실비단안개 2008/06/16 15:30  댓글주소  수정/삭제  댓글쓰기

이래저래 여러 싸이트에 가입이 되어 있는 데요, 싸이트마다 아이디와 비번 요구가 다르다보니 비번이 대부분 다르기에 헷갈려 어떤 때는 민번까지 확인하여 비번을 다시 받는 경우가 있습니다.
자체적으로 보안을 철저히 해야지 - 원 - ;;

s 2008/06/16 15:51  댓글주소  수정/삭제  댓글쓰기

추천1

곰돌이주빵 2008/06/16 16:36  댓글주소  수정/삭제  댓글쓰기

에휴~어떡하겠어요...우리라도 단속을 해야죠...뭐...
기업이고 나라고 다~ 믿지 못 할 판이니...
저같은경우는 비번과아뒤를 포스트잇에 적어서 모니터 주위에 붙여 놨는데...
볼때마다 짜증이...나네요^^;

sen 2008/06/16 16:37  댓글주소  수정/삭제  댓글쓰기

저는 해킹사건이후로 안씁니다 그전부터 쿠폰사용안되서 전화하니 잠시뒤에 연락해주겠다고하구선 3일뒤에 문자덜렁하나 이제사용될수있다고 그때 전화해서 부모님 선물살때 쓸꺼라서 그날좀 제발해달라구

하니까 알았다구하구서는.... 암튼 전 지마켓이나 인터파크씁니다

유출당한자 2008/06/16 16:44  댓글주소  수정/삭제  댓글쓰기

유출당하고 바로 탈퇴했어요. 탈퇴하길 잘했지. 저걸 어떻게 외워 내참. ㅡㅡ^^

저기요..... 2008/06/16 16:49  댓글주소  수정/삭제  댓글쓰기

죄송한데.. 의무사항이 아니라... 특수문자를 사용할 수 있다는 거 아닌가요??? 전 대문자, 소문자, 숫자.. 이렇게 사용하고 있는데..;;; 혹시나 해서 방금 확인까지했어요 ㅋ

완전 공감~! 2008/06/16 16:53  댓글주소  수정/삭제  댓글쓰기

사용자들을 불편하게하면서까지 힘들게 비번을 만들어야하나요=_=

이런 생각 사이트 가입할때마다 했었는데

정말 속시원하게 글 잘 써주셨네요.

저는..옥션 안쓴지 꽤나 됐습니다.ㅎ

호랑이 2008/06/16 16:54  댓글주소  수정/삭제  댓글쓰기

탈퇴회원의 개인정보도 폐기하지 않고 관리합니다
다만 이용하지 않을 뿐인데 그걸 어케 믿을지,,,,

현오 2008/06/16 16:58  댓글주소  수정/삭제  댓글쓰기

저두 옥션 때문에 타사 사이트까지 모두 바꾸느라 며칠이 걸렸습니다...오래 전에 가입한 사이트는 기억이 나질 않아 아직두 못한 것이 남아있구여...옥션 하나 때문에 너무 피곤합니다. 불량 옥션 에잇!!

다이나마이트 2008/06/16 16:59  댓글주소  수정/삭제  댓글쓰기

저도 이분 말씀처럼 비밀번호 바꾸려 하니까 특수문자를 넣지 않으니 안 되어서 이상하다 생각하면서 몇 번이고 다시 해도 결국 안 되어 나중에 특수문자 포함해서 하니까 되더군요.
정말 짜증납니다.
개인정보를 보호해주려고 하는 취지는 좋지만 보다 더 근본적인 해결책을 만들어야지 이런 식으로 이용자들의 불편을 담보로 하는 개인정보 보호책은 눈감고 아웅 하는 식이라고 생각합니다.
옥션을 대체할 만한 경매사이트가 빨리 생겼으면 좋겠습니다.

