이글루스 | 로그인  


여긴 암호를 어떻게 저장하는걸까?

여긴 암호를 어떻게 저장하는걸까?

이 글이 적혀있는 곳은 다음과 같습니다.

http://nosyu.pe.kr/1405

 

 

Egloos에서 Textcube로 이사를 하였습니다.

이글루스에 적은 글과 댓글, 트랙백, 이미지 모두를 옮겼습니다.

 

처음에는 이글루스에 글을 보존할 생각이었습니다.

하지만 이글루스에 올린 자료는 미래에 이글루스 회원 모두가 공유할 수 있기에

남겨두는 것만으로도 황당한 일이 발생할 듯싶습니다.

따라서 전체 삭제를 생각하였지만, 인터넷 상의 링크 전부를 수정할 수 없기에

각 글마다 이사한 곳으로 딥링크를 남기고자 하였습니다.

글 읽기에 불편함, 양해 부탁드립니다.

 

 

여긴 암호를 어떻게 저장하는걸까?

이 글이 적혀있는 곳은 다음과 같습니다.

http://nosyu.pe.kr/1405

by NoSyu | 2008/02/29 14:27 | in Windows | 트랙백(1) | 덧글(18)

Tracked from 열림, 그리고 나눔 at 2008/10/20 10:35

제목 : 비밀번호가 노출될 염려가 있는 인터넷 사이트 - 회..
개인정보 관련한 세번째 글입니다. 이 글이 마지막이면 좋겠네요. ㅎㅎ 인터넷 사이트를 가입하면서 가장 황당한 일 중 하나는, 어떤 사이트에 가입하고 나면, 친절하게도 회원 가입을 축하한답시고 등록된 이메일 주소로 아이디와 비밀번호가 나와있는 메일을 보내주는 일 입니다. 회원가입 뿐이 아닙니다. 여러 사이트들에 가입하다보면, 중복된 아이디가 생기기 마련이고, 그래서 적어도 두 개나 그.....more

Commented by Mr.Dust at 2008/02/29 15:23
우리나라의 많은 대형사이트들이 회원들의 비밀번호를 암호화없이 string 으로 저장하는 것으로 알고 있습니다. 그것은 NoSyu 님이 추측하신 부분과 아주 간혹이지만 회원 정보가 누출되었을때 호들갑을 떠는 것으로도 알 수 있습니다. 비밀번호가 암호화되었다면, 비밀번호 재발급은 가능해도 알려주는 것은 불가하며, 노출이 되어도 그닥 신경쓰지 않아도 되지요. 일전의 옥션 사태처럼 비밀번호 바꾸란 말이 나오는 것은 그런 식으로 암호화하지 않고 저장하고 있다라는 반증이고요.
Commented by Sikuru at 2008/02/29 16:51
개념없는 사이트들 여전히 많군요-_-; 저건 정말 법령으로라도 정하든가... (한숨)

MD5 조차도 사전식 리버스가 이루어지는데 텍스트 스트링은 정말 '뭘 믿고' 저러는지 모르겠어요.
Commented by 권남 at 2008/02/29 16:54
MD5를 두 번해야 하는 것이 정석으로 알고 있습니다.
MD5 를 한 번만 하면 사전식 공격으로 뚫릴 가능성이 전혀 없지는 않거든요. - 아마도 옥션이 그랬지 않을까 싶은 예상이 드네요. 암호화를 하긴 했지만 한번만.

그리고, 비밀번호는 무조건 암호화해야 하는데...

그래서 오픈 ID가 많이 퍼졌으며 좋겠습니다.

비밀번호 암호화 잘 해놓는 서비스 제공자를 사용하면 일일이 다른 사이트에 비밀번호를 안 알려줘도 되니까요.
Commented by imc84 at 2008/02/29 16:58
음.. 간만에 흥미로운 소재라서 잘 보았습니다. 저도 개인정보 문제에 민감한 편인데(민번도용 건 이후로 매우 ㄱ-;;) 확실히 국내사이트들 중에는 비밀번호를 암호화하지 않고 저장하는 사이트가 많은가봅니다.

그리고 저 "가입확인 요청에 의해서 계정/비번 알려주는 메일"이 날아오는 곳 말고, 요청한 순간에 임시비밀번호로 바꾸고 그것을 알려주는 사이트도 더러 있더군요. 그런 사이트들이 비번을 암호화 저장하는 곳일까 하고 생각해보았습니다.

