사이버 보안: 약한 문자열 강도란?

정의

약한 문자열 강도는 비밀번호나 인증 정보 등의 문자열이 얼마나 취약한지를 나타내는 척도입니다.

취약점 발생 지점 리스트

• 로그인 페이지

취약점 검증 방법

• 길이, 단순성
• 아이디: admin, administrator, manager, guest, test, scott, tomcat, root, user, operator, anonymous 등
• 비밀번호: Abcd, aaaa, 1234, 1111, test, password, public, blank 패스워드, ID와 동일한 패스워드,password123,qwerty, 123456789 등
• 해커들이 취약한 혹은 자주사용되는 아이디와 비밀번호 리스트를 가지고 해킹을 시도하는 경우가 많으므로, 이를 주의하는것이 필요함.

공격법

공격 시나리오

1. 공격자는 약한 문자열 강도를 가진 아이디와 비밀번호 리스트를 가지고 있습니다.
2. 공격자는 위 리스트를 이용하여 무차별적인 로그인 시도를 합니다.
3. 하나라도 성공하면, 이를 이용해서 개인정보를 탈취하거나 XSS등을 이용해서 또다른 피해자를 만들어 냅니다.

대응방법

1. 길이 및 복잡성 요구사항 설정: 암호 길이와 다양성에 대한 요구사항을 설정하여 강력한 암호 사용을 유도합니다.
2. 패스워드 정책 강화: 사용자에게 안전한 암호를 생성하도록 가이드하고, 암호 변경 주기를 설정합니다.
3. 이중 인증 요구: 이메일, SMS, 앱을 통한 이중 인증을 사용하여 추가적인 보안을 제공합니다.
4. 계정 잠금 정책: 일정 시간 동안 잘못된 로그인 시도로 인한 계정 잠금 정책을 설정합니다.
5. 교육과 인식 제고: 사용자에게 강력한 암호 사용 및 보안 교육을 제공합니다.