어차피 탈퇴해도 2008/06/16 17:06  댓글주소  수정/삭제  댓글쓰기

개인정보 10년간 보관합니다...이번에 해킹당할때도 탈퇴한회원들의 정보도 털렸다는..

히로미 2008/06/16 17:07  댓글주소  수정/삭제  댓글쓰기

ㅎㅎㅎ 저두 옥션 비번을 바꾸긴 했는데...
이글을 보고 비번을 생각해보니... 생각이 않나네요 ㅎㅎㅎ
이런이런....

ㅄ들 ㅉㅉ 2008/06/16 17:08  댓글주소  수정/삭제  댓글쓰기

자기네들 관리가 허술해서 해킹당한걸 ㅉㅉ

웹으로밥먹고사는사람 2008/06/16 17:13  댓글주소  수정/삭제  댓글쓰기

일반적으로 생각했을때 특수문자 포함이 과하다고 생각할수도 있지만,

이부분은 그만큼 그동안 개인사용자가 개인정보나 비밀번호에 얼마나 안일하게 생각했는지의 반증이기도 합니다.


적은 갯수의 숫자 영어 조합의 비밀번호의 경우 사람들이 생각해내는 비밀번호 패턴은 생각보다 적고,
그만큼 쉽게 비밀번호가 유추될 확률이 높아집니다.


그러기에 보안이 중요한 서버의 경우 옥션의 새로운 비밀번호 정책처럼, 특수문자를 의무적으로 사용하도록 권장하는 정책을 만들어 두곤 합니다.(특수문자 몇개 이상, 총 글자수 몇자 이상, 연속되는 숫자 몇개이상 사용금지 등등 회사마다 다르긴 하겠죠)


개인들도 보안에 좀더 안전하도록 특수문자를 포함시키면 비약적으로 비밀번호의 경우의 수가 늘어나기 때문에 간단하게 비밀번호 유추당하는걸 막을수 있겠죠.


너무 편한것만 찾다보면, 정말 터무니 없을 사태가 발생할수 있는 부분이니,

이부분은 인터넷 사용자들이 보다 신경을 써야 할 문제 같습니다.


다들 아시겠지만, 비밀번호 를 영어 소문자 숫자만 찾지 마시고, 한글 문장과 간단한 이모티콘 기호등을 활용하면 기억하기도 어렵지 않고, 훨씬 보안에 강화된 비밀번호를 가질수 있습니다.

이번기회에 그런 식으로 비밀번호를 바꿔보시는것도 좋을거 같습니다.

방랑자 2008/06/16 17:17  댓글주소  수정/삭제  댓글쓰기

개인적으로 비밀번호에 특문이 들어갈수 있게 되어가는것을 선호합니다.
하지만 영어 + 숫자 + 특문의 조합이라.. 이건 좀 그렇네요;;

혼합해서 쓰는건 하고싶은 사람만 하는게 좋을텐데..
가끔 특문을 못쓰게 되어 있는곳은 비밀번호를 무엇으로 해야 할지 한참 고민하기도 하죠..;;

로또 2008/06/16 17:21  댓글주소  수정/삭제  댓글쓰기

저는 옥션 VIP 등급 입니다
와이프는 사파이어 등급이구요~
요즘은 지마켓으로 갈아타는중이네요~
서비스도 지마켓이 더 좋고 값도 싸고....
어짜피 똑같은 판매자가 옥션, 지마켓에 파는건데
지마켓은 쿠폰을 많이 주죠~
옥션은 정보 유출이나하고 vip 까지 올라가도 지마켓 이제 시작하는 단계보다
서비스가 영~ 형편없어서....

웃기네.. 2008/06/16 17:26  댓글주소  수정/삭제  댓글쓰기

지마켓은 유출이 안되었다고 생각하시는 분있으신가요? 공식적으로 발표만 안했지 지마켓도 다 유출되었습니다. 그래서 비밀번호변경하라마라.. 의무적으로 다 나오는거구요..알기나 하시는지...

