Microsoft Entra 암호 보호를 사용하여 적절하지 않은 암호 제거
많은 보안 지침에서는 동일한 암호를 여러 위치에 사용하지 않고, 암호를 복잡하게 지정하고, Password123 같은 단순한 암호를 사용하지 않도록 권장하고 있습니다. 사용자에게 암호 선택 방법에 대한 지침을 제공할 수 있지만 여전히 취약하거나 안전하지 않은 암호를 사용하는 경우가 많습니다. Microsoft Entra 암호 보호는 알려진 취약한 암호와 그 변형을 검색하고 차단하며, 조직과 관련된 기타 취약한 용어도 차단할 수 있습니다.
Microsoft Entra 암호 보호를 사용하면 Microsoft Entra 테넌트의 모든 사용자에게 기본 전역 금지 암호 목록이 자동으로 적용됩니다. 사용자 고유 비즈니스 및 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록에 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 금지 암호 목록이 선택됩니다.
Microsoft Entra 암호 보호에서 적용하는 강력한 암호에만 의존하는 것이 아니라 Microsoft Entra 다단계 인증과 같은 다른 기능을 사용해야 합니다. 로그인 이벤트에 여러 보안 계층을 사용하는 방법에 대한 자세한 내용은 Your Pa$$word doesn't matter를 참조하세요.
Important
이 개념 문서에서는 Microsoft Entra 암호 보호가 작동하는 방식을 관리자에게 설명합니다. 셀프 서비스 암호 재설정에 이미 등록된 최종 사용자가 계정으로 다시 이동해야 하는 경우 https://aka.ms/sspr로 이동합니다.
IT 팀이 고유의 암호를 다시 설정하는 기능을 사용하도록 설정하지 않은 경우 기술 지원팀에 문의하세요.
전역 금지 암호 목록
Microsoft Entra ID 보호 팀은 일반적으로 사용되는 취약한 암호 또는 손상된 암호를 찾는Microsoft Entra 보안 원격 분석 데이터를 지속적으로 분석합니다. 특히 이 분석은 취약한 암호의 기반으로 사용되는 기본 용어를 검색합니다. 취약한 용어가 발견되는 경우 '전역 금지 암호 목록'에 추가됩니다. 전역 금지 암호 목록의 내용은 외부 데이터 원본을 기반으로 하는 것이 아니라 Microsoft Entra 보안 원격 분석 및 분석의 결과를 기반으로 합니다.
Microsoft Entra 테넌트의 사용자가 암호를 변경하거나 재설정하는 경우 현재 버전의 전역 금지 암호 목록이 암호의 강도를 검사하는 데 사용됩니다. 이 유효성 검사를 수행하면 모든 Microsoft Entra 고객이 더 강력한 암호를 생성하게 됩니다.
전역 금지 암호 목록은 Microsoft Entra 테넌트의 모든 사용자에게 자동으로 적용됩니다. 설정 또는 구성할 항목이 없으며 사용하지 않도록 설정할 수 없습니다. 사용자가 Microsoft Entra ID를 통해 자신의 암호를 변경하거나 재설정할 때 이 전역 금지 암호 목록이 사용자에게 적용됩니다.
참고 항목
사이버 범죄자도 비슷한 전략을 공격에 사용하여 일반적인 취약한 암호 및 변형을 식별합니다. 보안을 개선하기 위해 Microsoft는 전역 금지 암호 목록의 내용을 게시하지 않습니다.
사용자 지정 금지 암호 목록
일부 조직에서는 보안을 개선하고 전역 금지 암호 목록에 사용자 지정 항목을 추가하기를 원합니다. 사용자 고유의 항목을 추가하려면 '사용자 지정 금지 암호 목록'을 사용할 수 있습니다. 사용자 지정 금지 암호 목록에 추가되는 용어는 다음과 같이 조직에 고유한 용어에 중점을 두어야 합니다.
- 브랜드 이름
- 제품 이름
- 회사 본부와 같은 위치
- 회사 특정 내부 용어
- 회사 고유의 의미가 있는 약어
사용자 지정 금지 암호 목록에 추가되는 용어는 전역 차단 암호 목록의 용어와 결합됩니다. 그런 다음 이들 금지 암호 목록이 결합된 집합에 대해 암호 변경 또는 재설정 이벤트가 검사됩니다.
