PC-02: 비밀번호 관리정책 설정

분류: PC

중요도: 상

개요

비밀번호 설정 정책이 복잡성을 만족하는지 점검

안전한 비밀번호 (*비밀번호 설정 기준 참고)를 사용함으로써 무차별 대입 공격, 사전공격 등 비밀번호 탈취 목적의 공격에 대해 대비하기 위함

주기적으로 보안 패치를 적용하지 않을 경우, 버전 취약점을 이용한 공격 또는 새로운 공격에 대한 침해 사고가 발생할 수 있는 위험이 존재함

Windows 10, Windows 11

✅ 양호: 복잡성을 만족하는 비밀번호 정책이 설정된 경우

❌ 취약: 비밀번호를 사용하지 않거나, 추측하기 쉬운 문자조합으로 이루어진 짧은 자릿수의 비밀번호를 설정된 경우

비밀번호 정책을 해당 기관의 보안 정책에 적합하게 설정

영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 비밀번호 설정
다음 각 항목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
- 영문 대문자(26개)
- 영문 소문자(26개)
- 숫자(10개)
- 특수문자(32개)
비밀번호는 비인가자에 의한 추측이 어렵게 다음의 사항을 반영하여 설계
- Null(공백) 비밀번호 사용 금지
- 문자 또는 숫자만으로 구성 금지
- 사용자 ID와 같거나 유사하지 않은 비밀번호 금지
- 연속적인 문자나 숫자 사용 (예) 1111, 1234, abcd) 사용 금지
- 주기성 비밀번호 재사용 금지
- 전화번호, 생일과 같이 추측하기 쉬운 개인정보를 비밀번호로 사용 금지
아래와 같은 비밀번호 설정 지양
- Null, 계정과 같거나 유사한 스트링
- 지역명, 부서명, 담당자명, 대표 업무명
- “root”, “rootroot”, “root123”, “123root”
- “admin”, “admin123”, “123admin”, “osadmin”, “adminos”

일반적인 경우 영향 없음

암호 정책 적용 확인