|
:: 게시판
:: 이전 게시판
|
- PGR21 관련된 질문 및 건의는 [건의 게시판]을 이용바랍니다.
- (2013년 3월 이전) 오래된 질문글은 [이전 질문 게시판]에 있습니다. 통합 규정을 준수해 주십시오. (2015.12.25.)
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
17/07/02 14:21
해킹에 보편적으로 사용되는 방법입니다.
이미 탈취한 ID/PW를 다른 사이트에 대조해 입력해보는 방법인데요. 이 때문에 ID와 비밀번호는 사이트마다 다르게 가지고 있는것이 좋습니다.
17/07/02 14:23
사이트 개발자가 제정신을 가진 개발자라면 어렵습니다. 보통은 복호화가 불가능한 암호화를 해두기 때문에, 이 키가 이 자물쇠에 맞는다는건 알 수 있지만 이 자물쇠에 맞는 키를 찾기는 어렵도록 설계를 합니다. 그래서 DB(자물쇠들)가 털려도 사용자들의 암호는 어느 정도는 안전하다고 생각할 수 있습니다.
하지만 비양심적인 마음을 먹으면 기술적으로는 얼마든지 탈취가 가능합니다. 사이트 개발자가 비밀번호를 어떻게 저장하고 관리하는지 이용자가 사실상 알 방법이 없습니다. 사실 그래서 비밀번호는 몇 단계로 나눠서 관리하시고, 가장 중요한 사이트는 비밀번호를 다 다르게 하거나 OTP를 사용하시는 게 좋습니다.
17/07/02 14:24
2번입니다. 사이트 개발자는 암호를 알아낼 수 있습니다. 기술적으로 매우 쉬워요.
개발과 운영이 나누어진 사이트라면 운영자는 못할 수도 있습니다. 개발자가 운영자에게 어느 정도까지 권한을 주느냐에 따라 달라집니다.
17/07/02 14:26
pgr은 사실상 1번에 가깝다고 봅니다. 서버 관리 자체는 호스팅업체가 하니까요. 그렇다고 2번이 불가능한건 아니죠. 그건 (어떻게 보느냐에 따라)운영자가 아니어도 가능한거구요.
17/07/02 14:28
정상적으로 암호화를 진행했다면 사이트 운영자 혹은 개발자라 하더라도 알 수 없습니다.
그걸 다시 복호화 하는 기술을 해커 혹은 악의적인 운영자가 가지고 있다면 모를까요. hodduc님이 말씀하신게 정확합니다. 정상적으로 암호화를 진행했느냐 아니냐가 관건이고, 정상적으로 암호화를 진행하지 않았으면 얼마든지 쉽게 알아낼 수 있습니다. 비밀번호 찾기를 시도했을 때 비밀번호 재설정이 아니라 비밀번호를 알려주는 사이트가 있다면, 그 사이트는 비밀번호를 암호화하지 않는 사이트라는 걸 알아두시면 좋을 것 같습니다. 이런 사이트 계정은 만들지 않거나, 만들더라도 버린다 생각하고 만드셔야합니다.
17/07/02 14:32
사이트에 보관된 비번이 문제될수도 있지만
비번 전송하는 과정에서도 문제 있을수 있어서 사이트마다 비번 다르게 하는건 기본중의 기본이고 사실 사이트마다 아이디와 닉네임도 다르게 하는게 좋아요
17/07/02 14:37
말씀하신 문제 때문에 현재의 시스템상 완벽한 보안이란 허울에 불과 합니다. 내부적인 인물이 악의적인 행동을 취할 수 있는 조직이 존재하는 한 말이죠. (다만 그러한 것들을 작은 사이트부터도 철저히 고려해야 했다면 현재의 정도로 발전한 웹이 존재했을지는 모르겠습니다. 빈틈 없는 내부 보안망 말이죠.) 해커들이 내부에 잠입해서 쉽게 보안 문서를 획득했다는 식의 이야기들을 우스개 소리로 접하곤 하지만 실제로 이는 보안에 있어서 상당히 핵심적인 부분이고 많은 기업이 이에 허술한 편입니다. 보안 관련 일을 한다면 해커가 내부 개발자로 취업하여 문서를 유출시킬 확률까지 고려해야 합니다. 고려해도 털리는 게 보안이겠지만요. 인간은 허점을 남기기 마련이니깐요. 얼마나 최선을 다하느냐가 중요하다고 봅니다.
17/07/02 16:03
저는 그래서 금전거래와 상관없는 대부분의 커뮤니티의 경우 비번을 아주 엉성하게 설정해 놓고 있습니다. 아마 털리긴 무진장 털렸을 겁니다. 티도 안 나서 글치;;;;;
17/07/03 14:16
정상적인 시스템을 구축했다면 1번일겁니다. 전자금융거래법상에 패스워드는 복호화가 불가능한 암호화로 저장하도록 되어 있습니다.
그래서 웹사이트에서 패스워드를 분실했을경우 다시 알려주는게 아니라 초기화시켜주죠. 하지만, 웹사이트가 어떻게 암호화를 했는지 알수가 없는게 문제입니다. 심지어 암호화도 안되고 평문으로 저장한 사이트도 존재하니 패스워드 보관방법을 신뢰할 수 없는 허접한 사이트인 경우는 금융거래 패스워드와는 다르게 설정하는게 좋습니다. 물론, 사이트마다 별개의 패스워드를 사용하는게 제일 좋지만 관리가 너무 힘들죠.
|
||||||||||