지난 월요일, Spotify로부터 브라질의 누군가가 내 계정에 로그인했다는 이메일을 받았습니다.

나는 확인했다. 물론이죠. 낯선 사람이 내 Spotify를 사용하여 Michael Jackson의 노래를 듣고 있었습니다. Spotify에게 "어디에서나 로그아웃"하라고 말했지만 비밀번호는 변경하지 않았습니다.

수요일에 또 그런 일이 일어났습니다. 새벽 2시에 Spotify로부터 또 다른 이메일을 받았습니다. 이번에는 내 교활한 브라질 친구가 Prince의 노래를 듣고 있었습니다. 그리고 그들은 내 재생목록 중 하나("Funk Is Its Own Reward")의 모양을 좋아한 것 같습니다. 왜냐하면 그들도 그것을 듣고 있었기 때문입니다.

여기저기서 다시 로그아웃했는데 이것 내가 비밀번호를 바꿨을 때. 그리고 결심했습니다.

아시다시피 저는 현대적인 온라인 보안 조치를 제대로 구현하지 못했습니다. 예, 이중 인증 등으로 중요한 금융 계좌를 잠그고 있지만 대부분 사이버 보안에 있어서는 엉성합니다.

예를 들어, 나는 비밀번호를 재사용합니다. 나는 아직도 30년 전의 비밀번호를 사용하고 있습니다. 보안 수준이 낮은 상황(예:와인 클럽 가입 또는 비즈니스 충성도 프로그램) 그리고 더 중요한 계정에 대해 강력한(아직 기억하기 쉬운) 비밀번호를 만들기 시작했지만 이러한 비밀번호는 모두 패턴을 따르며 무작위로 지정되지 않습니다. 무엇보다 최악인 것은 모든 내용을 저장하는 20년 된 일반 텍스트 문서를 유지하고 있다는 것입니다. 내 민감한 개인정보를 보호합니다.

이것은 바보입니다. 멍멍멍멍멍멍멍멍.

멍청한 짓이라는 걸 알지만, 지금까지는 굳이 변화를 줘본 적이 없습니다. 이제 여러 가지 이유로 내 디지털 생활을 좀 더 안전하게 만들어야 할 때가 된 것 같습니다. 나는 주말 동안 물건을 잠그는 데 몇 시간을 보냈습니다. 방법은 다음과 같습니다.

사이버 보안에 대한 간략한 가이드

공교롭게도 내 Spotify 계정이 브라질에서 Prince의 최고 히트곡을 스트리밍하는 데 사용된 바로 그날 /u/ACheetoBandito라는 Reddit 사용자가 /r/fatFIRE에 사이버 보안에 대한 가이드를 게시했습니다. 정말 편리해요!

/u/ACheetoBandito는 “사이버 보안은 금융 보안의 중요한 구성 요소이지만 개인 금융 분야에서는 거의 논의되지 않습니다.”라고 썼습니다. "사이버 보안 실무자들은 개인 사이버 보안의 모범 사례에 대해 의견이 일치하지 않습니다. 이것이 나의입니다. 제가 해당 분야에 어느 정도 전문성을 갖고 있기 때문입니다.”

여기에서 전체 게시물을 재현하지는 않겠습니다. 이 주제가 귀하에게 중요하다면 꼭 읽어 보시기 바랍니다. 하지만 읽을 것입니다. 내 생각 몇 가지와 함께 요점 요약을 나열해 보세요. 우리의 주황색 손가락 친구는 사이버 보안에 대해 우려하는 사람이라면 누구나 다음 단계를 취할 것을 권장합니다:

