Embedded Files
반복된 인증 시도를 제한하고 인증 실패한 이력을 추적하도록 설계
(보안기능) 반복된 인증시도 제한 기능 부재
만화 사이트의 로그인 취약점으로 인해 평문 비밀번호가 그대로 노출되고 있으며 이로 인해 회원들의 개인정보유출로 이어질 수 있어 신속한 보안조치가 필요
“해당 사이트는 회원가입 시 아이디를 요구하지만 비밀번호 입력 횟수에 제한이 없기 때문에 부르트포스(Brute force) attack(무차별대입공격)으로 불법접근이 가능할 수 있다”며 “해당사이트에서 아이디로 사용되는 이메일 주소는 블로그나 SNS 등을 이용해 알아낼 수 있기 때문에 손쉽게 계정탈취로 이어질 수 있어 위험한 상황”
보안대책
보안대책
① 로그인 기능 구현 시, 인증시도 횟수를 제한하고 초과된 인증시도에 대해 인증제한 정책 적용
② 실패한 인증시도에 대한 정보를 로깅하여 인증시도 실패가 추적
설계 시 고려사항
설계 시 고려사항
① 로그인 시도횟수를 3~5번 이내로 제한
이를 초과하여 로그인에 실패하는 경우 추가 입력값을 요구
계정 잠금을 수행
설계사항
사용자 DB테이블에 로그인 실패 횟수, 계정잠금 여부, 마지막으로 성공·실패한 로그인 시간정보, 로그아웃한 시간정보 등을 저장
일정횟수 이상 연속적으로 로그인 실패 시 사용자ID와 패스워드 외의 추가적인 정보를 확인
계정정보 입력 시 자동입력 방지문자 장치 마련
관련 서비스와 솔루션
reCAPTCHA(구글)
Bot Detector CAPTCHA Generator
② 반복된 로그인 실패에 대한 로깅 정책을 설정하고 로그 기록으로 허용되지 않은 로그인 시도를 분석할 수 있도록 설계
반복된 인증시도 제한 기능 부재
반복된 인증시도 제한 기능 부재
로그인 시도에 대한 횟수를 검사하지 않으면 로그인 시도 횟수와 상관없이 지속적으로 로그인 시도가 이루어지는 패스워드 무차별 대입 공격이 시도되어 계정정보가 노출
Google Sites
Report abuse