InfoGrab Docs

사용자 비밀번호

요약

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 일부 조직에서는 비밀번호를 선택할 때 특정 요구 사항을 충족해야 합니다. 이중 인증으로 계정 보안을 강화하세요. 비밀번호 요구 사항은 다음의 경우에 적용됩니다:

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 약하거나 추측하기 쉬운 비밀번호는 무단 사용자가 계정에 로그인하기 쉽게 만듭니다.

일부 조직에서는 비밀번호를 선택할 때 특정 요구 사항을 충족해야 합니다.

이중 인증으로 계정 보안을 강화하세요.

비밀번호 요구 사항#

비밀번호 요구 사항은 다음의 경우에 적용됩니다:

  • 등록 중에 비밀번호를 선택할 때.
  • 비밀번호를 재설정할 때.
  • 비밀번호를 변경할 때.
  • 관리자가 계정을 생성하거나 업데이트할 때.

기본적으로 GitLab은 다음 요구 사항을 적용합니다:

  • 최소 비밀번호 길이: 8자.
  • 최대 비밀번호 길이: 128자.
  • 4,500개 이상의 알려진 유출된 비밀번호 목록과 일치하지 않아야 함.
  • 이름, 사용자 이름 또는 이메일 주소의 일부를 포함해서는 안 됨.
  • 예측 가능한 단어(예: gitlab 또는 devops)를 포함해서는 안 됨.

GitLab Self-Managed 및 GitLab Dedicated에서 관리자는 비밀번호 복잡성 요구 사항을 수정할 수 있습니다.

유출된 비밀번호 감지#

히스토리
  • GitLab 18.0에서 notify_compromised_passwords라는 플래그와 함께 도입됨. 기본적으로 비활성화됨.
  • GitLab 18.1에서 GitLab.com에서 활성화됨. 기능 플래그 notify_compromised_passwords 제거됨.

GitLab.com 자격 증명이 다른 서비스나 플랫폼의 데이터 침해의 일부로 유출된 경우 GitLab이 알림을 보낼 수 있습니다. GitLab 자격 증명은 암호화되어 있으며 GitLab 자체는 직접 액세스할 수 없습니다.

유출된 자격 증명이 감지되면 GitLab은 보안 배너를 표시하고 비밀번호 변경 및 계정 보안 강화 방법에 대한 지침이 포함된 이메일 알림을 보냅니다.

외부 공급자로 인증하거나 계정이 이미 잠겨 있는 경우 유출된 비밀번호 감지를 사용할 수 없습니다.

비밀번호 선택#

사용자 계정을 만들 때 비밀번호를 선택할 수 있습니다.

외부 인증 계정의 비밀번호#

계정이 외부 인증 및 권한 부여 공급자로 생성된 경우, GitLab은 데이터 일관성을 유지하기 위해 자동으로 무작위 비밀번호를 생성합니다.

이 비밀번호의 속성:

이 비밀번호를 알거나 사용할 필요가 없습니다. 그러나 패스키 생성 또는 유사한 상황에서 입력해야 할 수도 있습니다. GitLab 비밀번호를 입력해야 하는 경우 비밀번호 재설정 프로세스를 따라 사용할 수 있는 새 비밀번호를 만들 수 있습니다. 이는 외부 ID 공급자의 비밀번호에는 영향을 미치지 않습니다.

비밀번호 변경#

비밀번호를 변경할 수 있습니다. 새 비밀번호는 비밀번호 요구 사항을 충족해야 합니다.

비밀번호를 변경하려면:

  1. 오른쪽 상단 모서리에서 아바타를 선택합니다.
  2. Edit profile을 선택합니다.
  3. 왼쪽 사이드바에서 Access > Password를 선택합니다.
  4. Current password 텍스트 상자에 현재 비밀번호를 입력합니다.
  5. New passwordPassword confirmation 텍스트 상자에 새 비밀번호를 입력합니다.
  6. Save password를 선택합니다.

비밀번호 재설정#

히스토리
  • GitLab 16.1에서 확인된 모든 이메일 주소로 비밀번호 재설정 이메일 전송이 도입됨.

비밀번호를 잊어버린 경우 비밀번호 재설정 요청을 제출할 수 있습니다.

