식별
개별 계정과 기본 계정을 구분
공유 계정은 줄이고 Guest, test, vendor 계정은 비활성화한다.
“계정을 관리한다”로 끝내지 말고 사용자별 계정, 패스워드 정책, 최소권한, 로그, 퇴사·휴면 계정 처리까지 이어 써야 한다.
공유 계정은 줄이고 Guest, test, vendor 계정은 비활성화한다.
길이, 복잡도, 재사용 제한, 실패횟수 제한으로 탈취를 늦춘다.
sudo, 관리자 그룹, UID 0 계정은 정기적으로 검토한다.
누가 언제 어디서 어떤 관리자 명령을 썼는지 확인 가능해야 한다.
인사 변경과 권한 회수를 연결하고 장기 미사용 계정은 잠근다.
직접 로그인 제한, MFA, 작업 로그, 승인 절차를 함께 적용한다.
솔트를 적용한 해시값으로 저장해 유출 시 원문 노출을 줄인다.
상태 처리와 권한 회수, 로그 보존을 같이 써야 답안이 단단하다.