참고 항목
사용자 지정 금지 암호 목록은 최대 1,000개의 용어로 제한됩니다. 대규모의 암호 목록을 차단하도록 설계되지는 않았습니다.
사용자 지정 금지 암호 목록의 이점을 완전히 활용하려면 먼저 사용자 지정 금지 목록에 용어를 추가하기 전에 암호 평가 방법을 이해해야 합니다. 이 접근 방법을 사용하면 많은 수의 취약한 암호 및 변형을 효율적으로 검색하고 차단할 수 있습니다.
Contoso라는 고객을 생각해보겠습니다. 이 회사는 런던을 기반으로 하며 Widget이라는 제품을 만듭니다. 이 예제 고객의 경우 용어의 특정 변형을 차단하려고 시도하는 것은 소모적이고 안전하지 않습니다.
- "Contoso!1"
- "Contoso@London"
- "ContosoWidget"
- "!Contoso"
- "LondonHQ"
대신, 다음 예와 같이 주요 기준 용어를 차단하는 것이 훨씬 더 효율적이고 안전합니다.
- "Contoso"
- "London"
- "Widget"
그런 다음 암호 유효성 검사 알고리즘이 취약한 변형 및 조합을 자동으로 차단합니다.
사용자 지정 금지 암호 목록을 사용하기 시작하려면 다음 자습서를 완료하세요.
암호 스프레이 공격 및 타사 손상된 암호 목록
Microsoft Entra 암호 보호는 암호 스프레이 공격을 방어하는 데 도움이 됩니다. 대부분의 암호 스프레이 공격은 특정 개별 계정에 대한 공격을 여러 번 시도하지 않습니다. 이러한 동작은 계정 잠금 또는 기타 수단을 통해 탐지 가능성을 높입니다.
대신, 대부분의 암호 스프레이 공격은 엔터프라이즈의 각 계정에 대해 알려진 가장 취약한 암호 중 일부만 제출합니다. 이 기술을 통해 공격자는 손상되기 쉬운 계정을 빠르게 검색하고 잠재적인 검색 임계값을 피할 수 있습니다.
Microsoft Entra 암호 보호는 암호 스프레이 공격에 사용될 가능성이 높은 알려진 모든 취약한 암호를 효율적으로 차단합니다. 이 보호는 전역 금지 암호 목록을 작성하기 위한 Microsoft Entra ID의 실제 보안 원격 분석 데이터를 기반으로 합니다.
이전의 공개적으로 알려진 보안 위반에서 손상된 수백만 개의 암호를 열거하는 타사 웹 사이트도 있습니다. 타사 암호 유효성 검사 제품은 이러한 수백만 개의 암호에 대한 무차별 대입 비교를 기반으로 하는 것이 일반적입니다. 그러나 이러한 기술은 암호 스프레이 공격자가 사용하는 일반적인 전략을 볼 때 전체 암호 강도를 개선하는 최선의 방법이 아닙니다.
참고 항목
전역 금지 암호 목록은 손상된 암호 목록을 비롯한 타사 데이터 원본을 기반으로 하지 않습니다.
일부 타사 대량 목록과 비교할 때 전역 금지 목록은 규모가 작지만 실제 암호 스프레이 공격에 대한 실제 보안 원격 분석을 기반으로 작성된 것입니다. 이 접근 방식을 사용하면 전체 보안 및 효율성이 향상되고, 암호 유효성 검사 알고리즘에서도 스마트 유사 일치 기술을 사용합니다. 그 결과, Microsoft Entra 암호 보호는 가장 많이 사용되는 취약한 수백만 개의 암호를 검색하여 기업에서 사용하지 못하게 차단합니다.
온-프레미스 하이브리드 시나리오
많은 조직에서 온-프레미스 AD DS(Active Directory Domain Services) 환경을 포함하는 하이브리드 ID 모델을 사용합니다. Microsoft Entra 암호 보호의 보안 이점을 AD DS 환경으로 확장하기 위해 온-프레미스 서버에 구성 요소를 설치할 수 있습니다. 이러한 에이전트는 Microsoft Entra ID와 동일한 암호 정책을 준수하기 위해 온-프레미스 AD DS 환경에서 암호 변경 이벤트를 요구합니다.
