InfoGrab Docs

사용자 비밀번호

요약

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 일부 조직은 비밀번호를 선택할 때 특정 요구 사항을 충족하도록 요구합니다. 이중 인증으로 계정 보안을 강화하세요. 비밀번호 요구 사항은 다음 경우에 적용됩니다:

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 약하거나 추측하기 쉬운 비밀번호는 무권한 사람이 계정에 로그인하기 쉽게 만듭니다.

일부 조직은 비밀번호를 선택할 때 특정 요구 사항을 충족하도록 요구합니다.

이중 인증으로 계정 보안을 강화하세요.

비밀번호 요구 사항#

비밀번호 요구 사항은 다음 경우에 적용됩니다:

  • 등록 중 비밀번호 선택 시.

  • 비밀번호 재설정 시.

  • 비밀번호 변경 시.

  • 관리자가 계정을 만들거나 업데이트할 때.

기본적으로 GitLab은 다음 요구 사항을 적용합니다:

  • 최소 비밀번호 길이: 8자.

  • 최대 비밀번호 길이: 128자.

  • 4,500개 이상의 알려진 침해된 비밀번호 목록과 일치하지 않아야 합니다.

  • 이름, 사용자 이름 또는 이메일 주소의 일부를 포함하지 않아야 합니다.

  • 예측 가능한 단어(예: gitlab 또는 devops)를 포함하지 않아야 합니다.

GitLab Self-Managed 및 GitLab Dedicated에서 관리자는 비밀번호 복잡성 요구 사항을 수정할 수 있습니다.

침해된 비밀번호 감지#

히스토리
  • GitLab 18.0에서 notify_compromised_passwords라는 기능 플래그와 함께 도입되었습니다. 기본적으로 비활성화됩니다.
  • GitLab 18.1에서 GitLab.com에서 활성화됩니다. 기능 플래그 notify_compromised_passwords 제거됩니다.

GitLab은 GitLab.com 자격 증명이 다른 서비스나 플랫폼에서 발생한 데이터 침해의 일부로 침해되었는지 알려줄 수 있습니다. GitLab 자격 증명은 암호화되어 있으며 GitLab 자체는 이에 직접 액세스할 수 없습니다.

침해된 자격 증명이 감지되면 GitLab은 보안 배너를 표시하고 비밀번호 변경 방법 및 계정 보안 강화 방법에 대한 지침이 포함된 이메일 알림을 보냅니다.

침해된 비밀번호 감지는 외부 공급자로 인증하는 경우나 계정이 이미 잠겨 있는 경우에는 사용할 수 없습니다.

비밀번호 선택#

사용자 계정을 만들 때 비밀번호를 선택할 수 있습니다.

외부 인증 계정의 비밀번호#

외부 인증 및 권한 부여 공급자로 계정이 만들어진 경우, GitLab은 데이터 일관성을 유지하기 위해 무작위 비밀번호를 자동으로 생성합니다.

이 비밀번호는 다음 속성을 가집니다:

일반적으로 이 비밀번호를 알거나 사용할 필요가 없습니다. 그러나 패스키를 만들거나 유사한 상황에서 입력해야 할 수 있습니다.

GitLab 비밀번호를 입력해야 하는 경우 비밀번호 재설정 프로세스를 따라 사용할 수 있는 새 비밀번호를 만들 수 있습니다.

이는 외부 ID 공급자의 비밀번호에는 영향을 주지 않습니다.

비밀번호 변경#

비밀번호를 변경할 수 있습니다. 새 비밀번호는 비밀번호 요구 사항을 충족해야 합니다.

비밀번호를 변경하려면:

  • 오른쪽 상단 모서리에서 아바타를 선택합니다.

  • Edit profile을 선택합니다.

  • 왼쪽 사이드바에서 Access > Password and authentication을 선택합니다.

  • Change password를 선택합니다.

  • Current password 텍스트 상자에 현재 비밀번호를 입력합니다.

  • New passwordPassword confirmation 텍스트 상자에 새 비밀번호를 입력합니다.

  • Save password를 선택합니다.

비밀번호 재설정#

히스토리
  • GitLab 16.1에서 검증된 이메일 주소로 비밀번호 재설정 이메일 발송이 도입되었습니다.

비밀번호를 잊은 경우 비밀번호 재설정 요청을 제출할 수 있습니다.

