Unix : U-02(상) 계정관리 > 패스워드 복잡성 설정
패스워드 복잡성 : 사용자 패스워드 설정 시 영문, 숫자, 특수문자가 혼합된 일정 길이 이상으로 패스워드를 설정하는 방법
취약점 개요
ㆍ점검내용
시스템 정책에 사용자 계정 패스워드 복잡성 관련 설정이 되어 있는지 점검한다.
ㆍ점검목적
패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격에 대비가 되어 있는지 확인하기 위해서이다.
ㆍ보안위협
복잡성 설정이 되어있지 않은 패스워드는 사회공학적인 유추가 가능할 수 있으며,
암호화된 패스워드 해시값을 브루트포스 공격으로 단시간에 패스워드 크랙이 가능하다.
판단기준 및 조치방법
ㆍ판단기준
양호 : 패스워드 최소 길이 8자리 이상, 영문·숫자·특수문자 최소 입력 기능이 설정된 경우
취약 : 패스워드 최소 길이 8자리 미만, 영문·숫자·특수문자 최소 입력 기능이 설정되지 않은 경우
ㆍ조치방법
계정과 유사하지 않은 8자 이상의 영문, 숫자, 특수문자의 조합으로 암호 설정 및 패스워드 복잡성 옵션을 설정한다.
점검 및 조치 사례
- LINUX RHEL7의 점검 파일 내용
- 최소길이, 특수문자, 숫자 등등을 설정할 수 있다.
[부적절한 패스워드 유형]
1. 사전에 나오는 단어나 단어들의 조합
2. 길이가 너무 짧거나, NULL(공백)인 패스워드
3. 키보드 자판의 일련의 나열 ex) abcd, qwer, etc
4. 사용자 계정 정보에서 유추 가능한 단어들 ex) 지역명, 계정명, 사용자 이름의 이니셜, root, rootroot, root123, admin 등
[패스워드 관리 방법]
1. 영문, 숫자, 특수문자를 조합하여 계정명과 다른 8자 이상의 패스워드 설정
※ 다음 문자 종류 중 2개 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
- 영문 대문자(26개)
- 영문 소문자(26개)
- 숫자(10개)
- 특수문자(32개)
2. 시스템마다 다른 패스워드 사용
3. 패스워드 기록 시 변형하여 기록
ㆍ조치 시 영향
패스워드 변경 시 Web, WAS, DB연동 구간에서 문제가 발생할 수 있으므로 연동 구간에 미칠 수 있는 영향을 고려하여 적용이 필요하다.