[U-46 (중)] 1. 계정관리 > 1.7 패스워드 최소 길이 설정

 

 

 

점검내용

 

시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검

 

 

점검목적

 

패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스 워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함

 

 

보안위협

 

패스워드 문자열이 짧은 경우 유추가 가능 할 수 있으며 암호화된 패스워드 해시값을 무작위 대입공격, 사전대입 공격 등으로 단시간에 패스워드 크렉이 가능함

 

 

참고

 

※ 패스워드 최소길이를 8자리 이상으로 설정하여도 특수문자, 대소문자, 숫자를 혼합하여 사용하여함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

■ 판단기준

• 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우
• 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우

■  조치방법 : 패스워드 정책 설정파일을 수정하여 패스워드 최소 길이를 8자 이상으로 설정

 

 

점검 및 조치 사례

 

OS별 점검 파일 위치 및 점검 방법
SOLARIS	#cat /etc/default/passwd PASSLENGTH=8
LINUX	#cat /etc/login.defs PASS_MIN_LEN 8
AIX	#cat /etc/security/user minlen=8
HP-UX	#cat /etc/default/security MIN_PASSWORD_LENGTH=8
위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

 

■ SOLARIS

• Step 1) vi 편집기를 이용하여 “/etc/default/passwd” 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입
  • (수정 전) PASSLENGTH=6
  • (수정 후) PASSLENGTH=8( 8이상 권장)
•  

■ LINUX

• Step 1) vi 편집기를 이용하여 “/etc/login.defs” 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입
  • (수정 전) PASS_MIN_LEN 6
  • (수정 후) PASS_MIN_LEN 8 ( 8이상 권장)

 

■ AIX

• Step 1.) vi 편집기를 이용하여 “/etc/security/user” 파일 열기
• Step 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입
  • (수정 전) minlen=4
  • (수정 후) minlen=8 ( 8이상 권장)

 

■ HP-UX

• Step 1) vi 편집기를 이용하여 “/etc/default/security” 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입
  • (수정 전) MIN_PASSWORD_LENGTH=
  • (수정 후) MIN_PASSWORD_LENGTH=8 ( 8이상 권장)

 

 

조치 시 영향

 

• 일반적인 경우 영향 없음

 

 

---

 

 

실습

 

• vi 편집기를 이용하여 “/etc/login.defs” 파일열기
  • 패스워드의 최소 길이 설정이 되어있지 않음 => 취약

 

• 아래와 같이 수정 또는 신규 삽입
  • (수정 전) PASS_MIN_LEN 6 --> (수정 후) PASS_MIN_LEN 8

 

 

진단결과

 

취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우