비밀번호를 재설정하려면:

  • GitLab 로그인 페이지로 이동합니다.

GitLab.com의 경우 https://gitlab.com/users/sign_in에서 사용 가능합니다.

  • GitLab Self-Managed 및 GitLab Dedicated의 경우 도메인을 사용합니다. 예: gitlab.example.com/users/sign_in.

  • **Forgot your password?**를 선택합니다.

  • 이메일을 입력합니다.

  • Reset password를 선택합니다.

로그인 페이지로 리다이렉트됩니다. 제공된 이메일이 확인되었고 기존 계정과 연결되어 있으면 GitLab이 비밀번호 재설정 이메일을 보냅니다.

Note

계정에는 확인된 이메일 주소가 두 개 이상 있을 수 있으며, 계정과 연결된 모든 이메일 주소를 확인할 수 있습니다. 그러나 비밀번호가 재설정된 후에는 기본 이메일 주소만 로그인에 사용할 수 있습니다.

자격 증명 저장#

GitLab은 사용자 비밀번호를 일반 텍스트가 아닌 해시 형식으로 저장합니다. 비밀번호를 해시하기 위해 GitLab은 Devise 인증 라이브러리를 사용합니다.

비밀번호 해시는 다음 보안 조치를 사용합니다:

  • 해시 알고리즘:

Bcrypt: 기본적으로 사용됩니다.

  • PBKDF2+SHA512: FIPS 모드가 활성화된 경우 사용됩니다.

  • 스트레칭: 비밀번호는 무차별 대입 공격으로부터 보호하기 위해 스트레칭됩니다. 스트레칭 계수는 해시 알고리즘에 따라 다릅니다:

Bcrypt: 10

  • PBKDF2+SHA512: 20,000

  • 솔팅: 사전 계산된 해시 및 사전 공격으로부터 보호하기 위해 각 비밀번호에 대해 무작위 암호화 솔트가 생성됩니다. 각 비밀번호는 고유한 솔트를 가집니다.

OAuth 액세스 토큰도 데이터베이스에 PBKDF2+SHA512 형식으로 저장되며 20,000번 스트레칭됩니다.

사용자 비밀번호

Tier: Free, Premium, Ultimate
Offering: GitLab.com
원문 보기
요약

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 일부 조직은 비밀번호를 선택할 때 특정 요구 사항을 충족하도록 요구합니다. 이중 인증으로 계정 보안을 강화하세요. 비밀번호 요구 사항은 다음 경우에 적용됩니다:

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 약하거나 추측하기 쉬운 비밀번호는 무권한 사람이 계정에 로그인하기 쉽게 만듭니다.

일부 조직은 비밀번호를 선택할 때 특정 요구 사항을 충족하도록 요구합니다.

이중 인증으로 계정 보안을 강화하세요.

비밀번호 요구 사항#

비밀번호 요구 사항은 다음 경우에 적용됩니다:

  • 등록 중 비밀번호 선택 시.

  • 비밀번호 재설정 시.

  • 비밀번호 변경 시.

  • 관리자가 계정을 만들거나 업데이트할 때.

기본적으로 GitLab은 다음 요구 사항을 적용합니다:

  • 최소 비밀번호 길이: 8자.

  • 최대 비밀번호 길이: 128자.

  • 4,500개 이상의 알려진 침해된 비밀번호 목록과 일치하지 않아야 합니다.

  • 이름, 사용자 이름 또는 이메일 주소의 일부를 포함하지 않아야 합니다.

  • 예측 가능한 단어(예: gitlab 또는 devops)를 포함하지 않아야 합니다.

GitLab Self-Managed 및 GitLab Dedicated에서 관리자는 비밀번호 복잡성 요구 사항을 수정할 수 있습니다.

침해된 비밀번호 감지#

히스토리
  • GitLab 18.0에서 notify_compromised_passwords라는 기능 플래그와 함께 도입되었습니다. 기본적으로 비활성화됩니다.
  • GitLab 18.1에서 GitLab.com에서 활성화됩니다. 기능 플래그 notify_compromised_passwords 제거됩니다.

GitLab은 GitLab.com 자격 증명이 다른 서비스나 플랫폼에서 발생한 데이터 침해의 일부로 침해되었는지 알려줄 수 있습니다. GitLab 자격 증명은 암호화되어 있으며 GitLab 자체는 이에 직접 액세스할 수 없습니다.