1. 하드웨어 기반 보안 키를 2개 이상 확보하세요. 내 친구 Robert Farrington(The College Investor 출신)은 YubiKey를 사용합니다. Google은 Titan 보안 키를 제공합니다. (최소 폼 팩터 때문에 YubiKey 5c nano를 주문했습니다.)
2. 비밀 개인 이메일 계정을 설정하세요. 귀하의 개인 이메일 주소는 어떠한에도 연결되어서는 안 됩니다. 공개 이메일로 전송되며 주소는 누구에게도 제공되어서는 안 됩니다. (저는 이미 공개 이메일 계정을 많이 가지고 있지만 개인 주소가 없었습니다. 지금은 있습니다.)
3. 공개 및 비공개 Gmail 계정 모두에 대해 고급 보호를 사용 설정하세요. 고급 보호는 Google에서 제공하는 무료 보안 부가기능입니다. 이를 1단계에서 획득한 보안 키에 연결하세요. (보안 키가 오늘 오후까지 도착하지 않기 때문에 아직 설정하지 않았습니다.)
4. 비밀번호 관리자를 설정하세요. 어떤 비밀번호 관리자를 선택할지는 귀하에게 달려 있습니다. 중요한 것은 사용할 것을 선택하는 것입니다. . 이 앱이 인증을 위한 새로운 보안 키를 지원하는 것이 가장 좋습니다. (이 글의 다음 섹션에서 몇 가지 옵션을 다루겠습니다.)
5. 모든에 대한 새 비밀번호 생성 계정. 이메일 주소, 컴퓨터(및 모바일 장치) 및 비밀번호 관리자 자체에 대해 기억하기 쉬운 비밀번호를 수동으로 만드십시오. 다른 모든 비밀번호는 비밀번호 관리자가 무작위로 생성한 강력한 비밀번호여야 합니다.
6. 중요한 계정을 새 개인 이메일 주소와 연결하세요. 여기에는 은행, 증권사, 신용카드 등 금융 계좌가 포함됩니다. 하지만 여기에는 다른 계정도 포함될 수 있습니다. (예를 들어 이 웹사이트와 관련된 핵심 서비스에 내 개인 이메일 주소를 사용하겠습니다.)
7. 모든 계정에 대해 추가된 보안 조치를 활성화합니다. 사용 가능한 기능은 제공업체마다 다르지만 일반적으로 2단계 인증(가능한 경우 보안 키 사용) 및 로그인 알림을 활성화할 수 있어야 합니다.
8. 금융 계좌에 대한 문자/이메일 알림을 활성화합니다. 신용 점수 및/또는 신용 보고서의 변경 사항에 대한 알림을 설정할 수도 있습니다.
9. 모바일 기기에서 보안 조치를 활성화하세요. 강력한 인증 수단으로 휴대전화를 잠가야 합니다. 그리고 각각의 개별 금융 앱은 비밀번호와 기타 가능한 보안 조치로 잠겨 있어야 합니다.

/u/ACheetoBandito에서는 몇 가지 추가적인 선택적 보안 조치를 권장합니다. (그리고 전체 Reddit 토론 스레드는 훌륭한 보안 팁으로 가득 차 있습니다.)

신용을 동결하고 싶을 수도 있습니다. 하지만 그럴 경우 가끔 신용을 해제해야 한다는 점을 기억하세요. -금융 거래를 하려면 신용을 동결하세요.) 어떤 사람들은 휴대폰과 하드 드라이브를 암호화하기를 원할 것입니다. 그리고 보안이 매우 걱정된다면 저렴한 Chromebook을 구입하여 유일한으로 사용하세요. 금융 거래를 수행하는 장치. (믿거나 말거나, 저는 이 마지막 선택 단계를 밟고 있습니다. 제게는 이해가 됩니다 — 그리고 퀴큰을 넘어서는 계기가 될 수도 있겠네요.)

최고의 비밀번호 관리자 탐색

알았어, 좋아! 저는 150달러짜리 새 Chromebook과 하드웨어 기반 보안 키 2개를 주문했습니다. 저는 보안을 강화해야 하는 모든 계정에 연결할 수 있는 새로운 극비 이메일 주소를 설정했습니다. 하지만 아직까지 이 과정에서 가장 취약한 부분인 텍스트 문서에 비밀번호가 가득하다는 문제를 해결하지 못했습니다.

문제의 일부는 안일함입니다. 내 시스템은 간단하고 마음에 듭니다. 그러나 문제의 또 다른 부분은 분석 마비입니다. 많은이 있습니다 시중에 나와 있는 비밀번호 관리자 중 어떤 것이 나와 내 필요에 맞는지 구별하는 방법을 모르겠습니다.

