암호는 복잡성 요구 사항을 만족해야 함

적용 대상

  • Windows 11
  • Windows 10

암호가 복잡성 요구 사항 보안 정책 설정을 충족해야 하는 모범 사례, 위치, 값 및 보안 고려 사항에 대해 설명합니다.

참고자료

암호는 복잡성 요구 사항을 충족해야 합니다 정책 설정은 암호가 일련의 강력한 암호 지침을 충족해야 하는지 여부를 결정합니다. 이 설정을 사용하도록 설정하려면 다음 요구 사항을 충족하기 위해 암호가 필요합니다.

  1. 암호에는 사용자의 samAccountName(계정 이름) 값 또는 전체 displayName(전체 이름 값)이 포함될 수 없습니다. 이러한 검사 중 어느 것도 대/소문자를 구분하지 않습니다.

    samAccountName은 암호의 일부인지 여부를 확인하기 위해 전체에서만 확인됩니다. samAccountName의 길이가 3자 미만이면 이 검사를 건너뜁습니다. displayName은 쉼표, 마침표, 대시 또는 하이픈, 밑줄, 공백, 파운드 기호 및 탭과 같은 구분 기호에 대해 구문 분석됩니다. 이러한 구분 기호가 있으면 displayName이 분할되고 모든 구문 분석된 섹션(토큰)이 암호에 포함되지 않는 것으로 확인됩니다. 3자보다 짧은 토큰은 무시되며 토큰의 하위 문자열은 선택되지 않습니다. 예를 들어 이름 "Erin M. Hagens"는 "Erin", "M" 및 "Hagens"의 세 가지 토큰으로 분할됩니다. 두 번째 토큰은 길이가 하나뿐이므로 무시됩니다. 따라서 이 사용자는 암호의 어느 곳에서나 부분 문자열로 "erin" 또는 "hagens"를 포함하는 암호를 가질 수 없습니다.

  2. 암호에는 다음 세 가지 범주의 문자가 포함됩니다.

    • 유럽 언어의 대문자(분음 부호, 그리스어 및 키릴 문자가 있는 A~Z)
    • 유럽 언어의 소문자(분음 부호, 그리스어 및 키릴 문자가 있는 a-z, sharp-s)
    • 기본 10자리(0~9)
    • 영숫자가 아닌 문자(특수 문자): (~!@#$%^&*_-+='|\(){}[]:;"'<>,.? /) 유로 또는 영국 파운드와 같은 통화 기호는 이 정책 설정에 대한 특수 문자로 계산되지 않습니다.
    • 알파벳 문자로 분류되지만 대문자나 소문자를 제외한 유니코드 문자입니다. 이 그룹에는 아시아 언어의 유니코드 문자가 포함됩니다.

복잡성 요구 사항은 암호를 변경하거나 만들 때 적용됩니다.

Windows Server 암호 복잡성 요구 사항에 포함된 규칙은 Passfilt.dll 일부이며 직접 수정할 수 없습니다.

사용하도록 설정하면 사용자가 알파벳에 있는 문자만 포함하는 암호에 사용되므로 기본 Passfilt.dll 잠금 계정에 대한 지원 센터 호출이 더 발생할 수 있습니다. 그러나 이 정책 설정은 모든 사용자가 익숙해져야 할 만큼 자유롭습니다.

사용자 지정 Passfilt.dll 포함할 수 있는 다른 설정은 상위 행이 아닌 문자를 사용하는 것입니다. 위쪽 행 문자를 입력하려면 SHIFT 키를 누르고 키보드의 번호 행에 있는 키 중 하나를 누릅니다(1부터 9, 0까지).

가능한 값

  • Enabled
  • 사용 안 함
  • 정의되지 않음

모범 사례

최신 모범 사례는 암호 지침을 참조하세요.

암호 설정은 복잡성 요구 사항을 충족해야 합니다. 최소 암호 길이 8과 결합된 이 정책 설정은 단일 암호에 대해 최소 159,238,157,238,528개의 다양한 가능성이 있는지 확인합니다. 이 설정은 무차별 암호 대입 공격을 어렵게 만들지만 여전히 불가능하지는 않습니다.