침해된 자격 증명이 감지되면 GitLab은 보안 배너를 표시하고 비밀번호 변경 방법 및 계정 보안 강화 방법에 대한 지침이 포함된 이메일 알림을 보냅니다.

침해된 비밀번호 감지는 외부 공급자로 인증하는 경우나 계정이 이미 잠겨 있는 경우에는 사용할 수 없습니다.

비밀번호 선택#

사용자 계정을 만들 때 비밀번호를 선택할 수 있습니다.

외부 인증 계정의 비밀번호#

외부 인증 및 권한 부여 공급자로 계정이 만들어진 경우, GitLab은 데이터 일관성을 유지하기 위해 무작위 비밀번호를 자동으로 생성합니다.

이 비밀번호는 다음 속성을 가집니다:

일반적으로 이 비밀번호를 알거나 사용할 필요가 없습니다. 그러나 패스키를 만들거나 유사한 상황에서 입력해야 할 수 있습니다.

GitLab 비밀번호를 입력해야 하는 경우 비밀번호 재설정 프로세스를 따라 사용할 수 있는 새 비밀번호를 만들 수 있습니다.

이는 외부 ID 공급자의 비밀번호에는 영향을 주지 않습니다.

비밀번호 변경#

비밀번호를 변경할 수 있습니다. 새 비밀번호는 비밀번호 요구 사항을 충족해야 합니다.

비밀번호를 변경하려면:

  • 오른쪽 상단 모서리에서 아바타를 선택합니다.

  • Edit profile을 선택합니다.

  • 왼쪽 사이드바에서 Access > Password and authentication을 선택합니다.

  • Change password를 선택합니다.

  • Current password 텍스트 상자에 현재 비밀번호를 입력합니다.

  • New passwordPassword confirmation 텍스트 상자에 새 비밀번호를 입력합니다.

  • Save password를 선택합니다.

비밀번호 재설정#

히스토리
  • GitLab 16.1에서 검증된 이메일 주소로 비밀번호 재설정 이메일 발송이 도입되었습니다.

비밀번호를 잊은 경우 비밀번호 재설정 요청을 제출할 수 있습니다.

비밀번호를 재설정하려면:

  • GitLab 로그인 페이지로 이동합니다.

GitLab.com의 경우 https://gitlab.com/users/sign_in에서 사용 가능합니다.

  • GitLab Self-Managed 및 GitLab Dedicated의 경우 도메인을 사용합니다. 예: gitlab.example.com/users/sign_in.

  • **Forgot your password?**를 선택합니다.

  • 이메일을 입력합니다.

  • Reset password를 선택합니다.

로그인 페이지로 리다이렉트됩니다. 제공된 이메일이 확인되었고 기존 계정과 연결되어 있으면 GitLab이 비밀번호 재설정 이메일을 보냅니다.

Note

계정에는 확인된 이메일 주소가 두 개 이상 있을 수 있으며, 계정과 연결된 모든 이메일 주소를 확인할 수 있습니다. 그러나 비밀번호가 재설정된 후에는 기본 이메일 주소만 로그인에 사용할 수 있습니다.

자격 증명 저장#

GitLab은 사용자 비밀번호를 일반 텍스트가 아닌 해시 형식으로 저장합니다. 비밀번호를 해시하기 위해 GitLab은 Devise 인증 라이브러리를 사용합니다.

비밀번호 해시는 다음 보안 조치를 사용합니다:

  • 해시 알고리즘:

Bcrypt: 기본적으로 사용됩니다.

  • PBKDF2+SHA512: FIPS 모드가 활성화된 경우 사용됩니다.

  • 스트레칭: 비밀번호는 무차별 대입 공격으로부터 보호하기 위해 스트레칭됩니다. 스트레칭 계수는 해시 알고리즘에 따라 다릅니다:

Bcrypt: 10

  • PBKDF2+SHA512: 20,000

  • 솔팅: 사전 계산된 해시 및 사전 공격으로부터 보호하기 위해 각 비밀번호에 대해 무작위 암호화 솔트가 생성됩니다. 각 비밀번호는 고유한 솔트를 가집니다.

OAuth 액세스 토큰도 데이터베이스에 PBKDF2+SHA512 형식으로 저장되며 20,000번 스트레칭됩니다.