[Linux] 1. 계정 관리 > 1.2 패스워드 복잡성 설정

점검내용

• 시스템 정책에 사용자 계정(root 및 일반계정 모두 해당) 패스워드 복잡성 관련 설정이 되어있는지 점검
  
  

점검목적

• 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 대비가 되어 있는지 확인하기 위함
  
  

보안위협

• 복잡성이 설정 되어있지 않은 패스워드는 사회공학적인 유추가 가능할 수 있으며 암호화된 패스워드 해시 값을 무작위 대입 공격이나 사전 대입 공격 등으로 단시간에 패스워드 크랙이 가능함
  
  

판단기준

판단기준
양호	패스워드 최소 길이 8자 이상, 영문*숫자*특수문자 최소 입력 기준이 설정된 경우
취약	패스워드 최소 길이 8자 이상, 영문*숫자*특수문자 최소 입력 기준이 설정이 안된 경우

조치방법

• 계정과 유사하지 않은 8자 이상의 영문, 숫자, 특수문자의 조합으로 암호설정 및 패스워드 복잡성 옵션 설정

 

OS별 점검 파일 위치

OS별 점검 파일 위치
Solaris	/etc/default/passwd
Linux - RHEL5	/etc/pam.d/system-auth
Linux - RHEL7	/etc/security/pwquality.conf
AIX	/etc/security/user
HP-UX	/etc/default/security

 

부적절한 패스워드 유형

1. 사전에 나오는 단어나 조합
2. 길이가 너무 짧거나 공백인 패스워드
3. 키보드 자판의 나열
   ex) abcd, 1234, qwerty 등
4. 사용자 정보에서 유추 가능한 단어
   ex) 휴대폰번호, 생년월일, 사용자 이니셜
5. 시스템의 기본 패스워드