포럼
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
비밀번호 암호화? 방식 관련
2012.01.12 10:20
그냥 한번 정리 해봤습니다.
1. SHA1
MD5와 마찬가지로 빠른 연산이 가능한 GPU로 대입하는 툴이 많아, 대안은 되지 않음.
2. Special Character 추가
좋은 방법일 수는 있지만, 어디엔가는 이 "Special Character"가 ./files 에 저장이 되어야 하는데, 보안상 더 안좋을 수도 있음.
또 마이그레이션은 어떻게?
3. Secret Key 기반 암호화, RSA 포함
2)와 마찬가지로 Secret Key가 어딘가는 저장되어야 하고, 마이그레이션에 대한 답이 없음.
4. 이중, 삼중 암호화
현실적인 방법이 될 수 있겠으나,
소스가 공개되어 있기 때문에 대입형 툴로 충분히 비밀번호를 획득할 수 있음.
sha* + md5 + .... 몇번을 어떻게 하더라도, 처음 입력되는 비밀번호의 해쉬값임.
5. 1.6에서 추가되는 SNS 로그인 방식만 사용 한다면, 비밀번호 해쉬값은 DB에 없음 :)
(대안이 아닌 유머로...)
기타 더 좋은 방법도 있겠지만,
설치형인 XE의 제약이 생각보다 많습니다.
어떤 방법을 사용하던지, DB가 외부 노출되는 것을 방지하는 노력과 함께 해야할 것 입니다.