동감녀 2008/06/16 17:27  댓글주소  수정/삭제  댓글쓰기

완전동감입니다!!!! 완전 소잃고 외양간 고치는 격이죠.

웃기네.. 2008/06/16 17:27  댓글주소  수정/삭제  댓글쓰기

나도 옥션 가입은 했지만 사용은 하지않아요.. 꼭 구입할게 있다면 할지 모르지만..우리나라 인터넷 싸이트는 모두 믿을게 못됩니다. 유출은 허다한 일이구요.. 서비스로 밀고 나갈때죠..많은 할인쿠폰,,참여할수있는 여러가지 이벤트등등..우리나라 보안기술도 많이 발전해서 유출이나 해킹은 꿈도 못꾸는 일이 되었으면 좋겠습니다...

시골아이 2008/06/16 17:30  댓글주소  수정/삭제  댓글쓰기

이메일 주소를 패스워드로 사용하는 사람들이 늘겠군요..
특수문자까지 넣으면 우째 다 기억하겠어요... 그런데..
abc12342@daum.net 이렇게 하면 8자 이상에 영문/숫자/특수문자 다 포함되네요..
ㅋㅋㅋㅋ
또 이거보고 따라하시는 분..안됩니다.

지나가다 2008/06/16 17:31  댓글주소  수정/삭제  댓글쓰기

옥션의 경우는 모르겠지만 일반적으로 비밀번호는 복호화가 불가능한 알고리즘으로 암호화합니다. 그래서 관리자도 변경해줄 수는 있지만 가르쳐줄 수는 없죠. 수학으로 대충 설명하자면 역함수가 존재하지 않는 함수로 계산을 한다고 보시면 됩니다.
그리고 과거에 사용했던 비밀번호는 어떻게 알고 있느냐?? 이런 경우를 생각해보시면 됩니다. 과거의 비밀번호가 123이었고 지금 비밀번호가 456이며 다시 123으로 바꾸고 싶은 경우에...
f('123') = '3534wesdf5423'
f('456') = 'ls@#wesosel6'
데이터베이스에는 암호화된 알수없는 코드만이 남게 되겠지만 123을 입력해서 동일한 연산을 수행했을 경우 동일한 결과값을 출력하기에 과거에 사용했던 비밀번호임을 알 수 있습니다.

제가 이상하다고 부분은 옥션 해킹사건의 경우 사용자의 비밀번호가 문제가 된것이 아니라 시스템 자체의 오류로 인해 발생한것입니다. 이제와서 사용자에게 강화된 비밀번호를 사용하게 강요하는것은 소잃고 외양간은 고치는데 엉뚱한 곳을 고치고 있는겁니다. 옥션은 사용자에게 부담주는 비밀번호 체계를 강요할것이 아니라 시스템의 취약성을 찾아 고치는 방향으로 일을 진행해야 할 듯 합니다.

물어 줄라니 아까비서리~! 2008/06/16 17:33  댓글주소  수정/삭제  댓글쓰기

인자와서리 들통은 났고 다 물어 줄라니 큰일은 났고 우짜겠소~!
탈퇴라도 종용 해야져~ㅋㅋㅋ!!
물어줄 법정결론 나고나면 여기저기서 난리통 한바탕 허것네~!!
어차피 손해 볼것은 소비자이것지만 ~~~~~~~~~~~~~!!

다 탈퇴해버려~~ 2008/06/16 17:35  댓글주소  수정/삭제  댓글쓰기

다 탈퇴해버리세요~~~다다다다다~옥션이든 머든..멀하든 다 유출될텐데..탈퇴하고 직접 구매하십시다!!

스가발 2008/06/16 17:38  댓글주소  수정/삭제  댓글쓰기

지네가 관리 잘못해놓고 고객한테 관리택임 덮어쒸우고 있네요
이자스드라 니네가 관리 잘못한걸 왜 고객한테 붎편을 덮어 쒸우냐 ?

