OTG-AUTHN-007 (취약한 패스워드 정책 테스트)¶
개요¶
가장 널리 보급되고 가장 쉽게 관리되는 인증 메커니즘은 정적 암호입니다. 암호는 왕국의 열쇠를 나타내지 만 사용자가 유용성의 이름으로 종종 전복합니다. 최근 신상 정보에서 사용자 자격 증명을 공개 한 해킹에서 가장 흔한 암호는 여전히 123456, 암호 및 qwerty입니다.
테스트 방법¶
- 어떤 문자가 암호 내에서 사용이 허용되고 금지됩니까? 사용자가 대소 문자, 숫자 및 특수 기호와 같은 다른 문자 집합의 문자를 사용해야합니까?
- 사용자는 얼마나 자주 암호를 변경할 수 있습니까? 이전에 변경 한 후 사용자가 얼마나 빨리 암호를 변경할 수 있습니까? 사용자는 암호를 다섯 번 연속 변경하여 암호 기록 요구 사항을 건너 뛸 수 있으므로 마지막 암호를 변경 한 후에 다시 초기 암호를 구성 할 수 있습니다.
- 사용자가 언제 암호를 변경해야합니까? 90일 후? 과도한 로그온 시도로 인해 계정이 잠긴 후?
- 사용자는 얼마나 자주 암호를 재사용 할 수 있습니까? 응용 프로그램이 이전에 사용한 8개의 암호에 대한 기록을 유지합니까?
- 다음 암호가 마지막 암호와 다른 점은 무엇입니까?
- 사용자가 자신의 사용자 이름이나 다른 계정 정보 (성과 이름 등)를 암호에서 사용하지 못하게합니까?
권고 사항¶
인증되지 않은 액세스를 용이하게하는 추측 된 암호의 위험을 줄이려면 추가 인증 제어(2단계 인증)를 도입하거나 강력한 암호 정책을 도입하는 두 가지 솔루션이 있습니다. 이들 중 가장 간단하고 저렴한 방법은 암호 길이, 복잡성, 재사용 및 노화를 보장하는 강력한 암호 정책을 도입하는 것입니다.