취약한 패스워드 복구
(Recovering Vulnerable Passwords)
개념
패스워드 재설정 시 일정 패턴으로 설정되거나 웹 사이트에 재설정된 패스워드가 바로 노출되는 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
공격자가 불법적으로 다른 사용자의 패스워드를 획득하거나 변경할 수 있게 됩니다.
조치 방법
- 사용자의 개인정보로 패스워드를 생성하지 말아야 하며, 난수를 이용한 불규칙적이고 최소 길이(6자 이상)이상의 패턴이 없는 패스워드를 발급하여야 합니다.
- 사용자 패스워드를 발급해주거나 확인할 때 웹 사이트 화면에 바로 출력하는 것이 아닌 인증된 사용자 메일이나 SMS로 전송해야 합니다.
- 패스워드 재발급 검증 실패에 대한 임계값을 설정하여 일정 횟수 이상 실패한 경우 다른 방식으로 패스워드 찾기 기능을 제공하여야 합니다. 검증 후 기존의 패스워드가 아닌 임시패스워드를 발급하도록 설계해야 하며, 사용자가 임시패스워드를 발급받은 즉시 새로운 패스워드로 재설정하도록 구현해야 합니다.
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
| 세션 예측이란? (0) | 2024.03.19 |
|---|---|
| 크로스사이트 리퀘스트 변조(CSRF)란? (0) | 2024.03.19 |
| 불충분한 인증이란? (0) | 2024.03.17 |
| 약한 문자열 강도란? (0) | 2024.03.17 |
| 크로스사이트 스크립팅이란? (2) | 2024.03.17 |