이승은 2008/06/16 17:49  댓글주소  수정/삭제  댓글쓰기

옥션은 왜 먼저나서서 보상 안해주는가?

소송및 판결나기까지 시간이 많이 걸립니다. 그 와중에 일부 피해자들은 옥션 사태 잊어버리고,일부 사람들은 지쳐서 소송포기하게 됩니다. 옥션은 그걸 바라는거죠... 이런 저런 이유로 단 한명의 소송자라도 줄여서 피해보상 최소화.. 안그러냐 옥션??

푸헤 2008/06/16 17:58  댓글주소  수정/삭제  댓글쓰기

알툴바 쓰면 패스워드 기억하기 쉬운뎅..

허접 옥션 2008/06/16 18:02  댓글주소  수정/삭제  댓글쓰기

옥션 바로 탈퇴했다 .비밀번호를 옥션것만 외우고 다니나? 한심한...인터파크,g마켓등등 쌓인게 쇼핑몰이다.지들이 아주 대단한줄 아나보군.알툴바 쓰라는분도 계신데 포맷은 어찌 한다?

난천재 2008/06/16 18:04  댓글주소  수정/삭제  댓글쓰기

조심해서 나쁠거 없습니다.

미국 같은데는 대학교에서 이메일 계정 만들때 특수문자 의무 사용케 했죠.
대문자, 소문자, 숫자, 특수문자...요렇게 하면 정말 안전하죠...물론 옥션처럼 뚫리면 낭패...

암튼 한국 사이트들은 보통 소문자+숫자만 포함하게 하고, 그것도 8자리...;;;

네이버도 소문자+숫자로만 해서 제가 몇 번에 걸쳐 건의 하였음에도 쌩깠음.

옥션 일 터지자 바꿨더군요...대문자 특수문자 모두 쓸수 있게 말이죠. 길이도 16자인가 20자까지로...

암튼 전 대문자+소문자+특수문자+숫자 모두 포함된 암호를 선호합니다.

이왕 만드는거 안전하게 만들어 놓는게 나쁠거 없죠

아리랑 2008/06/16 18:05  댓글주소  수정/삭제  댓글쓰기

옥션비밀번호 몇시간을 바꾸려고해도 안되어서 꼭 하고 싶었던 경매참여를 못해서 속상했어요 아무리 해도 전부 비밀번호가 안된다고만 하니 똑똑하고 유능한 10대 자식들이 학교에서 오면 그때야 제 기능을 하는 사이트 번성하시길,,,,

참나... 2008/06/16 18:05  댓글주소  수정/삭제  댓글쓰기

옥션 자기네들이 관리 허술해서 뚫린거 가지고
사용자들 탓하는거 같아 좀 어이없고 씁쓸하고...-_-

영사마 2008/06/16 18:06  댓글주소  수정/삭제  댓글쓰기

옥션 한참 사용하다가 그 사건으로 사용안하다가
한번 들어가서 비번 바꾸려다 포기하고 껐어여..휴...
우쒸~사용안하고 만다...이러구여...-_-

dkdk 2008/06/16 18:11  댓글주소  수정/삭제  댓글쓰기

얼마전 이 문제로 옥션에 메일몇번보냈는데....성의없는답변...만-_-;; 저도 비번 변경못하겠더라구요...미칠뻔했음..지금은 포기했어요...로긴이 안되니..

dkdk 2008/06/16 18:11  댓글주소  수정/삭제  댓글쓰기

얼마전 이 문제로 옥션에 메일몇번보냈는데....성의없는답변...만-_-;; 저도 비번 변경못하겠더라구요...미칠뻔했음..지금은 포기했어요...로긴이 안되니..

옥션사기치네 2008/06/16 18:18  댓글주소  수정/삭제  댓글쓰기

옥션은 구매자의 295000원이 되는 대금 환불처리도 질질 끄는..