여담이지만 상당히 당황스런 경우도 있는데, 최초 가입 후에 가입확인 메일을 보내는데 그 메일 내용에 계정과 비밀번호가 그대로 나타나는 경우도 있지요. 아이디 정도만 알려줘도 별로 문제되지 않을텐데 어째서 그러는지 모르겠습니다.
Commented by 니트 at 2008/02/29 20:26
메일로 물어봐서 확인을 하는 저 사이트나 그것에 저렇게 답하는 사이트나 답이 없군요..-_-;;;
Commented by 루돌프 at 2008/02/29 21:04
암호화 같은거 전혀 안하는것 맞는것 같습니다 -_-

제 메일에도 종종 날아오거든요. 다른 사람의 가입확인 메일이......
Commented by Laputian at 2008/02/29 22:20
말씀하신대로, 웹사이트 중에, 비밀번호 찾기를 했을 때 비밀번호가 임의로 지정되지 않고 그대로 오는 것들은 전부 암호화가 되지 않은 채로 저장되는 사이트들이니 주의를 요한다고 하더군요.


여하간 여러모로 불안합니다 --;
Commented by NoSyu at 2008/03/01 12:47
/Mr.Dust/
그렇군요.
암호를 그냥 저장하다니...
MD5를 하라고 하는 권고를 간단히 무시하는 이유는 무엇인지..~_~
Commented by NoSyu at 2008/03/01 12:48
/Sikuru/
반갑습니다.
MD5도 리버스가 되는군요.;;;;
이런 상황에서도 전혀 하지 않는다니..~_~
Commented by NoSyu at 2008/03/01 12:49
/권남/
반갑습니다.
아.. 그러고보니 여러 번 할 수있으니 그렇게 하는 것이 좋겠네요.
두 번이 정석이군요.

오픈ID는 그 뜻은 좋아보이나 아직 미흡한 점이 보여서 아쉽습니다.ㅜㅜ
이글루스에서도 댓글 쓰기에 오픈ID를 넣으면 좋겠건만...
Commented by NoSyu at 2008/03/01 12:51
/imc84/
그러고보니 그 때 문제가 되었죠.
해결보셨나요?

네.. IPTIME은 그런 식으로 운영하더군요.
저것이 맞는 방법이 아닌가 생각합니다.

그러고보니 가입 확인 메일이라면서 아이디와 비밀번호를 보내주더군요.
그걸 중간에 가로채거나 다른 메일로 날아가면 어떻게 하려고...-_-;;;
Commented by NoSyu at 2008/03/01 12:51
/니트/
네.. 답이 없습니다.;;;;
Commented by NoSyu at 2008/03/01 12:51
/루돌프/
역시 전혀 하지 않는군요.OTL...
그러고보니 저도 예전에 다른 사람의 메일이 날아온 기억이...~_~
Commented by NoSyu at 2008/03/01 12:51
/Laputian/
정말 그러하군요.
불안합니다.ㅜㅜ
Commented by youngjr at 2008/10/16 10:51
댓글 보고 방문했다가 글을 보고 있는데, 개인 정보 관련해서 제가 쓴 글이랑 같은 주제의 글을 이미 써놓으셨네요. ㅎㅎ 저도 이메일에 아이디와 비밀번호가 암호화되지 않은 상태로 온 경우가 종종있어 깜짝깜짝 놀라곤 합니다. 글을 써 놓고 아직 공개는 안했는데(메인 페이지에 글이 하나만 보이는 관계로..), 다음에 공개하게 되면 트랙백 남기겠습니다. 좋은 하루 되세요~
Commented by NoSyu at 2008/10/16 16:43
반갑습니다.
저와 비슷한 생각을 하셨군요.^^
(역시 자신만의 생각이 없다는 말이 맞는 듯....ㅜ)
네.. 트랙백 부탁드립니다.^^
Commented by youngjr at 2008/10/20 10:36
일전에 말씀드렸던 글 트랙백 걸고 갑니다. 좋은 하루 되세요. ^^
Commented by NoSyu at 2008/10/20 17:09
아.. 글 적으셨네요.^^
트랙백 고맙습니다.
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지          다음 페이지 ▶