대단하네요... 정말 중학생인지...?? ^^;;;

md5는 이미 공공재 ㅎㅎ

사실...... f408a83349bec9bd5a3b33071e00d4c9, 671cfbc51ad742408fc1b871f04eddb5 이키를 알고있어서 푸는게 아닌, 이미 해당 프로그램이 사용자들이 자주쓰거나 http://www.md5encryption.com/ 이런사이트 들에서 내 비번을 암호화 시킬 때 바로바로 D/B에 f408a83349bec9bd5a3b33071e00d4c9, 671cfbc51ad742408fc1b871f04eddb5 이 비번에 대한 값을 142332, jec1004 이라고 이미 알고있다가 매칭해서 풀기때문에 암호화를 푼 것 처럼 보입니다. 물론 decryption 사이트에서 MD5의 특성상 한번 암호화되면 다시 복호화하는게 위의 처럼 이미 알고있는 키가 아닐 경우 모르기 때문에 이 때에는 이미 알려진 비번이 아닐 경우 풀어버리지 못합니다.

제 사이트의 회원님들도 검색 결과 쉬운비번은 다 나오더군요..... 하지만 저처럼 수퍼비번 (16~17자리....ㅋ) 쓰는 사람은 아직 못당해냅니다. 회원들이 너무 잘 알려진 비번쓰는것도 그렇지만 나온지 오래되어서 원만한 비번은 저런식으로 사이트에 저장해서 보여주기 때문에 조금 더 여려운.... 독창적이고 나만 알 수 있게 해야 비번이 풀리지 않습니다...... 왜냐... 대중성이 있으면 누구나 알고있는거고 어느 멍청이가 저 사이트에 암호화시켜보면서 등록시켜버리거든요. (물론 복호화는 이미 알고있는걸 푸는거고 모르는거는 손도못댑니다)

이런식으로 이미 암호화된 결과가 f408a83349bec9bd5a3b33071e00d4c9, 671cfbc51ad742408fc1b871f04eddb5 = 142332, jec1004 이렇게 알아둔 뒤에 풀으라 하면 당연히 풉니다.... 아마 세계 1위 암호화 알고리즘이라 하더라도 단순하게 암호화를 하는 경우에 암호화 전 상태랑 암호화 후의 상태 알고있다면 그 누구라도 풀겁니다.

일단, 서버(관리자)측에서는 사용자마다 서로 다른 방식으로, 혹은 서로 다른 키값으로 암호화 시키는 것이 지금으로선 차선책입니다. 하지만 그렇게 하려면 XE는 CMS툴이 아니라 아마 개발팀 중 하나가 암호화 전문가가 오셔셔 그 기능을 담당하셔야지 될겁니다..... 그리고 그 부분은 복잡해셔 유료료 적용되겠죠..... 그래서 아마 암호화는 쉽지만 그에 비해서 비교적 푸는게 어려운 MD5를 선택한 듯 합니다.

제일 중요한건 지금은 암호를 길게, 그리고 남들은 모르는 것들로 구성되어진 암호를 만드시는 것이 가장 현명한 방법입니다.

참고로 저도 XE가 좋아서 XE로 사이트 2~3개 만들어 운영하고 컴에 관심있는 얘한테 전도까지 한 중학생이고요.... 좀있음 고등학생(디미고) 입니다ㅋ

그나저나 회원수 많은신가봐요... 분명 in_member에 2명이랬는데 LIST는 풀로.... 우와..... 부럽습니다ㅠㅠ 나도 언제 저런 사이트 운영해볼까ㅠㅠ

비밀번호는 못풀게 하는게 목적이 아니고 귀찮게 하는게 목적이니까요.. (못푸는 비밀번호는 사실상 없잖아요..)

되도록이면 더 꼬고 꼬아 놓는게 맞다고 생각합니다.

