반응형
| 구분 | NIST SP 800-63 (2024. 08.) |
CIS 패스워드 정책 가이드 (2021. 12.) |
설명 | |
| 패스워드 길이 (최소) | • 최소 8자리 이상 (SHALL) • 최소 15자리 이상 권장 (SHOULD) |
• 패스워드 전용 계정 : 14자리 이상 • MFA 계정 (패스워드 팩터 : 8자리 이상) |
주요 권장사항 | 시스템에 강제 적용된 유효한 패스워드의 최소 문자 수 |
| 패스워드 길이 (최대) | • 최대 64자리 이상 (SHOULD) | • 제한 없음 | 주요 권장사항 | 시스템에 강제 적용된 유효한 패스워드의 최대 문자 수 |
| 패스워드 구성/복잡도 | • 인쇄 가능한 모든 ASCII 문자와 공백 허용 (SHOULD) • 유니코드 문자를 허용 (SHOULD) ※ 유니코드 코드 포인트는 단일 문자로 계산되어야 함 (SHOULD) • 다른 구성 규칙(e.g. 다양한 문자 유형의 혼합 요구) 보과해서는 안됨 (SHALL NOT) |
• 패스워드에 모든 문자 유형을 허용 | 주요 권장사항 | 시스템에 강제 적용된 유효한 패스워드 문자 구성 |
| 패스워드 만료 | • 사용자에게 주기적으로 비밀번호 변경을 요구해서는 안됨 (SHALL NOT) ※ 단, 인증자가 침해되었다는 증거가 있는 경우 비밀번호를 강제로 변경하도록 하여야 함 (SHALL) |
• 이벤트에 따라 즉시 변경, 1년 • 만료 "back stop" |
주요 권장사항 | 시스템에 강제 적용된 패스워드가 유효한 상태로 유지되는 일수 |
| 패스워드 금지(거부 목록) | • 비밀번호 선택 시 지식 기반 인증(KBA; e.g. 첫 번째 애완동물의 이름은 무엇입니까?) 또는 보안 질문을 사용하도록 요구해서는 안됨 (SHALL NOT) • 비밀번호 설정 또는 변경 요청 처리 시 차단 목록과 비교 - 이전 침해 시 얻은 패스워드 - 사전 단어 - 서비스 이름, 사용자 이름 및 그 파생어와 같은 맥락별 단어 등 |
• 새 패스워드 생성 시 일반적으로 잘못된 상위 20개 이상의 패스워드 확인 • 이전에 사용된 패스워드 목록 : 마지막 5개 또는 그 이상 • 패스워드 변경 지연 : 1일 또는 그 이상 |
주요 권장사항 | 시스템에 강제 적용된 알려진 잘못된 패스워드, 취약하거나 최근에 사용된 패스워드의 내부 거부목록에 대해 새 패스워드 생성을 확인 |
| 유휴 시 세션 잠금 | • 유휴 시간을 15분 이하로 설정하고 세션 잠금 • 로그인은 일반 계정 로그인과 동일하여야 함 |
주요 권장사항 | 시스템에 강제 적용된 유휴 상태일 때 현재 세션을 잠금 전의 기간 | |
| 실패한 로그인 시도 제한(잠금) | • 인증 실패 횟수를 효과적으로 제한하는 속도 제한 메커니즘 구현 (SHALL) ※ 자동화 공격 등 너무 많이, 너무 빠르게 하지 못하도록 막는 것 |
• 각 재시도 간격(0, 1, 2, 4, 8 등) 동안 5번 연속으로 실패하거나 시간(분)이 두 배 중가된 임시 계정 잠금(15분 이상) 두 경우 모두 10회 연속 실패한 후 영구 계정 잠금(IT 재설정 필요) | 주요 권장사항 | 시스템에 강제 적용된 연속적인 잘못된 로그인 시도를 기반으로 한 로그인 지연 또는 계정 잠금 |
| 패스워드 표시 | • 패스워드 입력 중 점이나 별표가 아닌 비밀번호 표시 옵션 제공 (SHOULD) • 문자가 입력된 후 기기에 입력된 개별 문자를 잠시 동안 표시(MAY) |
• 생성 시 : 전체 패스워드 표시 허용 • 입력 시 : 입력한 각 문자를 임시로 표시 허용 |
선택 권장사항 | 사용자가 입력하는 패스워드 표시 허용 |
| 패스워드 관리자 | • 패스워드 관리자 사용을 허용 (SHALL) | • Yes, 특히 사용자가 여러 계정의 강력한 패스워드를 관리해야 하는 경우 권장됨 | 선택 권장사항 | 외부 패스워드 관리 제품 사용 |
| 붙여넣기 허용 | • "붙여넣기" 기능 허용 (SHOULD) | • Yes, 일부 시나리오에서 패스워드 관리자 사용을 용이하게 하기 위해서만 사용 | 선택 권장사항 | 잘라내기/복사된 패스워드를 패스워드 필드에 붙여넣기 허용 |
| 기타사항 | • 비밀번호 요청 시 승인된 암호화, 인증된 보호채널 사용 (SHALL) • 오프라인 공격에 강한 형태로 비밀번호 저장 (SHALL) • 비밀번호 저장 시 Salt 및 Hash 적용 (SHALL) |
• 로그인 한도를 초과하면 주요 담당자에게 알림 (실패한 로그인 시도 모니터링) • 유효한 로그인 없이 45일 후에 계정을 자동으로 일시 중지 (미사용 시 계정 정리) • 패스워드 힌트(아니오) • 생성 시 패스워드 강도 표시를 제공 |
주요 권장사항 주요 권장사항 선택 권장사항 선택 권장사항 |
|
728x90
'IT & Security > 관리 · 물리' 카테고리의 다른 글
| [니pc지키미] Oracle 용 DB 개인정보 검색 프로그램 v1.0 (니디비뒤지미 for oracle) (0) | 2020.11.28 |
|---|---|
| [니pc지키미] mariadb/mysql 용 DB 개인정보 검색 프로그램 v1.0 (니디비뒤지미 for mariadb) (0) | 2020.11.28 |
| [니pc지키미] 니서버뒤지미 V1.0 (FindFiles for Server) - 서버내 개인정보검색 프로그램 (0) | 2020.11.28 |
| [개인정보보호협회(OPA)] 개인정보 보호법 적용사례 상황별 맞춤 서비스 시나리오(100건) (3) | 2020.03.04 |
| 니PC뒤지미 V3 (FindFilesV3) - PC 내 개인정보검색 프로그램 (1) | 2020.02.20 |
댓글