[W-48(상)] 1. 계정관리 > 1.9 패스워드 복잡성 설정

작업 환경

• VMware Workstation Pro (17.6.2 ver)
• Server 
  • Windows Server 2016 : NAT

W-48 (중)	1. 계정관리 > 1.9 패스워드 복잡성 설정
취약점 개요
점검 내용	계정 패스워드 복잡성 정책 설정 여부 점검
점검 목적	패스워드 설정 시 문자/숫자/특수문자를 모두 포함한 강화된 패스워드를 사용하여 패스워드 복잡성을 만족하도록 함
보안 위협	사용자 암호가 패스워드 복잡성을 만족하지 못하는 반복되는 문자, 연속되는 숫자, 계정이름이 포함된 패스워드 등을 사용할 경우 무작위 대입 공격 (Brute Force Attack)이나 패스워드 추측 공격(Password Guessing Attack)에 쉽게 크랙될 수 있음
판단 기준	양호 : “계정 잠금 기간” 및 “계정 잠금 기간 원래대로 설정 기간”이 설정되어 있는 경우 (60분 이상의 값으로 설정하기를 권고함) 취약 : “계정 잠금 기간” 및 “잠금 기간 원래대로 설정 기간”이 설정되지 않은 경우
참고	패스워드 설정 시 영문/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수 있도록 암호 복잡성을 설정하여야 함 영∙숫자만으로 이루어진 암호는 현재 공개된 패스워드 크랙 유틸리티에 의해 쉽게 유추할 수 있으므로 패스워드 조합 및 길이에 따라 최소 암호 길이 및 암호 복잡성을 적절하게 설정하여 패스워드를 알아낼 수 있는 평균 시간을 증가시킬 수 있도록 설정하여야 함 관련 점검 항목 : W-49(중), W-50(중), W-51(중)

 

 

Windows Server 2016

• Step 1)  Win + R 키 → secpol.msc 입력 → 계정 정책 → 암호 정책
• Step 2) "암호는 복잡성을 만족해야 함"을 "사용"으로 설정

 

---

참고

※ 이 정책 설정은 암호를 변경하거나 새로운 암호 생성 시 아래와 같은 일련의 규정을 만족하는지 결정함.

영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3 종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

 

1. 영문 대문자(26개)
2. 영문 소문자(26개)
3. 숫자(10개)
4. 특수문자(32개)