테크레시피

라스트패스 “12문자 이상 비밀번호 강제할 것”

라스트패스(LastPass)는 스마트폰 앱과 브라우저 플러그인으로 출시된 마스터 비밀번호 하나만 기억하면 다양한 사이트 아이디와 비밀번호를 관리할 수 있게 해주는 비밀번호 관리자 서비스다. 하지만 과거 소스 코드나 개인 정보 등이 유출된 사건이 일어나기도 했다. 이런 라스트패스가 보안 강화 일환으로 사용자에게 강력한 암호 변경을 필수로 한다고 밝혔다.

라스트패스에 따르면 이전부터 12자 이상 마스터 암호 설정이 기본이었지만 지금까지는 12문자 미만 암호도 사용할 수 있었다고 한다. 2024년 4월부터 새 계정을 만들거나 비밀번호를 업데이트할 때 12자 이상 비밀번호가 필요해진다. 이 정책 변경은 2023년 9월 통지한 것으로 실시가 가까워진 만큼 이번에 다시 알리는 형태다. 이미 암호 12자인 사용자는 별다른 조치가 필요없지만 암호가 짧은 사용자에게는 암호 변경 알림이 순차 표시된다.

이번 통지는 1월 8일부터 프리, 프리미엄, 패밀리 플랜 사용자에게 보내지며 이후 1월말 법인용 팀즈와 비즈니스에도 적용된다. 비밀번호 변경 메시지를 받은 사용자는 72시간 내에 새로운 마스터 비밀번호로 설정해야 한다.

로그아웃을 해도 현재 암호를 기억하고 있는 사람이라면 신구 암호를 입력해 암호를 갱신하면 문제가 없다. 또 비밀번호를 잊어도 계정 복구 옵션을 설정하면 새 비밀번호를 설정할 수 있다.

다만 보도에선 암호를 갱신할 수 없는 상태에서 72시간이 지나면 계정이 완전히 차단되어 복구 전망이 없어진다고 한다. 따라서 현재 마스터 비밀번호를 잊어버려도 방치하지 말고 메시지를 받은 뒤 72시간 이내에 비밀번호를 재설정해야 한다는 지적이다.

라스트패스는 새로운 비밀번호를 설정할 때 참고할 만한 모범 사례도 제시했다. 첫째 12문자는 어디까지나 최저인 만큼 그 이상 문자수를 추천한다. 다음으로 대문자, 소문자, 숫자, 특수 문자를 각각 적어도 1개씩 사용하라는 것. 또 패스 프레이즈처럼 기억하기 쉽고 추측하기 어려운 걸 사용하라는 것. 자신만 알고 있는 걸 하라는 것. 이메일 주소를 마스터 암호로 하지 말라는 것. 마스터 비밀번호에 개인 정보를 포함하지 말라는 것. 1234 등 연속한 문자나 aaaa 등 반복은 사용하지 말라는 것. 마지막으로 마스터 비밀번호를 다른 계정 등과 함께 사용하지 말라는 것 등이다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독