사이트 생성할때 발생하는 특정한 문자열을 암호생성할때 삽입한다던가 하는 방식으로

(도메인과 날짜와 아이피와 맥어드레스 등으로 뭔가를 만들어 낼수 있겠죠?ㅎ)

적어도 기존에 공개된 데이터시트에 존재하는 방법으로는 접근하기 힘들게 만들어 주었으면 좋겠습니다.

md5는  아무래도 좀.. ㅎㅎ ;;;

자물쇠옆에 열쇠도 있는 느낌이랄까...

mcrypt 가 좋습니다. 물론 서버에서 mcrypt 모듈이 지원되어야하지만..

<?php
/* 개인키를 모르면 복호화 불가능 */

function password_crypt($value) {
 $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
 $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
 $crypt = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $value, $value, MCRYPT_MODE_ECB, $iv);
 return trim(base64_encode($crypt));
}

// 테스트
echo password_crypt('1234');
?>

저도 같은 생각이엿습니다.

난다날아님이 만드신 주민등록번호 저장하는것도 MD5 해시로 저장하고 비밀번호도 MD5 해시로하고

최근저도 같은생각을하고있엇는데.. DB 털리면 끝일꺼같다고...

MD5 암호화방식 문제가 심각한데요...

XE 개발팀에서 굳이 보안에 취약한 MD5 방식을 채택 할 이유가 없었을텐데?? 왜 MD5 방식을 채택한걸까요?

이런 .. 텍스트큐브도 관리자의 비밀번호를 MD5 해시로 저장하는군요 ... 이.럴.수.가

이 글을 보고 많은 분들이 오해하실까봐 전공자 입장에서 답변을 답니다.

MD5는 복호화가 불가능한 대표적인 공개키 암호화 알고리즘 입니다. 즉 암호화된 해쉬값을 가지고 원래의 암호를 추출해 내는게 아니라 암호를 하나하나 일일히 대입해 가면서 알아내야 하죠.

이 때문에 하나의 암호를 풀어내는데 상당한 시간을 요하는데 이 글에서 테스트는 문자와 숫자 조합으로 진행을 하였지만 실제로 해커가 복호를 하기 위해선 대문자, 특수기호까지 추가 되기 때문에 위 테스트보다 수십배 많은 시간이 필요합니다. 그리고 복호된 키도 더 다양해 지구요.(위에선 두가지)

MD5는 이미 많이 사용하고 있는 암호화 알고리즘이기 때문에 정말로 MD5가 문제가 있다면 이미 난리가 났었을겁니다. 다만 사용자 입장에선 보다 안전한 암호화를 위해 국정원에서 권장하는 방식인 영대문자+영소문자+숫자+특문 조합으로 암호를 생성하시는게 좋습니다.

암호화 방법이 어떻게 되든 XE는 오픈소스입니다. 즉 암호하 하는 방법도 노출됩니다.

휴래스틱한 방법으로 사용자 비밀번호를 암호화해서 매칭하는 방법에는 답이 되지 않는 것 같습니다.

또한 키방식의 암호화는 어딘가에 키가 저장되어야 하는데요.

이 키와 함께 암호화된 사용자 비밀번호가 노출된다면, (아무래도 같이 노출되는 경우가 많겠죠)

이 경우 100% 복호화가 가능하게 됩니다.

사용자 분들이 비밀번호를 길고 복잡하게 쓰시는 것이 현실적인 대안일 것 같습니다.

여러가지 방식이 좋을 듯 하지만 개인적으로는 아직 다른 방식이 필요로 할지 의문이 드네요.

저 역시 개인 포럼을 계획중에 있지만 필요에 의한것이라면 XE의 코드수정으로 해당 암호화코드를 구매를 하여서

보안에 신중할 듯 합니다.

하지만 XE는 오픈소스이고 가령 nhn에서 사용하는 암/복호화 알고리즘을 사용하여 준다면

해커들이 가장 좋다고 생각할 듯 하네요. 기본적인 기술을 얻을 수 있으니.

