비밀번호 및 OAuth 토큰 저장

Tier: Free, Premium, Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

GitLab 관리자는 비밀번호와 OAuth 토큰의 저장 방법을 구성할 수 있습니다.

비밀번호 저장

  • PBKDF2+SHA512는 기본적으로 해제되어 있으며 GitLab 15.2에서 도입되었으며 pbkdf2_password_encryptionpbkdf2_password_encryption_write라는 플래그로 제공됩니다.
  • 피처 플래그는 GitLab 15.6에서 제거되었으며 PBKDF2+SHA512는 FIPS 모드에서 실행되는 모든 GitLab 인스턴스에서 사용할 수 있게 되었습니다.

GitLab은 사용자의 비밀번호를 해시 형식으로 저장하여 일반 텍스트로 저장되지 않도록 합니다.

GitLab은 사용자 비밀번호를 해싱하기 위해 Devise 인증 라이브러리를 사용합니다. 생성된 비밀번호 해시에는 다음과 같은 속성이 있습니다:

  • 해싱:
    • bcrypt: 기본적으로 bcrypt 해싱 함수가 제공된 비밀번호의 해시를 생성하는 데 사용됩니다. 이 암호화 해싱 함수는 안전하고 업계 표준입니다.
    • PBKDF2+SHA512: PBKDF2+SHA512은 다음과 같이 지원됩니다:
      • 피처 플래그인이 활성화된 상태에서 GitLab 15.2부터 GitLab 15.5까지.
      • FIPS 모드가 활성화된 상태에서 GitLab 15.6 이후 (피처 플래그가 필요하지 않음).
  • 스트레칭: 비밀번호 해시는 브루트포스 공격에 대비하여 스트레칭됩니다. 기본적으로 GitLab은 bcrypt의 경우 스트레칭 팩터를 10으로, PBKDF2 + SHA512의 경우 20,000으로 사용합니다.
  • 솔트: 각 비밀번호에 암호화 솔트가 추가되어 사전 계산된 해시 및 사전 공격에 대비합니다. 보안을 강화하기 위해 각 솔트는 무작위로 생성되며 두 개 이상의 비밀번호가 동일한 솔트를 공유하지 않습니다.

OAuth 액세스 토큰 저장

  • PBKDF2+SHA512는 기본적으로 해제되어 있었으며 GitLab 15.3에서 도입되었으며 hash_oauth_tokens라는 플래그로 제공됩니다.
  • GitLab 15.5에서는 기본적으로 활성화되었습니다.
  • 피처 플래그가 제거되었으며 GitLab 15.6에서는 사용되지 않습니다.

OAuth 액세스 토큰은 PBKDF2+SHA512 형식으로 데이터베이스에 저장됩니다. PBKDF2+SHA512 비밀번호 저장과 마찬가지로, 액세스 토큰 값은 스트레칭을 통해 브루트포스 공격에 대비하여 20,000회 수행됩니다.