KENSEI IT BLOG

무차별 대입 공격 (bruteforce) 무작위 대입 시도 가정 1. 무작위대입 공격자는 프록시를 이용하여 여러 아이피에서 무작위 대입 시도 (아이피만으로 차단 무리) 2. 무작위 대입툴은 대입시도 주기를 설정할수 있으므로 방화벽 및 로그인인증 과정에서 몇분동안 몇개의 시도에 대한 차단 하는것은 무의미 할 수 있음 : 현재 많은 사이트에서는 아이디에 대해서 몇차례 시도시 보안문자 입력이며 계속 시도시 추가인증 (휴대폰, 아이핀, 개인정보) 혹은 계정을 잠겨버리는 정책을 많이 사용함 계정잠금 정책 계정하나에 대해 잘못된 패스워드 시도가 있는 경우 계정 잠금 악의적인 목적을 가진 사람이 하나 혹은 여러 계정을 잠겨버릴수 있음 (서비스 거부 DOS 공격 가능성) 관리자가 계정 잠금을 해제하더라도 또 잠글수 있..