06 패스워드 관리

패스워드는 가장 기본적인 인증 방법으로, 적절한 강도를 가진 상태로 설정하고 패스워드 정책에 따라 적절히 보호해야 한다. 

 

참고자료

패스워드 선택 및 이용 안내서

http://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=32

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

 

077 안전한 패스워드

안전한 패스워드란, 제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 사용자의 패스워드를 알아낼 수 없거나 알아낸다 하더라도 많은 시간이 요구되는 패스워드를 말합니다.

• 세가지 종류 이상의 문자 구성으로 8자리 이상의 길이로 구성된 문자열
• 두가지 종류 이상의 문자 구성으로 10자리 이상의 길이로 구성된 문자열

※ 문자 종류는 알파벳 대문자, 소문자, 특수문자, 숫자의 4가지 임

 

 

076 부적절한 패스워드 

• 7자리 이하 또는 두가지 종류 이하의 문자 구성으로 8자리 이하 패스워드
• 특정 패턴을 갖는 패스워드
• 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 패스워드
• 사용자 ID를 이용한 패스워드
• 한글, 영어 등을 포함한 사전적 단어로 구성된 패스워드
• 특정 인물의 이름이나 널리 알려진 단어를 포함하는 패스워드
• 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 구성의 패스워드
• 시스템에서 초기에 설정되어 있거나 예제로 제시되고 있는 패스워드
• 한글의 발음을 영문으로, 영문단어의 발음을 한글로 변형한 형태의 패스워드

 

안전한 패스워드 생성 팁

 

패스워드 보안 지침

 

077 패스워드 정책

• 패스워드 설정 정책: 패스워드의 길이와 복잡도를 정해두는 것
• 패스워드 변경 정책: 패스워드 변경 주기와 이전 패스워드 재사용을 제한하는 것
• 잘못된 패스워드 입력 시 계정 잠금: 인증 시도 회수를 제한하는 것

 

Windows 계정 암호 정책

• 시작 > 실행 > 로컬 보안 정책(secpol.msc) > 보안 설정 > 계정 정책 > 암호 정책
• 암호는 복잡성을 만족해야 함 : 사용
• 최근 암호 기억 : 12개 암호 기억됨
• 최대 암호 사용 기간 : 60일
• 최소 암호 길이 : 8문자
• 최소 암호 사용 기간 : 1일
• 해독 가능한 암호화를 사용하여 암호 저장 : 사용 안 함

 

John the Ripper를 이용한 패스워드 크래킹

https://www.openwall.com/john/

John the Ripper password cracker

 

John the Ripper 다운로드 및 설치

root@ubuntu-VirtualBox:~# wget https://www.openwall.com/john/j/john-1.8.0.tar.gz
root@ubuntu-VirtualBox:~# tar xvf john-1.8.0.tar.gz
root@ubuntu-VirtualBox:~# cd john-1.8.0/src/
root@ubuntu-VirtualBox:~/john-1.8.0/src# make clean linux-x86-sse2

※ 오류가 발생하는 경우 make, gcc 등을 설치

 

테스트 계정 생성

root@ubuntu-VirtualBox:~/john-1.8.0/src# adduser user1 
    :
새 UNIX 암호 입력: user1
새 UNIX 암호 재입력: user1  

root@ubuntu-VirtualBox:~/john-1.8.0/src# adduser user2 
    :
새 UNIX 암호 입력: password
새 UNIX 암호 재입력: password

root@ubuntu-VirtualBox:~/john-1.8.0/src# adduser user3 
새 UNIX 암호 입력: user+1
새 UNIX 암호 재입력: user+1 

 

John the Ripper 실행

root@ubuntu-VirtualBox:~/john-1.8.0/src# cd ../run
root@ubuntu-VirtualBox:~/john-1.8.0/run# ls
ascii.chr   john       lm_ascii.chr  makechr  password.lst  unafs   unshadow
digits.chr  john.conf  mailer        mycrack  relbench      unique

root@ubuntu-VirtualBox:~/john-1.8.0/run# ./unshadow /etc/passwd /etc/shadow > passwords
root@ubuntu-VirtualBox:~/john-1.8.0/run# ./john passwords
Loaded 6 password hashes with 6 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
tester           (tester)
user1            (user1)
root             (root)
password         (user2)
     :
     
root@ubuntu-VirtualBox:~/john-1.8.0/run# ./john --show
Password files required, but none specified
root@ubuntu-VirtualBox:~/john-1.8.0/run# ./john --show passwords
root:root:0:0:root:/root:/bin/bash
tester:tester:1001:1001:,,,:/home/tester:/bin/none
user1:user1:1002:1002:,,,:/home/user1:/bin/bash
user2:password:1003:1003:,,,:/home/user2:/bin/bash
     :