Empower 에서 유효하지 않은 로그인 시도에 대해 표시되는 메시지가 변경되었습니까? - WKB246248

환경

• Empower

답변

예, Empower 3 Feature Release 5 (FR5)부터 유효하지 않은 사용자 이름 항목과 암호가 잘못된 유효한 사용자 이름에 대해 표시되는 메시지는 동일합니다.

"Authentication failed for user 'XXXXXXX'."(인증에 실패했습니다)라는 메시지가 표시됩니다.

이 변경은 보안상의 이유로 E3FR5 이후에 의도적으로 수행되었습니다. 

사용자 열거 방지 – "user not found", "wrong password" 또는 " account locked"를 구분할 경우 공격자는 이러한 메시지를 사용하여 유효한 사용자 이름을 확인하고 계정 상태를 조사할 수 있습니다.

잠금 프로브 감소 – 세분화된 오류 메시지를 통해 공격자는 남은 시도 횟수 또는 현재 잠겨 있는 계정을 확인할 수 있으므로 표적 공격이 더 쉬워집니다.

업계/OWASP 지침 – OWASP 인증 치트 시트는 인증 및 계정 상태 정보 누출을 방지하기 위해 특히 "Invalid username or password"(잘못된 사용자 이름 또는 암호)와 같은 일반적인 응답을 사용할 것을 권장합니다.

이러한 이유로 Empower의 현재 LDAP 계정에 대한 "사용자 이름 '사용자 이름'에 대한 인증 실패" 대화 상자는 적법한 사용자에게 정보가 덜 제공되기는 하지만 일반적인 보안 모범 사례와 일치합니다.

추가 정보

잘못된 암호로 인해 로그온 시도가 N회 실패하면 LDAP 정책에 따라 감사 기록 해당 사고를 계속해서 "xxxx 사용자에 대한 인증에 실패했습니다"로 보고합니다.