비밀번호 정책

대부분의 교육기관은 ID 제공자(예: Azure Active Directory)를 사용하여 사용자를 관리하고 인증합니다. 이러한 구성을 통해 Learn에서 사용자를 생성할 수 있으며, 해당 사용자는 Learn에서 자신의 비밀번호를 설정할 수 있습니다. 관리자는 이러한 비밀번호에 대한 길이 및 복잡성 요구 사항을 설정할 수 있습니다. 그러면 기본 인증 제공자를 사용할 때 Learn 환경의 보안 상태를 개선할 수 있습니다.

사용자가 비밀번호를 변경할 때의 비밀번호 정책 및 로깅
비밀번호 사용 기간, 재사용 및 만료
비밀번호 길이 및 복잡성 규칙
제한 사항: 데이터 유출 시 노출된 개인 정보 및 비밀번호 사용

사용자가 비밀번호를 변경할 때의 비밀번호 정책 및 로깅

비밀번호 길이 규칙을 8~32자로 설정할 수 있습니다. 기본값은 12자입니다. 개별적으로 대소문자, 숫자, 특수 문자를 적절히 사용하도록 설정할 수 있습니다.

인증 로그에는 비밀번호 변경 이벤트가 캡처됩니다. 이는 Learn 비밀번호 변경에만 적용되며 ID 제공자의 비밀번호 변경에는 적용되지 않습니다. 다음과 같은 세 가지 이벤트 유형이 있습니다.

사용자가 자신의 비밀번호를 변경한 경우.
관리자 또는 기타 권한이 있는 사용자가 다른 사용자의 비밀번호를 변경한 경우. 이벤트 세부 사항에는 비밀번호를 변경한 사람이 표시됩니다.
사용자가 Learn의 비밀번호를 잊어버림 기능을 사용하여 비밀번호를 재설정한 경우.

사용자는 Original 환경에서 다음과 같이 자신의 비밀번호를 변경합니다.

A user changes their password in Original Experience

기본 탐색이 활성화된 경우 사용자는 다음과 같이 자신의 비밀번호를 변경합니다.

A user changes their password when Base Navigation is enabled

사용자에게 Learn의 비밀번호 재설정 옵션이 표시되면 구성을 검토합니다. 설정은 새 비밀번호 설정 페이지의 관리자 패널에 나타납니다.

전체 시스템 관리자만 구성 페이지에 접근할 수 있습니다. 기본적으로 최소 길이는 12자이며 최소 1개의 숫자와 1개의 특수 문자를 사용해야 합니다.

ID 제공자(예: 단일 로그인)를 사용할 때 사용자에게 Learn의 비밀번호 재설정 옵션이 표시되지 않도록 시스템 내 역할을 구성합니다.

강화된 비밀번호 정책은 사용자가 자신의 비밀번호를 변경할 때 적용됩니다. 여기에는 비밀번호 재설정 도구를 사용하는 것도 포함됩니다.
지원 팀 사용자가 다른 사용자의 비밀번호를 변경하는 경우 비밀번호 정책이 적용되지 않습니다.
SIS 프레임워크, 빌딩 블록 또는 REST API를 사용하여 비밀번호를 변경하는 경우 비밀번호 정책이 적용되지 않습니다.

비밀번호 길이 및 복잡성 정책의 구성:

An administrator configures the password length and complexity policies

인증 로그에는 비밀번호 변경 이벤트가 포함됩니다.

Authentication logs include Password Change events

비밀번호 사용 기간, 재사용 및 만료

ID 제공자(예: Azure Active Directory)를 사용하여 사용자를 관리하고 인증할 때 사용자는 자신의 비밀번호를 설정할 수 있습니다. 비밀번호에 대한 보안 요구 사항을 지원하기 위해 시스템에서 사용자에게 다음을 요청할 수 있습니다.

마지막으로 비밀번호를 변경한 후 일정 기간이 지나면 비밀번호를 변경하도록 요청할 수 있습니다. 비밀번호가 만료된 후 사용자는 이전 비밀번호로 로그인할 수 있지만, 계속하려면 즉시 비밀번호를 변경하라는 메시지가 시스템에 표시됩니다.
비밀번호 변경 사이에 일정 기간 기다리도록 요청할 수 있습니다. 비밀번호 최소 사용 기간이 경과하기 전에 사용자가 비밀번호를 변경하려고 하면 시스템에서 비밀번호를 변경할 수 없음을 알려 줍니다. 이러한 경우에는 Help Desk에 문의하도록 안내하는 것이 좋습니다.
사용자가 이전 비밀번호를 재사용하지 않도록 요청할 수 있습니다.