도움을 받기 위해 Facebook 친구들에게 최고의 비밀번호 관리자 목록을 요청했습니다. 저는 그들의 제안을 각각 다운로드하여 설치한 다음 첫 인상을 기록했습니다.

• LastPass:16표(기술 전문가 2표) — LastPass는 내 Facebook 친구들 사이에서 단연 가장 인기 있는 비밀번호 관리자였습니다. 사람들은 그것을 좋아합니다. 설치하고 이리저리 살펴보니… 괜찮은 것 같습니다. 인터페이스는 약간 투박하고 기능 세트는 적절해 보입니다(그러나 견고하지는 않습니다). 이 앱은 내가 좋아하는 이해하기 쉬운 "금고" 비유를 사용합니다. LastPass는 무료입니다 (추가 비용으로 프리미엄 옵션 이용 가능).
• 1Password:7표(기술 전문가 4표) — 이 앱은 Bitwarden 또는 LastPass와 유사한 기능을 가지고 있습니다. 인터페이스는 충분히 훌륭하고 보안 경고를 제공하는 것 같습니다. 1Password의 비용은 연간 36달러입니다.
• Bitwarden:4표(기술 전문가 2표) — Bitwarden은 간단하고 이해하기 쉬운 인터페이스를 갖추고 있습니다. LastPass 및 1Password와 같은 제품이 사용하는 것과 동일한 "금고" 비유를 사용합니다. 내가 사용하는 도구가 되기 위한 강력한 경쟁자입니다. Bitwarden은 무료입니다. 연간 10달러로 프리미엄 보안 기능을 추가할 수 있습니다.
• KeePass:2표 — KeePass는 무료 오픈 소스 비밀번호 관리자입니다. 모든 주요 컴퓨터 및 모바일 운영 체제에 사용할 수 있는 KeePass 설치가 있습니다. Linux 매니아(또는 ​​오픈 소스 옹호자)라면 이것이 좋은 선택일 수 있습니다. 나는 제한된 기능과 형편없는 인터페이스를 좋아하지 않습니다. KeePass는 무료입니다.
• Dashlane:2표 — 제가 살펴본 모든 비밀번호 관리자 중에서 Dashlane은 가장 멋진 인터페이스와 가장 많은 기능을 갖추고 있습니다. 이러한 많은 도구와 마찬가지로 이 도구는 "볼트"라는 비유를 사용하지만 다른 도구보다 이 볼트에 더 많은 항목을 저장할 수 있습니다. (예를 들어 운전면허증, 여권 등의 ID 정보를 저장할 수 있습니다. 영수증을 저장할 수 있는 공간도 있습니다.) Dashlane에는 무료 기본 옵션이 있습니다 그러나 대부분의 사람들은 연간 60달러의 프리미엄 옵션을 원할 것입니다. (신용 모니터링 및 ID 도용 보험이 포함된 연간 $120 옵션도 있습니다.)
• 흐림:1표 — 흐림은 대부분의 비밀번호 관리자와 다릅니다. 말 그대로 온라인 신원을 흐리게 하려고 합니다. 웹 브라우저가 사용자를 추적하는 것을 방지하고, 이메일 주소, 신용카드, 전화번호를 마스킹하고, (또는) 비밀번호를 관리합니다. Blur에는 없는 일부 기능을 원하지만 있는 일부 기능은 원하지 않습니다. 있다. Blur 비용은 연간 최소 $39입니다 하지만 그 가격은 훨씬 더 높아질 수 있습니다.
• Apple 키체인:1표 — 키체인은 1999년부터 Apple의 내장 비밀번호 관리자였습니다. 따라서 Apple 기기에서 무료로 사용할 수 있습니다. 대부분의 Mac 및 iOS 사용자는 인식하지 못한 채 키체인을 사용합니다. 비밀번호 저장 이외의 작업을 수행할 만큼 강력하지 않기 때문에 심각하게 고려하지 않았습니다. 키체인은 무료이며 Apple 제품에 설치되어 제공됩니다.