사기 판매자 한테 입장 표시나 하는 나부랭이들,,

IT 인 2008/06/16 18:21  댓글주소  수정/삭제  댓글쓰기

정보보안에 관심이 있고 공부를 했고 그 분야에서 일을 해본 경험상... 보안과 사용자의 편리성은 반비례의 관계입니다. 사용자가 편하면 편할 수록 보안은 취약해지고 보안성이 뛰어날 수록 편리성은 떨어집니다. 인터넷으로 은행서비스를 이용해보시면 알겠지만 정말 복잡하고 불편하죠??^^ 어쩔 수 없는 겁니다. 이번에 옥션의 이러한 조치는 다른 어떤 싸이트보다 그만큼 보안성이 향상됬다고 좋게 해석할 수도 있습니다. 고객입장에서는 불편하지만 .......

옥션 탈퇴할때요 2008/06/16 18:23  댓글주소  수정/삭제  댓글쓰기

저는 이번일로 탈퇴하려고 하니 , 무슨 e머니식으로 8천원정도가 되있다면서 그걸 지불하지않으면 탈퇴할수없다고 나오더라구요 ,
저는 외상으로 무슨 물건을 산 적도없거니와 , 물건을 옥션에서 팔아본적도 없는데 ,
전화도 불통이고 , Q&A게시판에 질문남겨도 돈내라는 말만 반복이네요 ,

물건팔려고 등록을 했었다고해도 올릴당시 무조건 무료로 올라가는것으로만 했었거든요 ,
갑자기 외상값이있다며 지불하라고하니 ,, 어의가없을뿐,, 돈이있다는 문자나 어떠한 통보도 못받았었어요~

글쎄;;;;;;; 2008/06/16 18:27  댓글주소  수정/삭제  댓글쓰기

기자님이 한번고소 당해보시면

왜그런지 알수 있을듯..ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

ㅁㄴㅇㄹ 2008/06/16 18:28  댓글주소  수정/삭제  댓글쓰기

저는 e머니가 23원 남았는데 탈퇴는 안되고 꼭 빼가야 한다면서 계좌번호를 요구하네요 -_-;;

로망롤랑 2008/06/16 18:32  댓글주소  수정/삭제  댓글쓰기

구매한 게 있어서 물품수령 확인버튼 눌러주러 갔는데...비번까먹어서 ㅎ 마지막 특수문자 땜시 헷갈려 죽겠네요 ~~

쿠링 2008/06/16 18:40  댓글주소  수정/삭제  댓글쓰기

특수문자라고 어렵게 생각하지 마세요, ,


비밀번호를 만약에, 한글로 쳐서 (영구와 땡칠이) 라고 정했으면, 영구와!땡칠이^^ 이렇게 바꿔도 특수문자가 무려 3개나 들어가는 겁니다.

우습네요 2008/06/16 20:13  댓글주소  수정/삭제  댓글쓰기

1211로 하든 특문##@#을 넣든 결국 0하고 1로 이루어진 컴터세상인데
옥션은 서버가 털렷잖아요?
개인이 아무리 보안잘해봐야 서버가 털리는데 아무런의미가없는거죠..
비번털리고 아니고가 문제가아니져
집주소 은행계좌까지 털리는마당에 먼 비번이중요하나요????
(옥션에서 집주소부터 구매내역,계좌까지 몽땅털린 1인)

옥션 없어져야해 2008/06/16 20:32  댓글주소  수정/삭제  댓글쓰기

한마디로, 니들 잘못이라 이거죠.

반성은 안하고.. 열받아서
진짜.....

비번으로 특수문자 요구하는 거는
니들이 비번 잘못했는데,, 왜 소송걸어?
이말이잖아..

한산 2008/06/16 20:34  댓글주소  수정/삭제  댓글쓰기

그래, 생각난 김에 옥션해지하자.

