2.3 비밀번호 관리

2.3 비밀번호 관리

1. 보안약점 항목

• 보안기능 하드코드된 중요정보
• 취약한 비밀번호 허용

2. 설명

• 생성규칙, 저장방법, 변경주기 등 비밀번호 관리정책별 안전한 적용방법을 설계한다.

3. 보안대책

• 비밀번호 설정 시 한국인터넷진흥원 『비밀번호 선택 및 이용 안내서』 의 비밀번호 보안 지침을 적용 한다.
• 네트워크로 비밀번호를 전송하는 경우 반드시 비밀번호를 암호화하거나 암호화된 통신채널을 이용해야 한다.
• 비밀번호 저장 시, 솔트가 적용된 안전한 해시함수를 사용해야 하며 비밀번호에 대한 해시는 서버에서 실행되도록 
  해야 한다.
• 비밀번호 재설정/변경 시 안전하게 변경할 수 있는 규칙을 정의해서 적용해야 한다.
• 비밀번호 관리 규칙을 정의해서 적용해야 한다.

4. 진단기준

• 비밀번호 설정 규칙이 안전하게 정의되어 있는가?
• 비밀번호 설정 규칙을 점검하는 테스트 계획이 수립되어 있는가?

사례1 : 취약한 비밀번호 사용
회원가입 시 안전한 비밀번호 생성규칙이 적용되지 않아서 취약한 비밀번호로 회원가입이 가능할
경우 무차별 대입 공격으로 비밀번호가 누출될 수 있다.

사례2 : 취약한 비밀번호 복구
비밀번호 복구 메커니즘(아이디/비밀번호 찾기 등)이 취약한 경우 공격자가 불법적으로 다른 사용자의
비밀번호를 획득, 변경, 복구할 수 있다.

사례3: 하드코드된 중요정보
프로그램 코드 내부에 비밀번호를 하드 코딩하여 내부 인증에 사용하거나 외부 컴포넌트와 통신을
하는 경우, 관리자용 계정 정보가 노출될 수 있어 위험하다. 또한, 코드 내부에 하드코드된 비밀번호가
인증실패를 발생시키는 경우, 시스템 관리자가 그 실패의 원인을 파악하기 쉽지 않다.