분명히 말씀드리자면 이러한 비밀번호 관리자에 대해서는 대략적으로만 조사했습니다. 나는 깊게 다이빙하지 않았습니다. 모든 비밀번호 관리자의 모든 기능을 비교하려고 해도 절대 선택하지 않을 것입니다. 나는 다시 분석 마비에 빠지게 될 것입니다. 그래서 각자 한번 짚어보고 직감과 직관에 따라 결정을 내렸습니다.

이 도구 중에서 Bitwarden과 Dashlane이라는 두 가지 도구가 눈에 띄었습니다. 둘 다 멋진 인터페이스와 다양한 기능을 자랑합니다. 두 도구 모두 무료 버전을 제공하지만, 2단계 인증(새 하드웨어 보안 키 사용) 및 보안 모니터링에 액세스하려면 유료 프리미엄 플랜으로 업그레이드하고 싶습니다. 이것이 Bitwarden이 큰 이점을 갖는 곳입니다. 1년에 고작 10달러입니다. 동일한 기능을 사용하려면 Dashlane의 비용이 연간 60달러입니다.

하지만 문제는 이렇습니다.

실제로 사용하기 시작했습니다. 이 두 도구를 동시에 사용하여 웹사이트 비밀번호를 하나씩 입력합니다. 각각 10개의 사이트를 입력한 후 중단했습니다. 저는 Bitwarden보다 Dashlane을 사용하는 것을 훨씬 선호한다는 것이 분명했습니다. 그것은 나에게 이해가 되는 방식으로 작동합니다. (귀하의 경험은 다를 수 있습니다.) 따라서 적어도 잠시 동안은 Dashlane을 비밀번호 관리자로 사용할 예정입니다.

비밀번호 문제

비밀번호 관리자를 사용하는 주요 동기는 민감한 정보를 일반 텍스트 문서에서 보다 안전한 문서로 가져오는 것입니다. 하지만 제게는 두 번째 동기가 있습니다. 즉, 비밀번호의 보안 강도를 높이고 싶습니다.

World Wide Web이 출현하기 전인 1980년대에 제가 인터넷을 사용하기 시작했을 때 저는 비밀번호 강도에 대해 생각해본 적이 없었습니다. 1989년에 제가 만든 첫 번째 비밀번호는 제가 자신의 컴퓨터를 사용하여 지역 게시판 시스템에 액세스할 수 있게 해 준 친구의 이름이었습니다. 나는 년 동안 그 비밀번호를 사용했습니다. 이메일 계정부터 은행 사이트까지 모든 것에 대해. 나는 여전히 중요하지 않은 일에 대해서는 이 비밀번호를 "보안 수준이 낮은" 비밀번호라고 생각합니다.

저는 이와 같은 비밀번호를 8~10개 정도 가지고 있습니다. 짧고 간단한 비밀번호로 수십 곳에서 사용해 왔습니다. 지난 5년 동안 저는 사이트마다 고유한 비밀번호, 패턴을 따르는 비밀번호로 옮기려고 노력해왔습니다. 이는 개선되었지만 여전히 훌륭하지는 않습니다. 내가 말했듯이, 그들은 패턴을 따릅니다. 문자, 숫자, 기호가 포함되어 있지만 모두 상대적으로 짧습니다.

예상하셨겠지만, 저의 엉성한 비밀번호 프로토콜은 보안상의 악몽을 만들어냈습니다. 다음은 내 계정 중 하나에 대한 Google 비밀번호 진단 도구의 스크린샷입니다.

모두에 대해 비슷한 결과가 나타납니다. 내 Google 계정 중 좋아요.

게다가 계정 공유 문제도 있습니다.

Kim과 저는 Netflix 계정을 공유합니다. 그리고 아마존 계정. 그리고 Hulu 계정이 있습니다. 그리고 iTunes 계정이 있습니다. 사실 우리는 아마도 20~30개의 계정을 공유할 것입니다. 그녀와 나는 모든 로그인에 대해 기억하기 쉬운 동일한 비밀번호를 사용합니다. 이들 계정 중 어느 것도 매우 민감한 계정은 아니지만, 우리가 하고 있는 일은 여전히 형편없는 생각입니다.

