주요정보통신기반 시설 가이드

취약한 패스워드 복구란?

만보만보잠만보 2024. 3. 17. 18:10

취약한 패스워드 복구

(Recovering Vulnerable Passwords)

 

개념

패스워드 재설정 시 일정 패턴으로 설정되거나 웹 사이트에 재설정된 패스워드가 바로 노출되는 취약점입니다.

 

발생 원인

불충분한 보안 대책으로 인해 발생합니다.

 

위험한 이유

공격자가 불법적으로 다른 사용자의 패스워드를 획득하거나 변경할 수 있게 됩니다.

 

조치 방법

- 사용자의 개인정보로 패스워드를 생성하지 말아야 하며, 난수를 이용한 불규칙적이고 최소 길이(6자 이상)이상의 패턴이 없는 패스워드를 발급하여야 합니다.

- 사용자 패스워드를 발급해주거나 확인할 때 웹 사이트 화면에 바로 출력하는 것이 아닌 인증된 사용자 메일이나 SMS로 전송해야 합니다.

- 패스워드 재발급 검증 실패에 대한 임계값을 설정하여 일정 횟수 이상 실패한 경우 다른 방식으로 패스워드 찾기 기능을 제공하여야 합니다. 검증 후 기존의 패스워드가 아닌 임시패스워드를 발급하도록 설계해야 하며, 사용자가 임시패스워드를 발급받은 즉시 새로운 패스워드로 재설정하도록 구현해야 합니다.