ALT 키 문자 조합을 사용하면 암호의 복잡성이 크게 향상됩니다. 그러나 조직의 모든 사용자가 이러한 엄격한 암호 요구 사항을 준수하도록 요구하면 불만족한 사용자와 과도하게 작업한 기술 지원 센터가 발생할 수 있습니다. 모든 관리자 암호의 일부로 0128에서 0159까지의 범위에서 ALT 문자를 사용하도록 조직에서 요구 사항을 구현하는 것이 좋습니다. (해당 범위를 벗어난 ALT 문자는 암호에 복잡성을 더하지 않는 표준 영숫자 문자를 나타낼 수 있습니다.)

영숫자 문자만 포함하는 짧은 암호는 공개적으로 사용할 수 있는 도구를 사용하여 쉽게 손상할 수 있습니다. 이 취약성을 방지하려면 암호에 다른 문자가 포함되어야 하며 복잡성 요구 사항을 충족해야 합니다.

위치

컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책

기본값

다음 표에는 실제 및 유효 기본 정책 값이 나와 있습니다. 기본값은 정책의 속성 페이지에도 나열됩니다.

서버 유형 또는 GPO(그룹 정책 개체) 기본값
기본 도메인 정책 설정됨
기본 도메인 컨트롤러 정책 설정됨
독립 실행형 서버 기본 설정 해제됨
도메인 컨트롤러 유효 기본 설정 설정됨
멤버 서버 유효 기본 설정 설정됨
클라이언트 컴퓨터에서 유효한 GPO 기본 설정 해제됨

보안 고려 사항

이 섹션에서는 공격자가 기능 또는 기능의 구성을 악용할 수 있는 방법, 대책을 구현하는 방법 및 대책 구현의 부정적인 결과 가능성에 대해 설명합니다.

취약성

영숫자 문자만 포함하는 암호는 공개적으로 사용할 수 있는 여러 도구를 사용하여 쉽게 검색할 수 있습니다.

대책

암호 구성은 복잡성 요구 사항 정책 설정을 사용으로 설정하고 사용자에게 암호에 다양한 문자를 사용하도록 권고해야 합니다.

최소 암호 길이 8과 결합된 경우 이 정책 설정은 단일 암호에 대한 다양한 가능성의 수가 너무 많아 무차별 암호 대입 공격이 성공하기 어렵기 때문에(가능) 보장합니다. (최소 암호 길이 정책 설정이 증가하면 공격에 필요한 평균 시간도 증가합니다.)

잠재적인 영향

암호 복잡성에 대한 기본 구성을 유지하는 경우 사용자가 사전순이 아닌 문자가 포함된 암호에 사용되지 않거나 다른 레이아웃의 키보드에 강조 문자 또는 기호가 포함된 암호를 입력하는 데 문제가 있을 수 있으므로 잠긴 계정에 대한 추가 지원 센터 호출이 발생할 수 있습니다. 그러나 모든 사용자는 최소한의 난이도로 복잡성 요구 사항을 따를 수 있어야 합니다.

조직에 더 엄격한 보안 요구 사항이 있는 경우 임의로 복잡한 암호 강도 규칙을 사용할 수 있는 사용자 지정 버전의 Passfilt.dll 파일을 만들 수 있습니다. 예를 들어 사용자 지정 암호 필터에는 상위 행이 아닌 기호를 사용해야 할 수 있습니다. (위쪽 행 기호는 SHIFT 키를 길게 누른 다음 키보드의 숫자 행에 있는 키를 1에서 9, 0까지 눌러야 하는 기호입니다.) 사용자 지정 암호 필터는 사전 검사를 수행하여 제안된 암호에 일반적인 사전 단어 또는 조각이 포함되어 있지 않은지 확인할 수도 있습니다.

ALT 키 문자 조합을 사용하면 암호의 복잡성이 크게 향상됩니다. 그러나 이러한 엄격한 암호 요구 사항으로 인해 더 많은 지원 센터 요청이 발생할 수 있습니다. 또는 조직에서 모든 관리자 암호가 0128-0159 범위에서 ALT 문자를 사용하도록 요구 사항을 고려할 수 있습니다. (이 범위를 벗어난 ALT 문자는 암호에 복잡성을 더하지 않는 표준 영숫자 문자를 나타낼 수 있습니다.)