U-03 (상) 1. 계정관리 > 1.3 계정 잠금 임계값 설정 취약점 개요 점검내용 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검 점검목적 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격 을 무력화하기 위함 보안위협 패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인 증 요청에 대해 설정된 패스워드와 일치 할 때까지 지속적으로 응답하여 해 당 계정의 패스워드가 유출 될 수 있음 참고 ※ 사용자 로그인 실패 임계 값: 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차 단할 것인지 결정하는 값 점검대상 및 판단기준 대상 SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우 취약 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우 조치방법 계정 잠금 임계값이 ...
#cat
원문링크 : U-03 (상) 1.03 계정 잠금 임계값 설정
네이버 블로그
티스토리
커뮤니티