OTG-AUTHN-007 (취약한 패스워드 정책 테스트)


개요

가장 널리 보급되고 가장 쉽게 관리되는 인증 메커니즘은 정적 암호입니다. 암호는 왕국의 열쇠를 나타내지 만 사용자가 유용성의 이름으로 종종 전복합니다. 최근 신상 정보에서 사용자 자격 증명을 공개 한 해킹에서 가장 흔한 암호는 여전히 123456, 암호 및 qwerty입니다.


테스트 목적

암호의 길이, 복잡성, 재사용 및 노후화 요구 사항을 평가하여 사용 가능한 암호 사전을 사용하여 무차별 암호 추측에 대한 응용 프로그램의 저항을 결정하십시오.


테스트 방법

  1. 어떤 문자가 암호 내에서 사용이 허용되고 금지됩니까? 사용자가 대소 문자, 숫자 및 특수 기호와 같은 다른 문자 집합의 문자를 사용해야합니까?
  2. 사용자는 얼마나 자주 암호를 변경할 수 있습니까? 이전에 변경 한 후 사용자가 얼마나 빨리 암호를 변경할 수 있습니까? 사용자는 암호를 다섯 번 연속 변경하여 암호 기록 요구 사항을 건너 뛸 수 있으므로 마지막 암호를 변경 한 후에 다시 초기 암호를 구성 할 수 있습니다.
  3. 사용자가 언제 암호를 변경해야합니까? 90일 후? 과도한 로그온 시도로 인해 계정이 잠긴 후?
  4. 사용자는 얼마나 자주 암호를 재사용 할 수 있습니까? 응용 프로그램이 이전에 사용한 8개의 암호에 대한 기록을 유지합니까?
  5. 다음 암호가 마지막 암호와 다른 점은 무엇입니까?
  6. 사용자가 자신의 사용자 이름이나 다른 계정 정보 (성과 이름 등)를 암호에서 사용하지 못하게합니까?

참고 문헌

  • Brute Force Attacks
  • Password length & complexity

권고 사항

인증되지 않은 액세스를 용이하게하는 추측 된 암호의 위험을 줄이려면 추가 인증 제어(2단계 인증)를 도입하거나 강력한 암호 정책을 도입하는 두 가지 솔루션이 있습니다. 이들 중 가장 간단하고 저렴한 방법은 암호 길이, 복잡성, 재사용 및 노화를 보장하는 강력한 암호 정책을 도입하는 것입니다.