자세한 내용은 AD DS에 대한 Microsoft Entra 암호 보호 적용을 참조하세요.
암호 평가 방법
사용자가 암호를 변경하거나 재설정하면 새 암호를 전역 금지 암호 목록과 사용자 지정 금지 암호 목록의 용어가 결합된 목록과 대조해 유효성을 검사하는 방식으로 암호의 보안 수준 및 복잡성을 확인합니다.
사용자 암호에 금지된 암호가 포함되어 있더라도 전체 암호의 보안 수준이 충분히 높으면 해당 암호를 사용할 수 있습니다. 새로 구성된 암호는 다음 단계를 거쳐 암호의 전반적인 보안 수준을 평가함으로써 암호를 수락할지 아니면 거부할지가 결정됩니다.
참고 항목
Microsoft Entra ID의 암호 보호는 온-프레미스 사용자에 대한 암호 보호와 상관 관계가 없습니다. 암호 보호의 유효성 검사는 두 서비스의 사용자에 대해 일관되지 않습니다. 처음에 암호를 설정하거나 SSPR을 완료할 때 테넌트의 사용자가 해당 서비스에 필요한 암호 매개 변수를 충족하는지 확인합니다.
1단계: 정규화
먼저 새 암호에 대해 정규화 프로세스가 진행됩니다. 이 기술을 통해 소수의 금지된 암호 세트를 훨씬 대규모의 잠재적으로 취약한 암호 세트에 매핑할 수 있습니다.
정규화는 두 부분으로 구성됩니다.
먼저 모든 대문자가 소문자로 변경됩니다.
그런 다음 아래 예제와 같이 일반 문자 대체가 수행됩니다.
원래 문자 대체되는 문자 0 o 1 l $ s @ a
다음 예제를 참조하세요.
- 암호 'blank'는 금지됩니다.
- 사용자가 암호를 'Bl@nK'로 변경하려고 합니다.
- 'Bl@nK'는 금지되지 않지만 정규화 프로세스는 이 암호를 'blank'로 변환합니다.
- 이 암호는 거부됩니다.
2단계: 암호가 금지된 항목으로 간주되는지 확인
그런 다음 암호를 다른 일치 동작에 대해 검사하고 점수를 생성합니다. 이 최종 점수는 암호 변경 요청이 수락 또는 거부되는지 여부를 결정합니다.
유사 일치 동작
유사 일치는 정규화된 암호가 전역 또는 사용자 지정 금지된 암호 목록에 있는 암호를 포함하는지를 확인하는 데 사용됩니다. 일치 프로세스는 편집 거리 1 비교를 기준으로 합니다.
다음 예제를 참조하세요.
암호 'abcdef'는 금지됩니다.
사용자가 암호를 다음 중 하나로 변경하려고 합니다.
- 'abcdeg' - 마지막 문자가 'f'에서 'g'로 변경되었습니다.
- 'abcdefg' - 끝에 'g'가 추가되었습니다.
- 'abcde' - 끝에서 'f'가 삭제되었습니다.
위의 각 암호는 금지된 암호인 'abcdef'와 구체적으로 일치하지는 않습니다.
그러나 각 예는 금지된 용어 'abcdef'와 편집 거리 1 이내에 있으므로 모두 'abcdef'와 일치하는 암호로 간주됩니다.
이러한 암호는 거부됩니다.
부분 문자열 일치(특정 용어)
부분 문자열 일치는 정규화된 암호에서 사용자 이름/성 및 테넌트 이름을 확인하는 데 사용됩니다. 온-프레미스 하이브리드 시나리오의 AD DS 도메인 컨트롤러에서 암호 유효성을 검사하는 경우 테넌트 이름 일치가 수행되지 않습니다.
Important
부분 문자열 일치는 4자 이상으로 된 이름 및 기타 용어에만 적용됩니다.
다음 예제를 참조하세요.
- Poll이라는 사용자는 자신의 암호를 'p0LL23fb'로 재설정하려고 합니다.
- 정규화 후에 이 암호는 'poll23fb'가 됩니다.
- 그러므로 부분 문자열 일치에서는 해당 암호에 사용자의 이름인 'Poll'이 포함되어 있음이 확인됩니다.
