패스워드 최소 길이 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

 

---

보안 가이드라인 - UNIX 서버 - 계정관리(선택사항) - 패스워드 최소 길이 설정

취약점 개요

점검 내용

•  시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는지 점검

점검 목적

• 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함

보안 위협

• 패스워드 최소 길이 설정이 적용되어 있지 않은 경우 비인가자의 각종 공격(무작위 대입 공격, 사전 대입 공격 등)에 취약하여 사용자 계정 패스워드 유출 우려가 있음

참고

• 공공기관인 경우 국가정보보안기본지침에 의해 패스워드를 9자리 이상의 길이로 설정해야 함

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우 (공공기관의 경우 9자리 이상)

취약

• 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우 (공공기관의 경우 9자리 미만)

조치방법

• 패스워드 정책 설정 파일을 수정하여 패스워드 최소 길이를 8자 이상으로 설정(공공기관의 경우 9자리 이상으로 설정)

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS

• #cat /etc/default/passwd
  PASSLENGTH=8

LINUX

• #cat /etc/login.defs
  PASS_MIN_LEN 8

AIX

• #cat /etc/login.defs
  minlen=8

HP-UX

• #cat /etc/default/security
  MIN_PASSWORD_LENGTH=8

위에 제시한 설정 파일이 해당 파일에 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

SOLARIS

• Step 1) vi 편집기를 이용하여 "/etc/default/passwd" 파일 열기
  Step 2) 아래와 같이 수정 또는, 신규 삽입
      (수정 전) PASS_MIN_LEN 6
      (수정 후) PASS_MIN_LEN 8 (or 9)

LINUX

• Step 1) vi 편집기를 이용하여 "/etc/login.defs"
  Step 2) 아래와 같이 수정 또는 신규 삽입
      (수정 전) PASS_MIN_LEN 6
      (수정 후) PASS_MIN_LEN 8 (or 9)

AIX

• Step 1) vi 편집기를 이용하여 "/etc/security/user" 파일 열기
  Step 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입
      (수정 전) minlen=4
      (수정 후) minlen=8 (or 9)

HP-UX

• Step 1) vi 편집기를 이용하여 "/etc/default/security" 파일 열기
  Step 2)  아래와 같이 수정 또는 신규 삽입
      (수정 전) MIN_PASSWORD_LENGTH=
      (수정 후) MIN_PASSWORD_LENGTH-8(or 9)