다음을 통해 공유


위협 완화 기술

암호를 더 안전하게 보호하는 데 사용할 수 있는 다양한 위협 완화 기술이 있습니다. 이러한 기술은 다음 네 가지 기본 기술 중 하나 이상을 사용하여 구현됩니다.

기술 설명
Cryptoapi CryptoAPI는 대상 엔터티에 암호화 루틴을 적용하는 데 도움이 되는 함수 집합을 제공합니다. CryptoAPI는 해시, 다이제스트, 암호화 및 암호 해독을 제공하여 기본 기능을 멘션 수 있습니다. CryptoAPI에는 다른 기능도 있습니다. 암호화 및 CryptoAPI에 대한 자세한 내용은 Cryptography Essentials를 참조하세요.
액세스 제어 목록 ACL( 액세스 제어 목록 )은 개체에 적용되는 보안 보호 목록입니다. 개체는 파일, 프로세스, 이벤트 또는 보안 설명자가 있는 다른 항목일 수 있습니다. ACL에 대한 자세한 내용은 ACL(Access Control 목록)을 참조하세요.
데이터 보호 API DPAPI(데이터 보호 API)는 중요한 데이터를 암호화하고 암호 해독하는 데 사용하는 네 가지 함수인 CryptProtectData, CryptUnprotectData, CryptProtectMemoryCryptUnprotectMemory를 제공합니다.
저장된 사용자 이름 및 암호 개인 키와 같은 사용자의 암호 및 기타 자격 증명을 더 쉽고 일관되고 안전하게 처리할 수 있는 스토리지 기능입니다. 이 기능에 대한 자세한 내용은 CredUIPromptForCredentials를 참조하세요.

 

이러한 기술은 모든 운영 체제에서 사용할 수 없습니다. 따라서 보안을 개선할 수 있는 범위는 관련된 운영 체제에 따라 달라집니다. 각 운영 체제에서 사용할 수 있는 기술은 다음과 같습니다.

운영 체제 기술
Windows Server 2003 및 Windows XP
  • Cryptoapi
  • 액세스 제어 목록
  • 데이터 보호 API
  • 저장된 사용자 이름 및 암호
Windows 2000

 

다음 위협 완화 기술은 네 가지 기술 중 하나 이상을 사용합니다. 운영 체제에 포함되지 않은 기술을 사용해야 하는 기술은 사용할 수 없습니다.

사용자로부터 암호 가져오기

사용자가 암호를 설정하도록 허용하면 강력한 암호를 강제로 사용합니다. 예를 들어 암호는 8자 이상과 같은 최소 길이여야 합니다. 대문자 및 소문자, 숫자 및 기타 키보드 문자(예: 달러 기호($), 느낌표(!) 또는 보다 큼(>)을 포함하려면 암호도 필요합니다.

암호를 받은 후 최대한 적은 코드를 사용하여 빠르게 사용한 다음 암호의 모든 흔적을 지웁니다. 이렇게 하면 침입자가 암호를 "트래핑"하는 데 사용할 수 있는 시간이 최소화됩니다. 이 기술의 장대한 점은 사용자로부터 암호를 검색해야 하는 빈도입니다. 그러나 가능한 경우 원칙을 사용해야 합니다. 암호를 올바르게 가져오는 방법에 대한 자세한 내용은 사용자에게 자격 증명 요청을 참조하세요.

"내 암호 기억" 사용자 인터페이스 옵션을 제공하지 마세요. 종종 사용자는 이 옵션을 요구합니다. 제공해야 하는 경우 최소한 암호가 안전한 방식으로 저장되는지 확인합니다. 자세한 내용은 이 항목의 뒷부분에 있는 암호 저장 섹션을 참조하세요.

암호 입력 시도를 제한합니다. 특정 횟수의 시도가 성공하지 못한 후 특정 시간 동안 사용자를 잠급니다. 필요에 따라 각 시도에 대한 응답 시간을 최대로 깁니다. 이 기술은 추측 공격을 물리 치기 위한 것입니다.

암호 저장

암호를 일반 텍스트로 저장하지 마세요(암호화되지 않음). 암호를 암호화하면 보안이 크게 향상됩니다. 암호화된 암호를 저장하는 방법에 대한 자세한 내용은 CryptProtectData를 참조하세요. 메모리의 암호를 암호화하는 방법에 대한 자세한 내용은 CryptProtectMemory를 참조하세요. 가능한 한 적은 위치에 암호를 저장합니다. 암호가 저장되는 위치가 많을수록 침입자가 암호를 찾을 가능성이 커집니다. 웹 페이지 또는 웹 기반 파일에 암호를 저장하지 마세요. 웹 페이지 또는 웹 기반 파일에 암호를 저장하면 쉽게 손상될 수 있습니다.

암호를 암호화하고 저장한 후 보안 ACL을 사용하여 파일에 대한 액세스를 제한합니다. 또는 이동식 디바이스에 암호 및 암호화 키를 저장할 수 있습니다. 스마트 카드 같은 이동식 미디어에 암호 및 암호화 키를 저장하면 보다 안전한 시스템을 만들 수 있습니다. 지정된 세션에 대한 암호를 검색한 후 카드 제거하여 침입자가 액세스 권한을 얻을 수 있는 가능성을 제거할 수 있습니다.