인증수행 제한 - KISA 소프트웨어 개발 보안 가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

분석∙설계단계 SW 보안강화 - 설계보안항목 정의 및 설계 시 고려 사항 - 인증 수행 제한

설명

• 인증 반복시도 제한 및 인증 실패 등에 대한 인증 제한 기능을 설계해야 한다.

설계항목내용

• 로그인 기능 구현 시, 인증 시도 횟수를 제한하고 초과된 인증시도에 대해 인증제한 정책을 적용해야 한다.
• 실패한 인증시도에 대한 정보를 로깅하여 인증시도 실패가 추적될 수 있게 해야 한다.

---

가. 취약점 개요

• 로그인 시도에 대한 횟수를 체크하지 않으면 로그인 시도 횟수가 초과되었을 때 계정에 대한 보호조치가 설정되어 있지 않은 경우 패스워드 무작위 대입 공격이 시도될 수 있다.

나. 설계 시 고려사항

1. 로그인 기능 구현 시, 인증 시도 횟수를 제한하고 초과된 인증 시도에 대해 인증 제한 정책을 적용해야 한다.

• 로그인 시도 횟수를 3~5번 이내로 제한하고 이를 초과하여 로그인에 실패하는 경우 추가 입력값을 요구하거나 계정 잠금을 수행하도록 다음과 같은 메커니즘으로 설계한다.
• 사용자 ID별, 세션 ID별 로그인 횟수를 추적하기 위해 사용자 DB 테이블에 로그인 실패 횟수 /계정 잠금 여부 /마지막으로 성공·실패한 로그인 시간 정보, 로그아웃한 시간 정보들을 저장할 수 있도록 설계하여 일정 횟수 이상 연속적으로 로그인 실패 시 사용자 ID와 패스워드 외의 추가적인 확인 정보를 저장하도록 한다.
• 계정 정보 입력 시 자동 입력 방지 문자와 같은 장치를 마련하도록 설계한다.
• 보안문자 이미지 생성 및 입력값과 보안문자를 비교하기 위해 다음과 같은 서비스나 솔루션의 사용을 고려할 수 있다.

2. 실패한 인증시도에 대한 정보를 로깅하여 인증시도 실패가 추적될 수 있게 해야 한다.

• 반복된 로그인 실패에 대한 로깅 정책을 설정하고 로그 기록을 통해 허용되지 않은 로그인 시도를 분석할 수 있도록 설계한다.

---

참고자료

• CWE‐307, Improper Restriction of Excessive Authentication Attempts, MITRE,
  http://cwe.mitre.org/data/definitions/307.html
• 2013 OWASP Top 10 ‐ A2 Broken Authentication and Session Management, OWASP,
  https://www.owasp.org/index.php/Top_10_2013
• 2016 OWASP Application Security Verification Standard, OWASP, Authentication Verification Requirements,
  http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project 
• Authentication Cheat Sheet Prevent Brute Force Attacks, OWASP,
  http://www.owasp.org/index.php/Authentication_Cheat_Sheet#Prevent_BruteForce_Attacks
• WASC Insufficient Anti-automation, WASC,
  http://projects.webappsec.org/w/page/13246938/Insufficient%20Anti-automation