[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부

평가항목ID	WEB-FIN-010, MOB-FIN-010	위험도	5
통제구분	5.8.1 (전자금융) 거래 인증	평가항목	[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부
상세설명	o 전자금융거래 시 사용되는 비밀번호 변경 시 동일 비밀번호 재사용 가능 여부를 점검 * (평가 예시)  - 비밀번호 변경 시 과거에 이용했던 비밀번호의 재사용 여부 점검 등

 

비밀번호 변경 시 이전 비밀번호 재사용 여부

암호를 변경할 때 이전 암호를 재사용하는 것은 일반적으로 권장하지 않습니다. 이렇게 하면 계정에 대한 무단 액세스 위험이 증가하고 민감한 데이터의 보안이 손상될 수 있기 때문입니다.

비밀번호 재사용은 사용자 사이에서 흔히 볼 수 있는 관행이며 공격자가 계정에 더 쉽게 액세스 할 수 있도록 합니다. 공격자는 사용자가 재사용했을 수 있는 암호를 포함하여 많은 계정에서 일반적으로 사용되는 몇 가지 암호를 시도하는 "password spraying" 라는 기술을 사용할 수 있습니다.

암호 재사용을 방지하기 위해 조직은 사용자가 각 계정에 대해 강력하고 고유한 암호를 선택하도록 권장해야 합니다. 이는 사용자가 특정 길이 이상의 암호를 선택하도록 요구하는 암호 정책을 구현하여 달성할 수 있으며 문자 혼합(예: 대소문자, 숫자 및 특수 문자)을 포함하고 쉽게 추측할 수 있는 정보(개인 정보, 일반적인 단어 또는 패턴).

강력한 암호 정책 외에도 조직은 사용자가 복잡한 암호를 안전하게 생성하고 저장하는 데 도움이 되는 암호 관리자 또는 기타 암호 관리 도구를 구현할 수도 있습니다. 이렇게 하면 강력하고 고유한 여러 암호를 기억해야 하는 사용자의 부담을 줄일 수 있습니다.

전반적으로 중요한 데이터의 보안과 무결성을 유지하기 위해 암호 재사용을 방지하고 강력하고 고유한 암호 사용을 권장하는 것이 중요합니다.

 

해결방안

비밀번호 변경 이력을 DB에 저장하여 기준만큼 비밀번호의 재사용이 불가능하도록 제한합니다. (서비스 제공자가 정한 자체 횟수 기준)