SRV-075 유추 가능한 계정 비밀번호 존재

SRV-075 유추 가능한 계정 비밀번호 존재

【 상세설명 】
패스워드 설정 시 문자/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수있도록 암호 복잡성을 설정하여야 하며 영/숫자만으로 이루어진 암호는 현재 공개된 패스워드 크랙 유틸리티 및 무작위 공격에 의해 쉽게 유추할 수 될 수 있으므로 회사에서 정한 비밀번호 관리정책 준수 여부를 점검

【 판단기준 】
- 양호 : 시스템의 모든 계정이 비밀번호 복잡도를 만족하는 경우
- 취약 : 비밀번호가 미설정되었거나, 복잡도를 만족하지 않는 계정이 존재하는 경우

※ 복잡도: 영문 숫자 특수문자 2개 조합 시 10자리 이상, 3개 조합 시 8자리 이상 (계정명, 기관명이 포함된 경우 취약)

【 판단방법 】
  1. 비밀번호 없이 로그인 가능한 계정 있는지 확인
  2. 비밀번호 크랙을 시도하여 계정 비밀번호가 복잡도를 만족하고 유추 가능하지 않은 비밀번호로 설정되어 있는지 확인

  ■ Linux, SOLARIS
      # cat /etc/shadow
          root:$y$j9T$4zO64acm3OWa6CShxlbrU/$CpAa9TcD7GfsQrDJx09Wy.EjRRmjtTILAzo3fT1JRs9:19538:0:99999:7:::
          daemon:*:19538:0:99999:7:::
          …

  ■ AIX
      # cat /etc/security/passwd | egrep ":|password"
          root:
                  password = {ssha512}06$e/0llMw8/K4wsJXP$sIbiR220kAvHmQfTj0s04LgZcWwK0UOWuyaSSKJSuBTGKh8oLwX2GbeC7vvkCiHE/pVmqI4zJwD6n2fllq8L..
          daemon:
                  password = *
          ...

  ■ HP-UX
  ("Shadow Password" Bundle 설치한 일반 Mode 인 경우)
      # cat /etc/shadow
          root:$y$j9T$4zO64acm3OWa6CShxlbrU/$CpAa9TcD7GfsQrDJx09Wy.EjRRmjtTILAzo3fT1JRs9:19538:0:99999:7:::
          daemon:*:19538:0:99999:7:::
          bin:*:19538:0:99999:7:::
          ...

  (Trusted Mode 인 경우)
      # logins -p
          pwdless      204     staff           1 
          nopwd        208     staff           1    

※ "/etc/shadow" encrypted_password 값
    - encrypted_password 구성 : $id$salt$hashed
    - * : 로그인 불가능(별도 인증 과정으로 로그인되는 계정)
    - !! : 패스워드 잠김 또는 미설정(일반 계정인 경우만 패스워드 설정 후 로그인 가능)

【 조치방법 】
  1. 복잡도를 만족하지 않거나 유추 가능한 계정 비밀번호 변경

2024-01-13 : (조치과정 삭제)