취약한 비밀번호 정책 - 최소 사용 기간

LOW

설명

비밀번호 기록을 적용하는 것은 취약하거나 이전에 유출된 비밀번호가 다시 사용되지 않도록 하기 위한 일반적인 보호 장치입니다. 그러나 비밀번호 최소 사용 기간이 너무 짧게 설정되어 있으면, 사용자가 임시 비밀번호를 빠르게 여러 번 변경하여 이전 비밀번호를 다시 사용하면서 이 보호 장치를 우회할 수 있으므로, 계정과 중요한 데이터에 무단으로 액세스할 위험이 커집니다.

Tenable Identity Exposure에서는 비밀번호 정책을 다음과 같이 분석합니다.

  • 설정이 사용된 경우에만 설정 값을 평가합니다.
  • 기본 정책의 경우, 설정이 사용 중지되었거나 보안에 취약한 값을 가진 경우 설정에 구성 오류가 있는 것으로 보고합니다. 이것은 기본값 정책이 대체 정책으로 작동하고 최후의 보안 장치로 모든 관련 설정을 안전한 값으로 정의해야 하기 때문입니다.

Tenable Identity Exposure에서는 해당 IOE 매개 변수도 사용 중지된 경우에만 사용 중지된 비밀번호 정책을 분석합니다.

솔루션

보고된 비밀번호 정책에서 비밀번호 최소 사용 기간을 더 높은 값으로 설정해야 합니다.

Okta에서는 일반적으로 비밀번호 최소 사용 기간으로 1시간(60분)을 권장하며 이 위험 노출 지표의 기본 설정이기도 합니다. Tenable에서는 조직의 위험 허용 범위, 관련 산업 표준, 해당 부문과 지역별 규제 요구 사항에 정렬되는 값을 선택하도록 권장합니다. 사용자가 비밀번호를 다시 변경하려면 최소 기간만큼 기다려야 하므로, 최종 사용자 경험에 미치는 영향에 유의해야 합니다.

그런 다음, IOE 매개 변수에서 최적의 값을 구성합니다.

보고된 비밀번호 정책을 바르게 구성하는 방법에 관한 안내는 Okta의 공식 설명서를 참조하십시오.

지표 세부 정보

이름: 취약한 비밀번호 정책 - 최소 사용 기간

코드명: WEAK-PASSWORD-POLICY-MINIMUM-AGE-OKTA

심각도: Low

유형: Okta Indicator of Exposure

MITRE ATT&CK 정보: