이상이라더니 경고창에서는 8~20자 이상으로 문자열의 최소,최대길이가 변했다. 특수문자도 3개에서 2개 이상으로 바뀌었다.
더 웃긴 것은 비밀번호 문자열에 사용할 수 있는 특수문자를 %, $, #, @, ! 이렇게 다섯가지라며 보여줬는데 실제 변경때는 다른 &를 넣어도 변경이 가능했다.ㅎㅎ IT업체라면 QA부서든 기획부서든 검증을 했겠지만 공공기관이라 그런가 누구도 체크하는 사람은 없나보다. 이게 끝이 아니다. 이 코메디는 우여곡절끝에 비빌번호를 변경하고 저장하고 로그아웃 한 뒤 다시 로그인 하면 그 절정을 보여준다.

방금 비밀번호를 변경했지만 6개월이 넘었다며 비번 변경창를 띄운다. 다시 시작이다.
해당 기관 고객센터에 전화하여 문제점을 이야기하고 홈페이지 개발 담당자에게 전달해달라고 하였다. 약 20분 뒤에 전화가 왔는데, 오류가 있었고 수정되었으니 다시 로그인하면 변경창이 나오지 않을 것이라 하였다. 확인해보니 제대로 고쳐놓았다. 특수문자 규칙에 대한 이야기까지는 하지 않았다. 알면 고쳤을테고 알아도 못고쳤다면 그럴 여유나 역량이 없었을테고 몰랐을 지언정 그걸 고객이 전화통 붙잡고 알려주는건 피곤한 일이고 알려줬다 하더라도 고치는 건 또 다른 문제고.

Leave a Reply

Your email address will not be published. Required fields are marked *