암호 보호 및 관리 기능 설명

  • 4분

암호 보호는 사용자가 취약한 암호를 설정할 위험을 줄여주는 Microsoft Entra ID의 기능입니다. Microsoft Entra 암호 보호 기능은 알려진 취약한 암호와 해당 변형을 감지하고 차단하며 조직과 관련된 기타 취약한 조건도 차단할 수 있습니다.

Microsoft Entra 암호 보호를 사용하면 Microsoft Entra 테넌트의 모든 사용자에게 기본 전역 금지 암호 목록이 자동으로 적용됩니다. 사용자 고유 비즈니스 및 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록에 항목을 정의할 수 있습니다. 암호를 변경하거나 재설정하는 경우 강력한 암호 사용을 적용하기 위해 이 목록이 선택됩니다.

Microsoft Entra 암호 보호에서 적용하는 강력한 암호에만 의존하는 것이 아니라 다단계 인증과 같은 추가 기능도 사용해야 합니다.

전역 금지 암호 목록

취약한 것으로 알려진 암호가 포함된 전역 금지 암호 목록은 Microsoft에서 자동으로 업데이트하고 적용합니다. 이 목록은 Microsoft Entra ID 보호 팀에서 유지 관리하며, 이 팀은 보안 원격 분석 데이터를 분석하여 보안이 약하거나 손상된 암호를 찾습니다. 차단될 수 있는 암호의 예는 P@$$w0rd 또는 Passw0rd1과 모든 변형입니다.

변형은 텍스트 대소문자 바꾸기 및 문자를 숫자로 바꾸는 알고리즘을 사용하여 생성합니다(예: "1"에서 "l"로 변형). Password1의 변형은 Passw0rd1, Pass0rd1 등이 포함될 수 있습니다. 이러한 암호들은 확인 후 전역 금지 암호 목록에 추가됩니다. 전역 금지 암호 목록은 Microsoft Entra 테넌트의 모든 사용자에게 자동으로 적용되며 비활성화할 수 없습니다.

Microsoft Entra 사용자가 암호를 이러한 취약한 암호 중 하나로 설정하려고 하면 더 안전한 암호를 선택하라는 알림을 받습니다. 전역 금지 목록은 실제 암호 스프레이 공격에서 비롯됩니다. 이 접근 방식을 사용하면 전체 보안 및 효율성이 향상되고, 암호 유효성 검사 알고리즘에서도 패턴과 거의 일치하는 문자열을 찾는 데 사용되는 스마트 유사 일치 기술을 사용합니다. Microsoft Entra 암호 보호는 가장 많이 사용되는 취약한 수백만 개의 암호를 감지하여 기업에서 사용하지 못하게 차단합니다.

사용자 지정 금지 암호 목록

관리자는 특정 비즈니스 보안 요구 사항을 지원하기 위해 사용자 지정 금지 암호 목록을 만들 수도 있습니다. 사용자 지정 금지 암호 목록은 조직 이름 또는 위치와 같은 암호를 금지합니다. 사용자 지정 금지 암호 목록에 추가된 암호는 다음과 같은 조직별 용어에 중점을 두어야 합니다.

  • 브랜드 이름
  • 제품 이름
  • 회사 본부와 같은 위치
  • 회사 특정 내부 용어
  • 회사 고유의 의미가 있는 약어

사용자 지정 금지 암호 목록은 전역 금지 암호 목록과 결합되어 모든 암호의 변형을 차단합니다.

금지된 암호 목록은 Microsoft Entra ID P1 또는 P2 라이선스의 기능입니다.

사용자 지정 금지 암호 목록을 설정하기 위한 구성 화면을 보여주는 스크린샷.

암호 스프레이 방지

Microsoft Entra 암호 보호는 암호 스프레이 공격을 방어하는 데 도움이 됩니다. 대부분의 암호 스프레이 공격은 기업의 각 계정에 대해 알려진 가장 취약한 암호 중 일부만을 제출합니다. 이 기술을 통해 공격자는 손상되기 쉬운 계정을 빠르게 검색하고 잠재적인 검색 임계값을 피할 수 있습니다.

Microsoft Entra 암호 보호는 암호 스프레이 공격에 사용될 가능성이 높은 알려진 모든 취약한 암호를 효율적으로 차단합니다. 이 보호는 전역 금지 암호 목록을 작성하는 데 사용되는 Microsoft Entra ID의 실제 보안 원격 분석 데이터를 기반으로 합니다.

하이브리드 보안

하이브리드 보안을 위해 관리자는 Microsoft Entra 암호 보호를 온-프레미스 Active Directory 환경에 통합할 수 있습니다. 온-프레미스 환경에 설치된 구성 요소는 Microsoft Entra ID에서 전역 금지 암호 목록 및 사용자 지정 암호 보호 정책을 받습니다. 그러면 도메인 컨트롤러에서 이를 사용하여 암호 변경 이벤트를 처리합니다. 이 하이브리드 접근 방식을 사용하면 사용자가 암호를 변경할 때마다 Microsoft Entra 암호 보호가 적용됩니다.

암호 보호가 암호의 강도를 향상시키긴 하지만 다단계 인증과 같은 모범 사례 기능도 함께 사용해야 합니다. 암호는 아무리 강력해도 여러 계층의 보안만큼 안전하지 않습니다.