PC-02 패스워드 정책이 해당 기관의 보안 정책에 적합하게 설정
항목중요도 : 상
1. 취약점 개요
▶ 점검내용 : 패스워드 설정 정책이 복잡성을 만족하는지 점검
▶ 점검목적 : 안전한 패스워드(*패스워드 설정 기준 참조)를 사용함으로써 무작위 대입 공격, 사전공격 등 패스워드 탈취 목적의 공격에 대한 대비를 목적으로 함
▶ 보안위협
· 무작위 대입 공격, 패스워드 추측 공격 등 패스워드가 비교적 단순하거나 비교적 자주 쓰이는 패스워드(예:1q2w3e4r! 등)로 비인가 접근을 시도하는 공격들이 존재함
▶ 참고
※ 무작위 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도
※ 사전 공격(Dictionary attack): 사전에 있는 단어를 입력하여 암호를 알아내거나 해독하는 컴퓨터 공격법
2. 점검대상 및 판단 기준
▶ 대상 : Windows XP, Windows 7, Windows 8.1, Windows 10
▶ 판단기준
· 양호 : 복잡성을 만족하는 패스워드 정책이 설정되어 있는 경우
· 취약 : 암호를 사용하지 않거나, 추측하기 쉬운 문자조합으로 이루어진 짧은 자릿수의 패스워드를 사용하는 경우
▶ 조치방법 : 최소 암호 길이를 해당 기관의 보안 정책에 적합하게 설정
3. PC 초기 설정값
※ 테스트한 PC의 버전은 Windows 11 입니다.
확인방법
1) 윈도우키+영문자R 키 입력 > 실행 > “gpedit.msc” 입력
2) 컴퓨터 구성> Windows 설정> 보안 설정> 계정 정책> 암호 설정 확인
복잡성을 만족하는 패스워드 정책을 설정하도록 되어있습니다.
① 암호는 8자리 이상 설정(공공기관의 경우 9자리 이상)
② 2종류 이상을 조합하여 최소 10자리 이상 또는, 3종류 이상을 조합하여 최소 8자리 이상
- 영문 대문자
- 영문 소문자
- 숫자
- 특수문자
최소 암호 길이 0으로 되어있습니다.
복잡성 역시 사용안함으로 되어있습니다.
취약입니다.
4. 조치
조치를 해보겠습니다.
1) 윈도우키+영문자R 키 입력 > 실행 > “gpedit.msc” 입력
2) 컴퓨터 구성> Windows 설정> 보안 설정> 계정 정책> 암호 설정 확인
① 암호는 8자리 이상 설정(공공기관의 경우 9자리 이상)
② 복잡성 만족 -> 사용
윈도우PC의 복잡성 아래와 같이 설정 되어있습니다.
5. 결과
8자리 이상, 복잡성 설정을 해주시면 양호입니다!
PC를 마스터하는 그날까지
화이팅!
'취약점 진단 > PC 취약점 진단' 카테고리의 다른 글
[PC] PC-06 HOT FIX 등 최신 보안패치 적용 (0) | 2024.09.17 |
---|---|
[PC] PC-05 Windows Messenger(MSN, .NET 메신저 등)와 같은 상용 메신저의 사용 금지 (1) | 2024.09.17 |
[PC] PC-04 불필요한 서비스 제거 (0) | 2024.09.17 |
[PC] PC-03 공유폴더 제거 (0) | 2024.09.17 |
[PC] PC-01 패스워드의 주기적 변경 (0) | 2024.09.17 |