비번유출대책이소비자몫? 2008/06/16 20:40  댓글주소  수정/삭제  댓글쓰기

나두 왕짜증나서 비번을 안바꾸고 있음.
아니 바꿀수가 없다해야 할 것임.
업체의 자체 보안 강화를 계속해서 연구하고 업데이트해야지
사용자에게 부담시키는건 비겁하다 해야할 것임.
이건 뭐 비밀번호로 숫자 문자 포함 100자 이상써라 뭐 이런것과 비슷한 것임
한마디로 말도안되는 짓거리임
그래가지고 비번 안바꿔서 사고나면 책임 덮어씌울 목적인 것 같음
비열.....

옥션 이용 안함 2008/06/16 20:43  댓글주소  수정/삭제  댓글쓰기

구매하고자 하는 물건이 옥션에서 아무리 제일 싸게 팔아도 더 이상 옥션 이용 안함

탈퇴 해지는 하지 마세요~!! 2008/06/16 20:49  댓글주소  수정/삭제  댓글쓰기

탈퇴 해지해도 손해는 있읍니다~!
님들의 정보가 유출 되지 않은것이 아니라 항상 유지 보관이 되어 있지요~!!
언제 까지?~!! 글쎄요~!! 옥션이 문서죽임작업을 끝낼때 겠죠~!!
그러니 어차피 빠진 늪이라면 대적 해야죠~!!
옥션 피해자 모임이라는 블러그인지 싸이트인지 뭔지는 잘모르지만 ~!
문을 두드리세요~!!
그래야만 쓸데없는 오해나 피해를 당하지 않겠죠~!!
님들의 판단이니 알아서 행동 하시길~~~~~~!!

성달 2008/06/17 00:12  댓글주소  수정/삭제  댓글쓰기

한번 사용한 비밀번호 다시 사용못하게 하는데서 옥션을 절대 사용하지 말아야 한다는 결론이 바로 나옵니다. 비밀번호 리스트를 보유하고 있다니.. 말이 안되지요. 그따위로 관리를 하니까 해킹이나 당하는 겁니다. 옥션은 다시 사용할 생각도 없고 사용해서도 안된다고 봅니다.

비번 2008/06/19 09:36  댓글주소  수정/삭제  댓글쓰기

사용자들의 과거 패스워드를 저장하는것은 패스워드 이력관리라 부르는 대부분이 사용하고 있는 보안장치 중의 하나이죠~보관되는 과거의 패스워드는 암호문의 형태로 저장되며 사용자가 새로운 패스워드를 생성할 때 암호문자열을 생성하여 과거에 사용되었던 패스워드의 암호문자열과 비교해 봄으로서 재사용 여부를 알 수 있게 하는건데..이런 방법은 마이크로소프트 등에서도 실행하고 있는 방법이죠~그리고 옥션이 지 아무리 똑똑하다 하더라도...저 방법은 패스워드 확인 외에 다른 용도로는 사용 못합니다.. 요즘 피씨방이니 은행이니 머 어디가든 인터넷 접할 수 있는데..어떻게 보면 더 노출될 수 있는 상황이 많잖아요~그렇게 따지면 패스워드 재사용 금지 해놓는게 나은거죠..

공감 2008/08/13 16:33  댓글주소  수정/삭제  댓글쓰기

정말어이없어서. 비번좀바꾸려니까 특수문자를넣으라는데 별을넣고 느낌표넣고 하려는데도 안되고. 짜증지대로네요. 특수문자막넣으면 왜우기이만저만힘든게아닌대.

실비단안개 2007/12/31 12:48  댓글주소  수정/삭제  댓글쓰기

모두가 상직적으로 살아가면 좋을텐데요 -
2007년 한해동안 수고하셨습니다.
2008년는 한글로님의 외침이 작아지기를(오해는 마시구요, 지적해야 하는 일들이 적어지기를 - ㅎㅎ)
바라며, 큰메아리를 기대합니다.
건강하시구요 - ^^

퍼즐맞추기 2008/01/01 12:40  댓글주소  수정/삭제  댓글쓰기

대한민국 제1호 억대 프로블로거 후보 한글로 님, 새해 복많이 받으시길...

