패스워드 주의사항 요약

패스워드는

• 암호화 꼭 해줄 것
• 평문으로 저장하지 말고 암호화할 것
• 프로그램 안에 평문으로 넣지 말고 암호화 할 것
• 암호화 할 것
• 암무튼 암호화해줄 것
• 하드코딩하지 말고 한군데에서 관리할 것
• 짧게 만들지 말 것
• 숫자/문자/특수문자 조합해서 9자리 이상 설정할 것
• 분기별로 주기적으로 변경하도록 할 것

적절한 인증 없는 중요 기능 서용

• 클라이언트의 보안검사를 우회하여 서버에 접근하지 못하도록 한다.
• 중요한 정보가 있는 페이지는 재인증이 적용되도록 한다.
  • 예시 : 은행 계좌이체, 정부24
  • 안전하다고 확인된 라이브러리/프레임워크를 사용한다. OpenSSL ESAPI

재인증 예시

public void sendBankAccount(HttpServletRequest request, HttpSession session, String account Number, double balance) {
	// 재인증을 위한 팝업 화면을 통해 사용자의 credential을 받는다.
	String newUserName = request.getParameter("username");
	String newPassword = request.getParameter("password"); 
	if (newUserName == null || newPassword == null)
	{
		throw new MyEception("데이터 오류:);
	}
	
	// 세션으로부터 로긴한 사용자의 credential을 읽는다. 
	String password = session.getValue("password"); 
	String userName = session.getValue("username");
	
	// 재인증을 통해서 이체여부를 판단한다.
	if (isAuthenticatedUser() && newUserName.equal(userName) 
														&& newPassword.equal(password))
	{
		BankAccount account = new BankAccount(); 
		account.setAccountNumber(accountNumber); 
		account.setToPerson(toPerson); 
		account.setBalance(balance); 
		AccountManager.send(account);
	}
}