반응형
https://www.kisa.or.kr/public/laws/laws3.jsp
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥
www.kisa.or.kr
구현 단계 시큐어코딩 가이드 - 보안 기능 - 취약한 비밀번호 허용
가. 개요
- 사용자에게 강한 패스워드 조합 규칙을 요구하지 않으면, 사용자 계정이 취약하게 된다. 안전한 패스 워드를 생성하기 위해서는 「암호이용 안내서」의 패스워드 설정 규칙을 적용해야 한다.
나. 보안대책
- 패스워드 생성시 강한 조건 검증을 수행한다. 비밀번호(패스워드)는 숫자와 영문자, 특수문자 등을 혼합하여 사용하고, 주기적으로 변경하여 사용하도록 해야 한다.
다. 코드예제
JAVA
더보기
가입자가 입력한 패스워드에 대한 복잡도 검증 없이 가입 승인 처리를 수행하고 있다.
사용자 계정을 보호하기 위해 가입 시, 패스워드 복잡도 검증 후 가입 승인처리를 수행한다.
C#
더보기
빈 비밀번호를 허용하는 C# 코드의 예제이다.
빈 비밀번호를 허용하지 않도록 한다.
C
더보기
패스워드에 대한 검증 없이 사용하는 C 코드 예제이다.
패스워드에 대한 적절한 검증이 필요하다.
참고자료
- CWE-521 Weak Password Requirements, MITRE,
http://cwe.mitre.org/data/definitions/521.html - Password Complexity, OWASP
https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls
반응형
'공부 > KISA' 카테고리의 다른 글
| 주석문 안에 포함된 시스템 주요정보 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
|---|---|
| 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
| 하드코드된 암호화 키 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
| 적절하지 않은 난수값 사용 - KISA 소프트웨어 개발 보안 가이드 (1) | 2020.07.21 |
| 충분하지 않은 키 길이 사용 - KISA 소프트웨어 개발 보안 가이드 (0) | 2020.07.21 |
댓글