비밀번호를 재설정하려면:

  1. GitLab 로그인 페이지로 이동합니다.
    • GitLab.com에서는 https://gitlab.com/users/sign_in에서 사용할 수 있습니다.
    • GitLab Self-Managed 및 GitLab Dedicated에서는 도메인을 사용합니다. 예를 들어 gitlab.example.com/users/sign_in.
  2. **Forgot your password?**를 선택합니다.
  3. 이메일을 입력합니다.
  4. Reset password를 선택합니다.

로그인 페이지로 리다이렉트됩니다. 제공된 이메일이 확인되어 있고 기존 계정과 연결되어 있으면 GitLab이 비밀번호 재설정 이메일을 보냅니다.

Note

계정에 둘 이상의 확인된 이메일 주소가 있을 수 있으며, 계정과 연결된 모든 이메일 주소를 확인할 수 있습니다. 그러나 비밀번호가 재설정된 후에는 기본 이메일 주소만 로그인에 사용할 수 있습니다.

자격 증명 저장#

GitLab은 사용자 비밀번호를 평문이 아닌 해시 형식으로 저장합니다. 비밀번호를 해시하기 위해 GitLab은 Devise 인증 라이브러리를 사용합니다.

비밀번호 해시는 다음 보안 조치를 사용합니다:

  • 해싱 알고리즘:
    • Bcrypt: 기본적으로 사용됨.
    • PBKDF2+SHA512: FIPS 모드가 활성화된 경우 사용됨.
  • 스트레칭: 비밀번호는 무차별 대입 공격으로부터 보호하기 위해 스트레칭됩니다. 스트레칭 팩터는 해싱 알고리즘에 따라 다릅니다:
    • Bcrypt: 10
    • PBKDF2+SHA512: 20,000
  • 솔팅: 사전 계산된 해시 및 사전 공격으로부터 보호하기 위해 각 비밀번호에 대해 임의의 암호화 솔트가 생성됩니다. 각 비밀번호에는 고유한 솔트가 있습니다.

OAuth 액세스 토큰도 PBKDF2+SHA512 형식으로 데이터베이스에 저장되며 20,000번 스트레칭됩니다.

사용자 비밀번호

Tier: Free, Premium, Ultimate
Offering: GitLab.com
원문 보기
요약

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 일부 조직에서는 비밀번호를 선택할 때 특정 요구 사항을 충족해야 합니다. 이중 인증으로 계정 보안을 강화하세요. 비밀번호 요구 사항은 다음의 경우에 적용됩니다:

GitLab에 로그인하기 위해 비밀번호를 사용하는 경우 강력한 비밀번호가 매우 중요합니다. 약하거나 추측하기 쉬운 비밀번호는 무단 사용자가 계정에 로그인하기 쉽게 만듭니다.

일부 조직에서는 비밀번호를 선택할 때 특정 요구 사항을 충족해야 합니다.

이중 인증으로 계정 보안을 강화하세요.

비밀번호 요구 사항#

비밀번호 요구 사항은 다음의 경우에 적용됩니다:

  • 등록 중에 비밀번호를 선택할 때.
  • 비밀번호를 재설정할 때.
  • 비밀번호를 변경할 때.
  • 관리자가 계정을 생성하거나 업데이트할 때.

기본적으로 GitLab은 다음 요구 사항을 적용합니다:

  • 최소 비밀번호 길이: 8자.
  • 최대 비밀번호 길이: 128자.
  • 4,500개 이상의 알려진 유출된 비밀번호 목록과 일치하지 않아야 함.
  • 이름, 사용자 이름 또는 이메일 주소의 일부를 포함해서는 안 됨.
  • 예측 가능한 단어(예: gitlab 또는 devops)를 포함해서는 안 됨.

GitLab Self-Managed 및 GitLab Dedicated에서 관리자는 비밀번호 복잡성 요구 사항을 수정할 수 있습니다.

유출된 비밀번호 감지#

히스토리
  • GitLab 18.0에서 notify_compromised_passwords라는 플래그와 함께 도입됨. 기본적으로 비활성화됨.
  • GitLab 18.1에서 GitLab.com에서 활성화됨. 기능 플래그 notify_compromised_passwords 제거됨.

GitLab.com 자격 증명이 다른 서비스나 플랫폼의 데이터 침해의 일부로 유출된 경우 GitLab이 알림을 보낼 수 있습니다. GitLab 자격 증명은 암호화되어 있으며 GitLab 자체는 직접 액세스할 수 없습니다.

