콘텐츠로 이동

WEB-02: 취약한 비밀번호 사용 제한

분류: Web Service

중요도: 상

개요

점검 내용

관리자 계정의 취약한 비밀번호 설정 여부 점검

점검 목적

관리자 계정의 비밀번호가 복잡도 기준에 맞게 적용되어 있는지 점검하여, 비인가자에 의한 비밀번호 유추 공격 및 관리자 권한 탈취 등을 방지하기 위함

보안 위협

관리자 계정의 비밀번호를 취약하게 설정하여 사용하는 경우, 비인가자의 비밀번호 유추 공격으로 관리자 권한 탈취 및 시스템 침입 등의 위험이 존재함

참고

점검 대상 및 판단 기준

대상

Tomcat, IIS, JEUS

판단 기준

✅ 양호: 관리자 비밀번호가 암호화되어 있거나, 유추하기 어려운 비밀번호로 설정된 경우

❌ 취약: 관리자 비밀번호가 암호화되어 있지 않거나, 유추하기 쉬운 비밀번호로 설정된 경우

조치 방법

복잡도 기준에 맞는 추측하기 어려운 비밀번호 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

Tomcat

  1. 설정 파일 오픈 
    vi <Tomcat 설치 디렉터리>/conf/server.xml
  2. 복잡도를 만족하는 비밀번호 설정 
    <user username="admin" password="XNDJxndn264!@" roles="manager-gui"/>
  3. Tomcat 재시작 
    systemctl restart tomcat

JEUS

  1. Lock & EDIT > Security > Security Domains 페이지 해당 도메인 > Account & Policies Management > Users > 기본 관리자 계정의 비밀번호 변경 > 확인 > Activate Changes을 눌러 설정 저장 관리자 비밀번호 설정

참고

SHA-256 이상 암호화 방식 비밀번호로 설정

비밀번호 설정 기준

  • 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 비밀번호 설정 !!! info "비밀번호 생성 규칙" 다음 각 항목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성:

    1.  영문 대문자(26개)
2.  영문 소문자(26개)
3.  숫자(10개)
4.  특수문자(32개)

  • 비밀번호는 비인가자에 의한 추측이 어렵게 다음의 사항을 반영하여 설계

    1. Null(공백) 비밀번호 사용금지
    2. 문자 또는 숫자만으로 구성 금지
    3. 사용자 ID와 같거나 유사하지 않은 비밀번호 금지
    4. 연속적인 문자나 숫자 사용 (예: 1111, 1234, abcd 사용금지)
    5. 주기성 비밀번호 재사용 금지
    6. 전화번호, 생일과 같이 추측하기 쉬운 개인정보를 비밀번호로 사용금지

  • SAM 파일에 암호를 저장하기 위해 사용되는 LANMan 알고리즘은 8자 단위로 글자를 나누어 암호화하기 때문에 8의 배수가 되는 암호 사용 권장 (8자로 이루어진 암호 사용 권장)

  • 아래와 같은 암호 설정 지양

    1. Null, 계정과 같거나 유사한 스트링
    2. 지역명, 부서명, 담당자명, 대표 업무명
    3. "root", "rootroot", "root123", "123root"
    4. "admin", "admin123", "123admin", "osadmin", "adminos"