필요한 경우, 관리자는 사용자에게 비밀번호가 자동으로 만료될 때까지 기다리지 말고 비밀번호를 변경하여 비밀번호 정책 업데이트를 충족하도록 요청할 수 있습니다.

An administrator configures the Password Age and History policies

사용자 페이지의 관리자 패널에 '비밀번호 만료' 옵션이 나타납니다.
한 번에 한 명 또는 여러 명의 사용자를 선택합니다. 전체 시스템 관리자는 기본적으로 이 새 기능을 사용할 수 있습니다. 원하는 경우 다음과 같이 이 권한을 다른 역할에 부여할 수 있습니다. '관리자 패널(사용자) > 사용자 > 수정 > 비밀번호 만료'.
관리자가 사용자의 비밀번호가 만료되도록 선택하고 최소 비밀번호 사용 기간 정책이 '켜져' 있는 경우 사용자는 비밀번호를 변경하기 위해 기다리지 않아도 됩니다.

An administrator expires users’ passwords

보안을 위해 비밀번호는 더 이상 아카이브 패키지에 저장되지 않습니다.

아카이브 패키지 다운로드:

An administrator downloads archive package

비밀번호 길이 및 복잡성 규칙

다른 사용자의 비밀번호를 변경할 때 비밀번호 길이와 복잡성 규칙을 충족하는지 확인합니다.

비밀번호 사용 기간 및 재사용 정책을 결정할 수 있습니다. 이러한 설정은 비밀번호 설정 페이지의 관리자 패널에 나타납니다. 전체 시스템 관리자만 구성 페이지에 접근할 수 있습니다. 기본 설정에서 적용되는 정책은 다음과 같습니다.

비밀번호 사용 기간 정책: 이 옵션은 기본적으로 꺼져 있습니다. 다음 규칙은 개별적으로 켤 수 있습니다.
- 최소 사용 기간 기본값은 24시간입니다. 1시간에서 720시간 사이의 값을 정의합니다.
  새로운 사용자가 처음으로 비밀번호를 변경하는 경우에는 이 기간을 기다릴 필요가 없습니다.
- 최대 사용 기간 기본값은 90일입니다. 29~360일 사이의 값을 정의합니다.
비밀번호 기록 정책: 이 옵션은 기본적으로 꺼져 있습니다. 이 옵션을 켜면 시스템에서 확인하도록 할 최근에 사용된 비밀번호의 수를 지정할 수 있습니다.
- 기본값은 10입니다. 1에서 24 사이의 값을 정의합니다.

제한 사항

개인 정보 사용

Learn에서 생성된 사용자 계정에서는 사용자가 자신의 비밀번호를 설정할 수 있습니다. 보안 강화를 위해 사용자 비밀번호에 개인 정보를 사용하는 것은 제한됩니다.

개인 정보에는 다음과 같은 필드가 포함됩니다. 이름, 중간 이름, 성, 사용자 ID 및 학생 ID. 사용자는 비밀번호를 생성할 때 이 정보를 통합할 수 없습니다. 사용자가 프로필 정보를 비밀번호의 일부로 사용하려고 하면 시스템에서 사용자에게 이를 알려 줍니다.

다른 사용자의 비밀번호를 설정할 때도 개인 정보를 사용하는 것을 피해야 합니다.

데이터 유출 시 노출된 비밀번호 사용

교육기관에서 데이터 유출 시 노출되는 비밀번호를 제한할 수도 있습니다. "123456," "qwerty" 또는 "password123"과 같은 비밀번호는 일반적으로 해커의 표적이 되기 때문에 이는 중요한 보안 수단입니다.

사용자 중 한 명이 LMS 내에서 자신의 비밀번호를 변경하려고 하면 Learn은 유출된 비밀번호의 글로벌 데이터베이스와 대조하여 이를 확인합니다. 선택한 비밀번호가 데이터베이스에 나타나면 시스템에서 사용자에게 알리고 다른 비밀번호를 선택하도록 합니다. 이렇게 하면 모든 사용자가 강력하고 안전한 비밀번호를 사용하게 되고 계정에 대한 무단 접근이 최소화됩니다.