유출된 자격 증명이 감지되면 GitLab은 보안 배너를 표시하고 비밀번호 변경 및 계정 보안 강화 방법에 대한 지침이 포함된 이메일 알림을 보냅니다.

외부 공급자로 인증하거나 계정이 이미 잠겨 있는 경우 유출된 비밀번호 감지를 사용할 수 없습니다.

비밀번호 선택#

사용자 계정을 만들 때 비밀번호를 선택할 수 있습니다.

외부 인증 계정의 비밀번호#

계정이 외부 인증 및 권한 부여 공급자로 생성된 경우, GitLab은 데이터 일관성을 유지하기 위해 자동으로 무작위 비밀번호를 생성합니다.

이 비밀번호의 속성:

이 비밀번호를 알거나 사용할 필요가 없습니다. 그러나 패스키 생성 또는 유사한 상황에서 입력해야 할 수도 있습니다. GitLab 비밀번호를 입력해야 하는 경우 비밀번호 재설정 프로세스를 따라 사용할 수 있는 새 비밀번호를 만들 수 있습니다. 이는 외부 ID 공급자의 비밀번호에는 영향을 미치지 않습니다.

비밀번호 변경#

비밀번호를 변경할 수 있습니다. 새 비밀번호는 비밀번호 요구 사항을 충족해야 합니다.

비밀번호를 변경하려면:

  1. 오른쪽 상단 모서리에서 아바타를 선택합니다.
  2. Edit profile을 선택합니다.
  3. 왼쪽 사이드바에서 Access > Password를 선택합니다.
  4. Current password 텍스트 상자에 현재 비밀번호를 입력합니다.
  5. New passwordPassword confirmation 텍스트 상자에 새 비밀번호를 입력합니다.
  6. Save password를 선택합니다.

비밀번호 재설정#

히스토리
  • GitLab 16.1에서 확인된 모든 이메일 주소로 비밀번호 재설정 이메일 전송이 도입됨.

비밀번호를 잊어버린 경우 비밀번호 재설정 요청을 제출할 수 있습니다.

비밀번호를 재설정하려면:

  1. GitLab 로그인 페이지로 이동합니다.
    • GitLab.com에서는 https://gitlab.com/users/sign_in에서 사용할 수 있습니다.
    • GitLab Self-Managed 및 GitLab Dedicated에서는 도메인을 사용합니다. 예를 들어 gitlab.example.com/users/sign_in.
  2. **Forgot your password?**를 선택합니다.
  3. 이메일을 입력합니다.
  4. Reset password를 선택합니다.

로그인 페이지로 리다이렉트됩니다. 제공된 이메일이 확인되어 있고 기존 계정과 연결되어 있으면 GitLab이 비밀번호 재설정 이메일을 보냅니다.

Note

계정에 둘 이상의 확인된 이메일 주소가 있을 수 있으며, 계정과 연결된 모든 이메일 주소를 확인할 수 있습니다. 그러나 비밀번호가 재설정된 후에는 기본 이메일 주소만 로그인에 사용할 수 있습니다.

자격 증명 저장#

GitLab은 사용자 비밀번호를 평문이 아닌 해시 형식으로 저장합니다. 비밀번호를 해시하기 위해 GitLab은 Devise 인증 라이브러리를 사용합니다.

비밀번호 해시는 다음 보안 조치를 사용합니다:

  • 해싱 알고리즘:
    • Bcrypt: 기본적으로 사용됨.
    • PBKDF2+SHA512: FIPS 모드가 활성화된 경우 사용됨.
  • 스트레칭: 비밀번호는 무차별 대입 공격으로부터 보호하기 위해 스트레칭됩니다. 스트레칭 팩터는 해싱 알고리즘에 따라 다릅니다:
    • Bcrypt: 10
    • PBKDF2+SHA512: 20,000
  • 솔팅: 사전 계산된 해시 및 사전 공격으로부터 보호하기 위해 각 비밀번호에 대해 임의의 암호화 솔트가 생성됩니다. 각 비밀번호에는 고유한 솔트가 있습니다.

OAuth 액세스 토큰도 PBKDF2+SHA512 형식으로 데이터베이스에 저장되며 20,000번 스트레칭됩니다.