2.2 인증 수행 제한

2.2 인증 수행 제한

1. 보안약점 항목

• 반복된 인증시도 제한 기능 부재

2. 설명

• 반복된 인증 시도를 제한하고 인증 실패한 이력을 추적하도록 설계한다.

3. 보안대책

• 로그인 기능 구현 시, 인증시도 횟수를 제한하고, 초과된 인증시도에 대해 인증제한 정책을 적용해야 한다.
• 실패한 인증시도에 대한 정보를 로깅하여 인증시도 실패가 추적될 수 있게 해야 한다.

4. 진단기준

• 로그인 기능 설계 시 인증시도 횟수가 제한되도록 설계되어 있는가?
• 초과된 인증시도에 대한 인증제한 정책이 적용되도록 설계되어 있는가?
• 인증시도 횟수 제한을 점검하는 테스트 계획이 수립되어 있는가?

 

로그인 시도에 대한 횟수를 검사하지 않으면 로그인 시도 횟수와 상관없이 지속적으로 로그인 시도가
이루어지는 비밀번호 무차별 대입 공격이 시도되어 계정정보가 노출될 수 있다.