포럼
"비번찾기 질문/답변" 이용 시나리오에 관한 고찰
2011.10.05 18:07
"비밀번호 찾기 질문/답변" 항목이 생긴지는 좀 되었는데 이게 어떻게 활용되고있는지 곰곰히 생각해봤습니다.
1.5.x 부터 "이메일=아이디"가 되는 기능이 지원되면서 "아이디 찾기"에 관한 부분도 다시 생각해 봐야할것 같구요.
문제는 1년전에 내가 이 사이트에 가입할 때 "내가 나에게 무슨 질문을 던졌더라?" 자체를 모르는 경우가 많을것 같다는 것입니다.
비밀번호를 찾을 길이 없어지는거죠.
결국 운영자에게 직접 연락... 조르기 들어오거나 비슷한 ID에 숫자 붙여가며 복수 ID 생성... 회원목록은 너저분~~~ ㅠㅠ
XE를 사용하지 않지만 질문방식을 사용하는 다른 사이트에서는 특이한 질문을 묻는 곳도 있고 사용자가 질문 자체를 입력 할수 있게 곳도 있지요.
이 수만은 사이트 수많은 질문들 중에 내가 어떤걸 선택했었는지 기억이 안날 경우의 해법이 필요할것 같습니다.
너무 섬세한 배려인지도... ^^;;
로그인할 때 이메일(ID)가 틀리면 "존재하지 않는 계정이다" 고 알려주니까
나의 여러 이메일 중 어느것으로 가입했었는지는 몇번 시도하다 보면 금방 찾을 수 있을 것이라 생각됩니다.
그래서
일단 이메일주소는 안다는 가정하에 비밀번호 찾기를 시도 할 때 다음과 같이 진행되면 어떨까 시나리오를 짜봤습니다.
1. [이메일 주소]란에 자기 이메일을 입력합니다.
2. [이메일 주소]란 옆에 [질문을 메일로 발송] 버튼이 있어서 그것을 누르면 이메일로 질문을 던져줍니다.
3. MailBox를 열어서 내가 선택했던 질문을 확인합니다.
4. 사이트로 돌아와 [이메일 주소]란 아래 [비밀번호 질문/답변]란에 자기의 "답"을 입력합니다.
5. 답이 맞으면 "임시비밀번호 변경" 인증메일이 다시 발송됩니다.
6. 기존과 같은 방식으로 진행됩니다.
이렇게 해주면 보안상 헛점이 늘어나지는 않으면서도 "비밀번호 질문/답변"이 제역할을 할 수있지 않을까 하고 혼자 생각해 봤습니다.
함께 의견나누어 보아요.
- [2018/09/03] 묻고답하기 [보안] 이번에 XE4 오픈소스 게시판을 utf-8 버전으로 업그레이드 했는데... *2
- [2018/01/09] 묻고답하기 게시판 수정 *3
- [2014/06/18] 묻고답하기 익명게시판에서 비밀글 작성후 바로 비밀번호 물어보기 *5
- [2014/04/16] 묻고답하기 관공서 홈페이지에 사용여부? *3
- [2014/04/15] 묻고답하기 회원가입시 비밀번호 찾기 필수입력 해제하려면? *1
댓글 7
-
guny
2011.10.05 19:59
-
씨지크
2011.10.05 21:14
그걸 알면 이렇게 적었을까요?^^;;;
모른는 저는 바~~보~~
-
snows96
2011.10.05 20:07
근데 이러한 경우도 생각해보아야 합니다.
만약 회사 메일 등을 사용하다 이직을 하거나 퇴직을 할 경우??? 혹은 포털메일을 사용하는데 XE서버가 사용하는 IP대역이 하필 임시로 차단당한 시점이라 스팸메일함 뒤져도 없는경우에는????? 그럼 그 메일을 통해 E-mail을 아무것도 받을 수 없게 됩니다...... 그럼 비밀번호 찾을 길이 없습니다......
그렇다고 본문처럼 질문을 알아서 맞춰라 하는 것도 조금 무리가 있다고 생각합니다. 질문까지는 보여주더라도 뭐 별 보안에 문제될 건 없어보이는데....... 아니면 야후의 경우처럼 질문 여러개 설정하고 질문은 던져주지만 답을 3개의 질문 모두 맞춰야 재발급 해주는 방식으로.....?
-
씨지크
2011.10.05 21:19
자신의 메일 계정 자체의 문제는 정말 누구도 어쩔수 없는 상황인거 같구요.
방금 문득
질문의 종류가 8가지로 정해져있는데 그중에서 어느것인지 번갈아가면서
8번만 해보면 되겠구나 하는 생각도 들긴 했습니다. (각 질문당 자신의 사적인 정답은 1개라는 가정하에) -.-;; -
snows96
2011.10.05 23:07
ㅎㅎ 그런가요??? 근데 그것마저 귀찮을 때가 있죠...... 그리고 질문수가 많은 줄 알았는데 생각보다 적네요... 8개면...