마음만 먹는다면 어떠한 공개 알고리즘에 관여되어서는 다 풀수 있다고 생각을 합니다.

하지만 제가 생각하는것은 앞으로도의 진행되어져야 할 부분이지만. 개인서버에서 받아야 하는부분에 대해서

극 소수만을 얻을 수 있고 관리만이 생명이라고 생각합니다.

이메일 / 암호 / 닉네임 ( 주요 받는것 )

나머지는 아이핀등을 활용 뭐 이런것이지요.

또 다른것은 트위터 등등의 연결등으로 활용하는 방안등이 있을 것 같습니다.

XE의 알고리즘을 변경하는것보다는 다른 활용방안을 찾아보는것이 보안에 좋을 듯 하여보입니다.

뭐 자기전에 글쩍이는거이는것이라서 두서없지만.. 앞으로 XE가 풀어가야 할 문제점인듯하여보이고.

현제로 다른방안을 많이 찾아봐야할 문제점이고 조금만 조심하면 될 문제인듯합니다.

라지엘님이 ≒ 다구리(물량, 쪽수)에 장사없다 는 군요 ㅎ

이런 대화에 끼는 것이 민망하지만, 서버 설정을 다룰 수 있는 부분에 접근하는 부분을 IP 보안이나 여러가지 이용해서 ㅠㅎㅎ(서버보안은 알아서 잘!) 뚫리지 않도록 가능한 조치를 잘 해주시는게 좋을 것 같아요. (md5 해시된 값도 가능한 공개되지 않도록)

그리고 일반 사용자 부분은 비밀번호를 가능한 어렵게 하도록 유도 하시는게 좋고, 일정 횟수이상 비밀번호가 틀리면, 로그인에 패널티를 주는 방식 (특수 기호를 입력하게 이미지를 준다든지, 로그인을 일정시간 못하게 한다든지, 본인 인증을 하게 한다든지 등등. 상당히 허술하지만, http://www.xpressengine.com/index.php?&mid=download&package_srl=18982205 같은 방식도 그 일부)을 사용하는 것이 좋을 것 같습니다.

무엇보다 문제는, XE의 기본 회원 모듈에는 일정 횟수 비밀번호가 틀려도 그에 대해서 어떤 방비책이 없다는거 아닐까요?.. (무한 대입 가능..)

저아는 해외 친구중에 홍콩에서 해킹하는 녀석이 있는데, 크레딧 카드부터 md5 해킹은 걍 하는것 같더라구요..
db부터 해킹하면 나머진 다 가능한듯 보입니다.

MD5가 대칭 암호화 방식이잖아요. RSA 같은 비대칭 암호화방식을 적용하는것이 어떨까요?

아무래도 오픈 소스다 보니 어떤 알고리즘을 선택해도 마찬가지 일꺼군요

번거롭지만 자기가 암호화 방식을 바꾸는 방법 밖에는...  뭐 서버 자체가 해킹 당하면 이조차도 소용없지만 암호화 알고리즘 부분 소스를 봐야 하니 그나마 해커에게 조금이나마 시간을 더 걸리게 하는 방법이겟죠

XE를 잘 사용하고는 있지만 날고 기는 해커들이 요즘은 너무 많아서 항상 암호화 알고리즘 떄문에 XE 홈페이지를 만들고도 중요한 정보는 못올리겠더라구요

왜 쌍팔년도 암호화방식을 쓰는지

넥슨 개털린 걸 보고도 사용자의 패턴이 단순한 게 문제라느니 하는 궤변이나 하고

수시로 암호 바꾸라는 말과 다를 게 뭔지?

당최 이해할래야 할 수가 없는 XE

속도 느린 단점 때문에 너덜너덜한 md5를 끝까지 안고 가려는지?

암호를 쪼개서 암호화한 다음 여러서버에 분산 저장. -ㅅ-

MD5 대신 AES !!!