그래서 저는 Kim과 공유하는 계정에 대해서도 더욱 안전한 비밀번호를 사용하기 시작하고 싶습니다.

좋은 소식은 Dashlane을 포함한 대부분의 비밀번호 관리자가 무작위 비밀번호를 자동 생성한다는 것입니다. 아니면 이 XKCD 만화에서 제안한 아이디어와 비슷한 것을 시도해 볼 수도 있습니다:

물론 문제는 각 장소마다 비밀번호에 대한 요구 사항이 다르다는 것입니다. 일부는 숫자가 필요합니다. 일부는 기호가 필요합니다. 일부는 아니요라고 말합니다. 기호. 등. 비밀번호에 일반적으로 사용되는 단어 4개를 무작위로 사용할 수 있는 사이트를 본 적이 없습니다!

지금은 세 가지 접근 방식을 취하겠습니다:

• 가장 중요한 계정에 대해 길지만 기억하기 쉬운 비밀번호를 수동으로 생성하겠습니다. 이것이 XKCD 방법입니다.
• Kim과 공유하는 계정(Netflix 등)에 대해 패턴을 따르는 기억에 남는 새 비밀번호를 만들겠습니다.
• 그 밖의 모든 경우에는 비밀번호 관리자가 임의의 비밀번호를 생성하도록 허용하겠습니다.

이는 유용성과 보안 사이의 균형이 잘 잡힌 것 같습니다. 모든 비밀번호는 다릅니다. 내가 Kim과 공유하는 내용만 짧을 것입니다. 다른 모든 것들은 길어질 것입니다. 그리고 내 새 비밀번호의 대부분은 무작위로 횡설수설하게 될 것입니다.

사이버 보안에 대한 최종 생각

Tech Insider의 이 짧은 동영상에서 전 NSA 보안 전문가가 온라인에서 자신을 보호하기 위한 5가지 팁을 공유합니다.

이는 이 기사의 앞부분에 게시한 Reddit 사이버 보안 가이드와 유사하다는 점에 유의하세요. 자신의 안전을 지키기 위해 그가 취해야 할 조치는 다음과 같습니다:

• 가능한 경우 2단계 인증을 활성화하세요.
• 어디서나 동일한 비밀번호를 사용하지 마세요.
• 운영체제(및 소프트웨어)를 최신 상태로 유지하세요.
• 소셜 미디어에 게시하는 내용에 주의하세요.
• 하지 하지 확실하지 않는 한 개인정보를 공유하세요. 신뢰할 수 있는 회사나 사람과 거래하고 있습니다.

나는 내가 취하는 조치가 나를 완전히 보호할 것이라고 생각하지 않을 것이다. 하지만 내 새로운 시스템은 확실히 내가 지난 20년 이상 동안 해왔던 것, 즉 앞서 말했듯이 dumb dumb dumb이었던 것에서 업그레이드된 것입니다.

그리고 고백해야 할 것은:나는 좋아한다 내 온라인 금융 생활을 컴퓨터 한 대, 즉 새로운 150달러짜리 크롬북으로 제한하자는 생각이었습니다. 이것이 실제로 가능한지는 잘 모르겠지만 한번 시도해 보겠습니다. 이것이 작동하면 기계에 대해 내가 좋아하는 자금 관리 도구를 찾을 수 있는지 확인할 수 있습니다. 그러면 마침내 Mac용 Quicken 2007을 떠날 수 있을 것입니다!

내가 무엇을 놓쳤나요? 귀하는 어떤 단계를 밟고 있나요? 온라인 계정을 보호하기 위해 조치를 취하셨나요? 최고의 비밀번호 관리자는 무엇이라고 생각하시나요? 기억하기 쉽고 안전한 비밀번호를 어떻게 만드나요? 공유 계정을 어떻게 처리하나요? 다른 GRS 독자들과 저를 도와주세요! — 더 나은 온라인 보안 관행을 개발합니다.