마이크로소프트(MS)는 지난 3월 기업용 서비스인 '애저 액티브디렉토리(AD)'에 패스워드 없는 로그인 기능을 적용한 데 이어, 적용 범위를 일반 사용자 대상의 MS 계정으로 확대했다고 16일 밝혔다.
이에 따라 MS 운영체제(OS) '윈도' 사용자는 생체인식, 일회용 패스워드(OTP), 모바일 앱을 이용한 푸시 알림 등으로 로그인해 '아웃룩', '원드라이브', '패밀리 세이프티' 등 MS 서비스를 이용할 수 있게 됐다.
이런 조치는 패스워드를 탈취하려는 해킹 시도를 차단하는 데 효과적이다. MS 자체 조사에 따르면 패스워드 생성 시 손쉽게 기억하기 위해 가족의 이름, 생일 등의 단어와 숫자를 포함하는 경우가 일반적이라는 분석이다.
이번 조사 대상자 중 15%는 패스워드에 반려동물의 이름을 활용하고, 40%는 기존 패스워드에서 연결된 단어나 숫자만 바꾸는 등 단순한 방식으로 패스워드를 업데이트하고 있음을 확인했다. 10명 중 1명은 모든 사이트에 동일한 패스워드를 사용하는 것으로 나타났다.
이런 점 때문에 해커들은 소셜미디어를 통해 개인정보가 포함된 패스워드와 패턴을 쉽게 파악할 수 있으며, 패스워드를 자주 변경하더라도 해커의 공격에서 벗어나기 어렵다. MS는 부실한 패스워드 관리로 인해 매초 579건, 연 평균 180억건의 패스워드가 탈취되고 있다고 밝혔다.
관련기사
- 코로나19, 1인당 온라인 계정 14개 늘렸다…"해킹 면적 확대"2021.06.15
- FIDO 얼라이언스, 안전한 IoT 기기 활용 지원 기술표준 공개2021.04.21
- 기업 10곳 중 8곳 "패스워드 정책 따로 없다"2021.02.08
- 패스워드 필요없는 인증 'FIDO', 일상 어떻게 바꿀까2020.12.03
패스워드 없는 로그인 기능을 적용하려면 MS 계정 사이트를 방문해 ‘고급 보안 옵션’에서 ‘비밀번호 없는 계정 켜기'를 설정하면 된다. 휴대폰 등에 설치된 인증 앱이 개인 계정과 연결돼야 한다. 패스워드도 다시 언제든 적용할 수 있다.
바수 자칼 MS 보안 부문 부사장은 “차세대 로그인 방식은 패스워드가 없는 형태이며, MS는 모든 사용자에게 이를 장려할 것”이라며 “친숙하고 편리한 인증 경험을 통해 다양한 기기와 서비스에 걸쳐 최고 수준의 보안을 제공하겠다”고 말했다.