-
씨지크
2011.10.05 21:56
원천적으로 '비밀번호', '비번찾기질문', '질문에데한 자신만의 답변'을 모두 잘 관리해야한다는게 교과서적인 정론이겠지만. 그런 논의는 의미없는거 같구요. (혹시 나올까봐 미리 차단. ㅋㅋ)
비번찾기 질문이라는 것이 왜생겼을까? 하는것에서 부터 시작해보면 뭔가 이해가 잘 안되서요.
●생각해볼 사항1 - 질문 자체가 목적에 부합하는가?
"어떤 질문을 던졌을 때 자기만의 답변이 있을것이다."라는 것을 전제로 깔고 시작하는 것이지요.
근데 질문이
"고향은?" 이었을 때 상당수는 '서울'이 나올 가능성이 높고 통계적으로 더 많아지고있구요.^^;;
"좋아하는 색은?" 이라고했을 때 약간의 과장을 섞어서 보통 색이름을 7가지 이상 알고계신 분이 드뭅니다."아버지or어머니 성함은?"의 경우 지인이 악의적으로 접근할 때 알려면 쉽게 알수있는 답이지요.
"출신 초등학교" 도 마찬가지로 지인은 쉽게 알수있고 심지어 SNS에 자기가 친구의친구에게 공개하는 경우도있습니다.위와같은 질문은 가급적 선택하지 않는 것이 좋지 않을까 하고 생각합니다.
그나마 진정 사적인 질문이 "이상형" 혹은 "보물1호" 정도입니다.
질문자체도 자기가 적도록 하는게 가장 효과적?인게 아닌가 하는 생각이 드네요.
●생각해볼 사항2 - 비밀번호도 기억못하게된 상황에서 질문까지 기억할까?
보통 자주가는 사이트는 비번을 까먹지 않습니다.
간혹 까먹긴 합니다만 보통은 정말 오래간만에 방문한 사이트인데 분명 내가 가입한적이 있는거 같은 그런 사이트에서 비밀번호를 다시 찾아내야하는 상황이 발생하는거 같습니다.
그런경우 질문을 받았을 때 반사적으로? 나만의 답이 나올만한 질문이 있다면 모르겠지만...
누구나 나랑 비슷한 답을 할것 같은 질문은 선택하지 않았었을것 같고... ^^;;
가입당시 스스로는 나름 머리를 굴려서 질문을 선택했을 터인데 질문이 기억나지 않아서 더욱 아리송해집니다.+
요즘 수많은 사이트들이 비번찾기에 "비번찾기 질문"을 이용하다보니 질문의 종류도 제각각이라
기억해야할 것은 곱빼기로 늘어납니다.PS. 위와같은 고민들 때문에 평소 제가 사용하는 "비번찾기 질문" 입력 패턴이 있습니다. 예를 들면 아래와 같은 방식입니다.
- 나도 나를 못믿어서 일단 답은 하나로 정해두었습니다.
모든사이트에서 통일입니다. (그리 좋지 않을수있지만 어쩔수없습니다.) - 그 답은 특정 "지명"이며 우리나라 지명도 아닙니다.
- 단, 저에게는 늘 나름의 로망인 그런 것(곳)입니다.
- 외국사이트에 가입하는 경우도 있기 때문에 답은 무조건 영어로 적습니다.
- 질문을 선택할 때는 무조건 고향이든 여행지든 "지명"을 물어보는 질문을 선택하고 답은 그 정해진 답만 넣습니다.
- 질문 자체를 직접 넣을 수 있는 사이트는 가능한 직접 넣는데 이상하게 꼬아서 지명을 말하고 싶은 생각이 들도록 문장을 만듭니다. 의문문이 아닐 수도있습니다.
뭐 이런거죠. 이런걸 공개하는게 별로 안좋은거 같지만 화두를 설명에 도움이 될거같아서..^^;;
자동차 이름을 정하던가, 음식이름, 산이름, 강이름... 등 뭔가 자기만의 키워드가 있다면 그걸 정해두고 뭔가 스스로에겐 반사적으로 나오는 유니크한 정답을 어느정도 패턴화 하지않으면 수많은 사이트에 입력하는 사적인? 질문의 답들에 스스로 오답을 입력할 수 밖에 없어지는 상황을 방지 해야만 했습니다.
여튼 오랜시간 해온 고민이라 함께 논의해보고 싶었습니다.
- 나도 나를 못믿어서 일단 답은 하나로 정해두었습니다.
-
snows96
2011.10.05 23:19
동감합니다..... 비번도 까먹었는데 질문을 못알려 줄 망정 비번 질문까지 맞춰야한다니..... 정말 맞추라는 건지 아니면 비번을 찾지말라는건지 모르겠습니다.....
그렇지만 또 공개하면 1번처럼 자신의 사생활을 알고 있는 지인이나 추측가능한 답변을 적어 맞출 수도 있다는 문제를 저도 처음 알게 되었고 생각해보게 되었군요......
이번기회에 정말 "자신"을 증명하는 방법을 쉽고 간략하게 하면서 "자신"이 아니면 맞출 가능성이 적은 그런 방법이나 비번찾기 질문/답 구조를 찾아봐야 할 것 같습니다.
질문을 발송해주다니요...
절대 안될말입니다..이유야...생각해보면 알겁니다...