[PR/상] 14. 취약한 패스워드 복구

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "취약한 패스워드 복구"에 대해서 설명드리도록 하겠습니다.

패스워드를 찾는 과정에서 간혹 패스워드가 화면에 노출되거나 처음 입력한 이메일이나 혹은 핸드폰 번호가 아니 새로 입력한 번호로 임시 패스워드가 오는 경우가 있는데 이런 것들을 확인하는 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다.

패스워드는 현재 해시하여 저장하기에 패스워드를 확인할 수 없습니다. 그렇기에 패스워드 찾기를 하는 경우에는 임시 패스워드를 보내주게 되어 있는데요 혹은 기존에 인증한 이메일이나 핸드폰으로 패스워드 변경 페이지 URL을 전달합니다.

하지만 간혹 설계되어 기존의 패스워드가 노출되거나 임시 패스워드가 화면에 노출되는 경.....