Brute force

비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)

분야: 보안/인증 securityauthabuse

Brute force는 가능한 값(비밀번호/코드/토큰)을 반복 시도해 맞추려는 공격입니다.

자주 발생하는 지점

  • 로그인 폼/로그인 API
  • 비밀번호 재설정 토큰 검증 엔드포인트
  • OTP/2FA 코드 입력

방어 체크리스트

  • 레이트 리밋 + 지수 백오프 + IP/계정별 제한
  • 실패/성공 이벤트 로깅 및 알림
  • 토큰은 충분히 긴 랜덤값(추측 불가) + 만료 + 1회성 사용

관련 문서: 비밀번호 재설정(Reset) 플로우 설계

관련 문서

캐싱 (Caching)
계산/조회 결과를 재사용해 지연 시간과 비용을 줄이는 기법
CI/CD
코드 변경을 자동으로 빌드·테스트·배포하는 파이프라인
Code Splitting
코드를 여러 청크로 분리해 필요한 시점에만 로드하는 최적화
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
Docker
애플리케이션을 컨테이너로 패키징/실행하는 플랫폼