Authelia 설정 화면을 2단계 인증 뒤에 두려는 보안 고민
로 여러 사이트 로그인을 보호하고 있으며, 패스키와 TOTP를 설정해 사이트에는 을 요구하고 있다. 문제는 의 설정 화면이 아이디와 비밀번호만으로도 열리는 점이다.
설정에서는 `/settings` 경로에 `two_factor` 정책을 걸고, 높은 권한 세션에도 두 번째 인증을 요구하도록 해 두었지만 기대처럼 막히지 않는다. 새 사용자는 수동으로 추가할 계획이다.
TOTP나 패스키를 새로 등록할 때도 기존 패스키나 TOTP 대신 이메일 를 요구하는 점을 바꾸고 싶어 한다. 메모리가 제한된 환경이라 를 골랐고, 을 로 쓰며, 으로 에 대한 무차별 대입 공격을 차단하고 있다.
핵심 포인트
- 설정 화면을 아이디와 비밀번호만으로 열 수 있어 을 강제하려는 상황이다.
- `/settings` 경로에 `two_factor` 정책을 걸었지만 실제로는 기대한 차단이 되지 않는다.
- TOTP나 패스키를 추가할 때 이메일 대신 기존 인증 수단을 쓰고 싶어 한다.
- 메모리 제한 때문에 를 선택했고, 과 을 함께 쓰고 있다.
- 무차별 대입 공격 차단은 해 두었지만, 설정 화면 접근 통제가 따로 문제로 남아 있다.