|
:: 게시판
:: 이전 게시판
|
- PGR21 관련된 질문 및 건의는 [건의 게시판]을 이용바랍니다.
- (2013년 3월 이전) 오래된 질문글은 [이전 질문 게시판]에 있습니다. 통합 규정을 준수해 주십시오. (2015.12.25.)
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
19/03/03 01:28
최근엔 사이트 별로 아이디를 다 다르게 합니다.
사이트나 프로그램 이름 + 특정숫자+특문 비밀번호도 비슷한 방식으로 하시는 분들이 계시더군요
19/03/03 02:47
(수정됨) 비밀번호 로직을 정상적으로 구현했다면 문자셋 제한도 최대길이 제한도 없는게 정상입니다.
평문이 아니라 암호화된 문장을 저장하기 때문에 거기에 어떤 특수문자가 있건 간에 서버 입장에선 별로 상관이 없거든요. 오히려 brute-force 공격의 위험성만 늘려주고요. 뭔가 제한을 둔다는 건 0. 몇 글자 더 처리할 서버비가 아깝거나 1. 평문을 저장하고 있거나 2. 발로 만들어서 로직에 허점이 있거나 3. 이런저런 이유(주로 0, 1, 2)로 제한을 걸었던 예전의 관습이 (무의미하게) 남아있거나 중 하나고 요즘 시대에는 그냥 멍청한 짓 이상도 이하도 아닙니다.
19/03/03 02:55
요즘은 좀 크다 싶은 사이트는 (네이버도 포함해서) 2차 비밀번호 (OTP) 를 왠만하면 지원하니까 같이 활용하시면 꽤 안전합니다.
비밀번호 자체는 1password 같은 앱으로 관리하는 것도 방법입니다. 저는 대부분의 비밀번호를 아예 무작위 생성해서 1password 넣어두고 씁니다.
19/03/03 05:05
비밀번호를 몇자리로 할지, 문자 조합은 어떻게 할지, 숫자, 소문자, 대문자, 특수문자, 연속문자(123, abc등) 가능/불가 여부는 어떻게 할지, 예전에 썼었던 비밀번호를 다시 쓸 수 있게 할지 말지 등등 사이트 기획할때 보안 정책으로 정해지는 경우가 많습니다. 뭐 패턴이 여러가지이면 뚫리기 어렵다는 이론이 있어서..가 가장 큰 이유지만, 요즘은 사이트에서 강제로 제시하는 저런 패턴이 오히려 비밀번호의 유추 패턴을 더 쉽게 한다는 연구결과가 있나보더라구요.
아무튼, 비밀번호를 쉽게 설정할 수 있게 한다 => 해킹에 쉽게 노출된다 => 고객이나 회사나 안좋은 경험을 하게 된다.. 같은 악순환도 있고, 이런저런 책임소재도 피해보고자 저러한 정책을 까다롭게 설정하는 것입니다. 높으신분 : 요즘 뉴스보니 해킹때문에 시끄럽던데 이번에 오픈하는곳 대응 어떻게 할거야? 담당자 : 비밀번호를 일단 어렵게 설정하도록 정책을 정할거고 한번 썼던 비밀번호는 다시 못쓰게 할것이고 3개월마다 무조건 비밀번호를 바꿔야만 하게 할 것이고 .. 뭐 이런식으로 정해지기도 하고요. 흐흐
19/03/03 18:43
최신의 권장 방안은 위의 hodduc님이 말씀하시는 것처럼 문자셋 제한이나 최대길이 제한 같은 게 의미가 없는 것으로 알고 있습니다. (예를 들면, 패스워드 저장을 위해 Scrypt, Argon2, Bcrypt 등의 Key derivation function과 암호학적으로 랜덤하게 생성된 Salt 값을 사용하는 경우)
관습적으로 예전의 정책을 따라하는 것에 지나지 않는다고 생각됩니다. 그런데 막상 PHP 7.3에 Argon2가 기본 탑재된 요즘 세상에서도 여전히 PHP 5 버전대로 웹 서비스를 만들면서 심지어 패스워드를 평문으로 저장하거나 잘해봐야 MD5로 저장하는(...) 업체들이 2019년 현재에도 분명히 있을 겁니다. 2018년까지는 봤거든요. -_-;
19/03/04 09:09
아마 암호를 평문으로 전송 받은 다음에 저장할때 암호화 하는곳일거 같습니다.
전에 떠돌던 루머중에 하나가 아이디나 암호에 특수문자를 넣어서 sql 명령을 할 수 있다 였거든요. 그렇게 하면 DB 를 다 지우거나 할 수 있다고.. 그런 루머는 아니더라도 특정 특수문자를 평문으로 전송하면 정확하게 전달 받지 못해서 그럴 가능성이 높죠..
|
||||||||||