코끼리엘리사 2008/01/05 00:19  댓글주소  수정/삭제  댓글쓰기

조금 떨어지는 소리가 됩니다만 확실히 현재의 한국은 개인정보를 너무 싸게 취급하죠.
요전에 모 고가의 수도권 아파트에서 엘레베이터에 서명운동이라는 명목으로
주민들의 이름, 호수, 전화, 주민번호를 적어 게시해둔걸 보고 쓰러질뻔한 적도 있습니다. -ㅁ-
정보를 자꾸 공개하게 하고서 막으라고 하기보다 애초에 적게 공개하는 게 나을텐데 말이에요

trendon 2007/03/02 03:29  댓글주소  수정/삭제  댓글쓰기

보안은 중요한 거죠.

Lemon- 2007/03/02 03:37  댓글주소  수정/삭제  댓글쓰기

왠지 무섭군요.. =_=
저도 하나의 비밀번호로 모든 계정을 사용하고 있는데..

알쯔 2007/03/02 03:40  댓글주소  수정/삭제  댓글쓰기

웹페이지 개발자로서 일해본 경험으론 대다수의 클라이언트가 패스워드 암호화를 원치않습니다.
개발자는 돈주는사람이 시키는데로 패스워드 암호화를 시키지 않고 개발하구요
클라이언트가 왜 암호화를 원하지않는지 정확히는 모르겠지만...

고객왈 : 사이트 암호 잃어버렷어요
상담원 : 저희사이트는 암호가 암호화되어 어쩌고 저쩌고
고객왈 : 아씨 무슨말인지 모르겠으니깐 그냥 암호나 알려줘요-

요런상황이 워낙 빈번하다보니 그런것이 아는듯 합니다.
먼저 유저부터 보안의식을 가져야하지않을까하는...

음 2007/03/02 06:50  댓글주소  수정/삭제  댓글쓰기

MS 쪽이 암호화가 더 허술하다는건 말이 안되구요. 리눅스나 유닉스의 경우 기본 설정일경우 특정 폴더에서 (리눅스/유닉스) 사용자 계정의 암호를 다 볼수있습니다. 보안을 위해선 이 폴더를 없애고 다른 폴더(root만 접속가능한)에 암호를 보관해야되구요. 최신 배포판들은 기본적으로 이런 방식을 제공하는 경우가 많지만, 오래된 배포판들은 대부분 안되있습니다. 솔직히 말해서, 리눅스에 대해서 아주 잘 아는 경험많은 관리자가 관리하는 서버가 아닌이상 윈도서버보다 훨씬 더 쉽게 뚫을수 있습니다. 한 1년 정도 꾸준히 시도하면 root 권한 확보한 리눅스 서버 수천개정도 얻는건 간단합니다.

그리고 APM 환경의 암호화라는게 전부 MySQL 인크립션을 기반으로 하는 암호화인데.. 이건 일단 데이터를 얻었다면 시간이 좀 오래걸리긴 하지만 푸는건 그리 어렵지 않습니다. 그리고 MS-SQL이나 Oracle도 암호화는 다들 기본적으로 제공합니다. MySQL보다 더 강력하구요. 다만 윗분이 말씀하셨다 시피 클라이언트 측에서 빼자고 요구하니까 애초에 개발할때 그걸 사용하지 않도록 하는것뿐입니다.

마지막으로 제로보드는 아예 보안쪽으론 가능성이 없는 보드입니다. 최신인 pl8 버전도 어렵지 않게 방법을 찾아서 크랙할수 있습니다. 제로보드보다 훨씬 더 전세계적으로 유명한 phpBB도 마찬가지구요. PHP 자체가 근본적으로 취약합니다. 오픈소스 프로젝트들은 거의 모두 trac을 유심히 살펴보기만 해도 바로 최신버전에 대한 크랙방법을 얻을수 있습니다. 오픈소스가 아닌쪽들은 비교적 정보를 얻기 어렵기 때문에 최신 버전에 대한 크랙방법을 획득하기 어렵습니다.

