포럼
암호화에 관해서 읽어볼 만한 글
2013.07.17 13:10
댓글 11
-
리크스
2013.07.17 13:21
md5는 취약점이 있지 않나요? 그래서 파일 무결성 검사 등에서만 쓰인다고 알고있는데..
sha1을 사용하려면 어떤 옵션을 건드려야 하나요?
-
2-COIN
2013.07.18 19:04
member.class.phpusesha1 = true // 기본 값 false위와같이 변경하시면기본 md5() 적용에서변경 md5(sha1(md5())) 적용으로 바뀝니다. -
Lansi
2013.07.18 19:27
sha1(md5())까지만 해도 좋을 거 같은데
다시 md5를 쓰네요... 길이 때문에 그런가
-
2-COIN
2013.07.18 19:32
sha1하고 md5하고 길이가 다릅니다.
그래서 db 길이만 보고서도 어떤 해쉬인지 대충 파악이 가능할 수도 있습니다.
그런 이유로 md5로 재해쉬를 한 것 같다는 생각이 듭니다.
그런데... 일반 회원가입 가능한 사이트에서는 이게 별 의미가 없습니다.
해커가 회원으로 가입하면서 단순한 패스워드로 저장을 하고 db를 털면
무슨 방식인지 쉽게 파악이 가능하기 때문입니다.
그래서 salt 가 필요한 것이기도 하구요.
-
똑디
2013.07.17 15:55
이번에 테크노트에서 회원정보 이전하면서 암호화 때문에 애를 좀 먹었는데... 좋은 내용이네요.
지식이 얕아서.. 그래도 단방향 해시 함수를 보완하는 형태로의 변화가 필요할것 같긴 하네요.
-
콜롬보.
2013.07.17 17:08
패스워드는 암호화 기술 문제보다는,
사용자가 자신이 사용하는 패스워드를 간단하게 만들었기 때문에 풀리는 경우가 거의 대부분입니다.
추측하기 쉬운 패스워드는 위에서 나열된 어떠한 암호화 기술을 사용해도 반드시 풀립니다.
현재 일반적으로 사용하고 있는 패스워드 암호화의 기술은 충분히 견고하기 때문에
사용중인 암호화 기술보다는 개개인 자신이 사용하는 패스워드를 어렵게 만드는데 더 관심을 갖는 것이 훨씬 유용합니다.
-
똑디
2013.07.17 17:58
맞는 말씀이십니다. 영어,숫자,특수문자 조합으로 구성을 하면 풀기 힘들지요.
-
컴토피아
2013.07.17 18:03
콜롬보님 말씀 동감합니다. 현재 MD5도 풀리는게 대부분 암호가 쉬워서 풀리는 경우가 많습니다. 그리고 MD5 자체결함보단 그냥 그 방식이 오래되어서 사전이 많은 것 뿐이고요. 조금만 신경써서 어렵게해주면 MD5라해도 풀리지 않습니다.
물론 높아지면 좋겠지만 그렇다고 막 높일수도 없는게 XE 권장사양이 막 게임 PC정도급의 풀사양 이래되면 곤란하잖아요? 암호화 기술을 높이는만큼 서버 사양도 높아져야 하는게 고려되어야 합니다.
차라리 비밀번호를 처리하는 UI 쪽을 손본다면, 예를들면 예전엔 없었지만 최근에 추가된 동일 IP로 몇분동안 몇회 시도시 차단이라던지 이런 부분을 개선하면 충분한 효과를 볼 수 있다고 봅니다. 즉 가성비(?)가 상당히 높은 방법이죠.
예전에도 관련한 의견이 오갔던 적이 있습니다.
http://www.xpressengine.com/userForum/20429409
[PS] 그러고 보니 이 글도 콜롬보님 글이군요 :)
-
PC정도급의 풀사양 이래되면 곤란하잖아요?
ㅋㅋㅋㅋㅋㅋㅋㅋ
-
2-COIN
2013.07.18 19:26
제 생각은 이렇습니다.
회원 스스로 지켜야 할 보안수칙이 있고,
사이트(서버) 운영자가 지켜야 할 보안수칙이 있습니다.
각자가 서로의 영역에서 보안 수칙을 잘 지켜 행하도록 노력해야 할 것입니다.
여기 회원들은 대부분 운영자들일 것이니 회원의 수칙에 대해("암호 길게 해라") 말할 필요는 없을 것 같구요.
운영자의 수칙을 잘 지키고 있는가에 대해 고민해보시는게 좋을 듯 합니다.
"암호만 길게 하면 md5라도 문제 없으니, 내 할일은 다 했다"는 자세는 과연 옳바를까요?
sha1을 사용하실수 있는 옵션은 있긴있습니다.