사용자의 비밀번호 요구사항 시행 및 모니터링하기

• Google에서는 해싱 방법을 사용하여 설정된 비밀번호에 비밀번호 안전성 및 길이 요구사항을 시행할 수 없습니다(예:사용자 일괄 업로드 도구, Directory API, Password Sync 또는 Google Cloud 디렉터리 동기화와 같은 동기화 도구를 사용해 생성된 비밀번호). 자세한 내용은 Google Workspace 관리자 SDK 또는 Password Sync에 대한 정보를 참고하세요.
• 관리자가 수동으로 재설정한 사용자 비밀번호에는 비밀번호 안정성 및 길이에 관한 요구사항이 적용되지 않습니다. 비밀번호를 수동으로 재설정하는 경우 해당 사용자에 대해 사용자가 로그인할 때 비밀번호를 변경하도록 요청 체크박스를 선택해야 합니다.
• 관리자가 구성한 비밀번호 정책은 SAML을 사용하여 서드 파티 ID 공급업체(IdP)에서 인증하는 사용자에게는 적용되지 않습니다.

안전한 비밀번호를 시행하면 Google에서는 비밀번호 안전성 등급 알고리즘을 사용하여 비밀번호가 반드시 다음 조건을 충족하도록 합니다.

• 비밀번호 엔트로피라고 하는 높은 수준의 무작위성이 있어야 합니다. 다른 유형의 문자(예: 대문자, 소문자, 숫자, 특수문자)로 구성된 긴 문자열을 사용하면 무작위성이 높아집니다.

  참고: 안전한 비밀번호를 위해 특정 유형의 문자가 일정 개수 필요한 것은 아닙니다.

• 흔히 사용되는 취약한 비밀번호(예: '123456', 'password123')가 아니어야 합니다.
• 추측하기 쉬운 번호(예: 단순한 단어나 어구, 비밀번호가 사용자 이름과 동일한 패턴)가 아니어야 합니다.
• 보안 침해된 번호, 즉 해킹된 계정의 데이터베이스에 있는 번호가 아니어야 합니다.

조사 결과에 따르면 비밀번호 만료 설정은 보안에 미치는 긍정적 효과가 거의 없는 것으로 확인되어 기본적으로 사용 중지되어 있습니다. 하지만 규정 준수를 위해 필요한 경우 사용자의 비밀번호가 90일이나 180일과 같이 일정 기간 이후 만료되도록 설정할 수 있습니다.

비밀번호 만료는 브라우저 기반 애플리케이션 로그인에만 시행됩니다. 휴대전화만 사용하거나 OAuth 인증 앱을 사용하여 로그인한 사용자에게는 적용되지 않습니다.

비밀번호 경보

비밀번호 만료 기간을 설정하면 비밀번호 만료일 30일 전에 사용자의 Google 서비스(예: Gmail, Calendar)에 팝업 알림(이메일 리마인더는 아님)이 표시됩니다. 이때 사용자는 사용 중인 비밀번호를 변경하거나 표시된 알림을 닫을 수 있습니다. 사용자가 비밀번호를 변경하지 않으면 사용자가 계정에 다시 로그인할 때 알림이 표시됩니다. 사용자가 알림을 세 번 끄면 알림이 더 이상 표시되지 않습니다. 하지만 비밀번호가 만료되면 사용자는 다음 로그인 시 사용 중인 비밀번호를 변경해야 합니다.

사용자가 비밀번호를 변경해야 하는 경우

관리자가 비밀번호 만료 정책을 처음 설정하면 어떤 사용자에게는 비밀번호를 즉시 변경하라는 메시지가 표시되지만 어떤 사용자는 비밀번호를 바로 변경할 필요가 없습니다. 예를 들면 다음과 같습니다.

• 90일 만료 정책을 설정할 때 사용자가 마지막으로 비밀번호를 변경한 것이 100일 전이라면 이 사용자의 비밀번호는 정책을 설정하는 즉시 만료되므로 사용자가 다음번 계정에 로그인할 때 비밀번호를 변경하라는 메시지가 표시됩니다. 
• 90일 만료 정책을 설정할 때 사용자가 마지막으로 비밀번호를 변경한 것이 30일 전이라면 이 사용자의 비밀번호는 아직 만료되지 않은 것이므로 60일이 지난 후 사용자가 다시 로그인할 때 비밀번호를 변경하라는 메시지가 표시됩니다.