미디어몹 2007/03/02 09:32  댓글주소  수정/삭제  댓글쓰기

한글로 회원님의 상기 포스트가 미디어몹에 링크가 되었습니다.

CN 2007/03/03 12:57  댓글주소  수정/삭제  댓글쓰기

피싱은 서버단에서 패스워드를 변형해서 저장하느냐 여부와 상관없습니다. 클라이언트에서 서버단까지 변형되지 않고 전달되면서 가짜 사이트를 검증하지 못한다면 피싱은 가능합니다. 현재의 HTTP에서는 이 부분을 해결할 방법이 마땅치 않습니다.

그리고 보통 패스워드를 저장하기 위해 사용하는 MD5와 같은 방법들은 암호화가 아니라 "해슁"입니다. 해슁되어 나온 값이 전부 다른 경우를 완전 해슁이라 부릅니다. 이론적으로 완전 해슁은 존재하지만 MD5와 같이 일반적으로 사용되는 해슁 함수에서 완전 해슁을 기대하기 힘듭니다. 즉 MD5를 걸쳐서 나온 값, 즉 해슁 값이 동일한 경우가 존재합니다. 실제로 DB에서 MD5를 확인한 경우 그 사용자가 가입한 다른 사이트에 모두 "로그인" 하는 것이 가능합니다. 왜냐하면 사용자가 만든 패스워드와 동일하지는 않지만 같은 해슁 값을 가진 패스워드를 단순 반복 대입으로 찾아낼 수 있습니다. 게다가 이 단순 반복 대입 결과를 정리하여 DB로 제공하는 사이트들이 있습니다. 이 사이트를 이용하면 호환되는 패스워드를 5초 내로 찾아낼 수도 있습니다.

어떻게 되었든 DB가 공개되기만 하면 어떤 방법으로도 사용자의 계정이 위험한 것입니다.

또한 한 익명 유저는 리눅스의 보안에 대해 이야기한 분이 계신데 전 레드햇 이전의 슬랙웨어에서도 해당 문제를 경험하지 못했습니다. 대체 어느 시대를 말씀하시는 것인지 의문이 드는군요.

함수를 mysql의 것을 이용한다는 것도 예전 이야기입니다. 제로보드나 PHPBB과 같이 낡은 애들이 아니면 최근에는 거의 PHP에 종속된 md5 함수등을 사용하고 있습니다. 사용하는 알고리즘이 md5라는 확신이 있고 mysql등의 db버전에 영향을 받지 않으며 심지어 rdbms를 바꿔서 사용하는데도 문제가 없기 때문입니다.

한글로 2007/03/03 13:33  댓글주소  수정/삭제  댓글쓰기

* 2007년 3월 3일 * 올블로그 어제의 추천글에 올랐네요. ^^ 어쩐지 많이들 오시더라.. ^^ 고맙습니다.

점프컷 2008/04/18 14:42  댓글주소  수정/삭제  댓글쓰기

동감합니다. 현재 가장 시급하게 보완해야 할 부분입니다. 이건 아예 제도화 시켜서 패스워드 암호화를 의무규정으로 만들어야 합니다. 그럼 모든 사이트에서 암호화를 할테니 사용자들이 단기간에 학습할 수 있구요. 아울러 주민등록번호를 요구하지 못하도록 이 문제 역시 제도화 시켜야 합니다.

한마디로 기형적인 인터넷 문화이 한 단면입니다. 글로벌 서비스같은 경우는 주민등록번호 없이도 잘만 사용할 수 있고, 비밀번호 암호화 안시키는 곳은 찾아보기 힘들죠. 기본으로 돌아가야 합니다. 그러기에너무 멀리온듯한 느낌도 들지만 항상 편리한 것만 찾다가는 언제까지 이런 문제를 해결하지 못하죠.