- 'poll23fb'는 금지 암호 목록에 구체적으로 포함되어 있지는 않지만 부분 문자열 확인에서 암호의 'Poll'이 확인되었으므로
- 이 암호는 거부됩니다.
점수 계산
다음 단계에서는 사용자의 정규화된 새 암호에서 금지된 암호의 모든 인스턴스를 확인합니다. 점수는 다음 기준에 따라 할당됩니다.
- 사용자의 암호에서 확인되는 금지된 암호가 각각 1점으로 계산됩니다.
- 금지된 암호의 일부가 아닌 나머지 문자에 1점이 할당됩니다.
- 점수가 5점 이상인 암호만 수락됩니다.
다음 두 예제 시나리오에서는 Contoso가 Microsoft Entra 암호 보호를 사용 중이며 사용자 지정 금지 암호 목록에 'contoso'가 포함되어 있다고 가정합니다. 그리고 전역 목록에는 'blank'가 포함되어 있다고 가정합니다.
다음 예제 시나리오에서 사용자는 암호를 'C0ntos0Blank12'로 변경합니다.
정규화 후에 이 암호는 'contosoblank12'가 됩니다.
일치 프로세스에서는 이 암호에 금지된 암호 2개('contoso', 'blank')가 포함되어 있음이 확인됩니다.
따라서 이 암호의 점수는 다음과 같습니다.
[contoso] + [blank] + [1] + [2] = 4점
이 암호는 5점에 미달하므로 거부됩니다.
암호의 복잡성을 추가하여 필요한 점수를 충족하는 방법을 보여 주는 약간 다른 예제를 살펴보겠습니다. 다음 예 시나리오에서 사용자는 암호를 'ContoS0Bl@nkf9!'로 변경합니다.
정규화 후에 이 암호는 'contosoblankf9!'가 됩니다.
일치 프로세스에서는 이 암호에 금지된 암호 2개('contoso', 'blank')가 포함되어 있음이 확인됩니다.
따라서 이 암호의 점수는 다음과 같습니다.
[contoso] + [blank] + [f] + [9] + [!] = 5점
이 암호는 5점 이상이므로 허용됩니다.
Important
금지 암호 알고리즘과 전역 금지 암호 목록은 지속적인 보안 분석 및 연구를 토대로 Azure에서 언제든지 변경할 수 있으며 실제로 변경됩니다.
하이브리드 시나리오의 온-프레미스 DC 에이전트 서비스의 경우에는 DC 에이전트 소프트웨어를 업그레이드해야 업데이트된 알고리즘이 적용됩니다.
사용자에게 표시되는 내용
사용자가 암호를 재설정하거나 금지된 암호로 변경하려고 하면 다음 오류 메시지 중 하나가 표시됩니다.
"암호에 추측하기 쉽게 만드는 단어, 구 또는 패턴이 있습니다. 다른 암호를 사용하여 다시 시도하세요."
"저희는 그 암호를 전에도 너무 많이 봤습니다. 추측하기 어려운 것을 선택합니다."
"다른 사람이 알아맞히기 어려운 암호를 선택하세요."
라이선스 요구 사항
사용자 | 전역 금지 암호 목록을 사용하여 Microsoft Entra 암호 보호 | 사용자 지정 금지 암호 목록을 사용하여 Microsoft Entra 암호 보호 |
---|---|---|
클라우드 전용 사용자 | Microsoft Entra ID Free | Microsoft 엔트라 ID P1 또는 P2 |
온-프레미스 AD DS에서 동기화된 사용자 | Microsoft 엔트라 ID P1 또는 P2 | Microsoft 엔트라 ID P1 또는 P2 |
참고 항목
Microsoft Entra ID에 동기화되지 않은 온-프레미스 AD DS 사용자도 동기화된 사용자에 대한 기존 라이선싱에 따라 Microsoft Entra 암호 보호의 이점을 누릴 수 있습니다.
라이선스에 대한 자세한 내용은 Microsoft Entra 가격 책정 사이트를 참조하세요.
다음 단계
사용자 지정 금지 암호 목록을 사용하기 시작하려면 다음 자습서를 완료하세요.
그런 다음 온-프레미스 Microsoft Entra 암호 보호를 사용하도록 설정할 수도 있습니다.