사례로 보는 패스워드와 사용자 경험의 관계

스포카에서 발행한 사례로 보는 패스워드와 사용자 경험의 관계

패스워드는 현대 서비스에서 가장 많이 이용되고 있는 사용자 인증 도구입니다. 하지만 이와 동시에 서비스 이용에서 사용자를 가장 괴롭히고 있는 도구이기도 하죠.

패스워드에 대한 정책은 사용자 경험에 깊이 영향을 끼치기 때문에 꽤 중요하며, 아직 이렇다 할 규칙의 통일이 이루어지고 있지 않은 요소입니다. 오늘 기술 블로그에선 말도 많고 탈도 많은 여러 사이트의 패스워드 정책에 대해 다루어보도록 하겠습니다.

일반적으로, 패스워드 규칙이 까다로우면 사용자 경험을 나쁘게 한다는 시선이 많으나 단순히 그렇게만 볼 수 있는 문제는 아니라고 생각합니다. 패스워드가 소위 “털리는” 케이스의 사용자 경험에 대한 고민은 이 주장에 별로 고려되고 있지 않기 때문이죠. 사실 그런 고민이 없다면 패스워드가 그냥 없는 것이 사용자 경험에 가장 좋을 것입니다. :(

이에 대한 논의가 어려운 이유는 근본적으로 사용자 인증 피해의 규모가 서비스 성격마다 모두 달라서 그 수준에 대해 일률적으로 쉽게 정의할 수 없기 때문입니다. 하지만 인증 피해가 서비스 디자인의 실수 때문에 발생한다면 그 책임을 전적으로 서비스 제공자가 져야 함은 분명합니다.

그러므로 작은 차이는 있더라도 현재 자신의 인증 시스템이 가져오는 편의성과 보안 수준은 잘 알아두는 것이 좋습니다.

블리자드 배틀넷은 최근 디아블로 3 포럼에 남긴 하나의 답글로 많은 논란을 불러일으켰습니다. 배틀넷 로그인 시 패스워드가 case-sensitive 하지 않다는 버그를 신고하자, 그것이 버그가 아니라 원래 모든 블리자드 게임이 그러하다고 답변을 단 것입니다. 실제로 블리자드의 최신 배틀넷 접속은 어떤 게임이든 대소문자를 구분하지 않았습니다.

이것이 어떤 문제가 있는 것인지는 해당 포럼 글의 의견에 잘 정리되어있는데요. case-sensitive 하지 않게 인증이 가능하게 하면 무작위 대입법이 훨씬 빠르게 사용자 인증을 뚫기 때문입니다.

알파벳 10자로만 이루어진 패스워드를 뚫는다고 가정할 때, 무작위 대입법이 대입해야 할 패스워드 수는 case-sensitive 한 것과 아닌 것이 아래 숫자만큼 차이가 나게 됩니다.

...

더 읽어보러 가기

직군 정보
운영 고객지원

기업 문화 정보


기술 스택 정보

더 많은 내용은 더팀스에서 확인하세요!