어이 없는 이메일 한통

totohero의 이미지

소비자보호원 홈페이지에 가입을 하니까 가입시 입력했던 gmail계정으로 가입을 환영한다는 메일이 왔더군요.

가운데 커다랗게 새로 발급받은 아이디와 함께 암호!까지 떡하니 써서 말이죠. 휴우...

이메일 전송 과정에서의 보안은 물론이고, 소보원 서버에도 제 아이디가 텍스트 그대로 떡하니 존재한다는

얘기겠죠? 몇몇 싸구려 인터넷 쇼핑몰만 이러는 줄 알았는데...

아니면 제가 모르는 어떤 프로세스에 의해, 이렇게 암호 적힌 메일이 와도 보안상 문제가 없을 수 있는 것일까요?

익명사용자의 이미지

해당 메일계정 관리자들은 비번을 알아보겠지요?
근데 많은 사이트에서 저런식으로 비번을 보내주지 않나요?

feanor의 이미지

비밀번호를 생성해서 해시를 저장한 다음 텍스트 비밀번호를 보내주고, 확인한 다음 바로 비밀번호를 바꾸라는 뜻이 아닐까요? 전혀 이상해 보이지 않습니다만...

totohero의 이미지

적어도 처음 보내주는 텍스트 비밀번호를 얻게 되는 가상 해커와 본인 사이에 레이싱 조건이 발생하겠죠. 비밀 번호를 바꾸라는 언급이 있는 것도 아니더군요. 비밀 번호가 해싱되고 바로 날아가지 않고 여러 프로세스를 거쳐 저한테 메일로 오는 과정에서 어디 어디에 남아 있을지도 모르고요.

hey의 이미지

가입 시에 한 번만 보여주는 경우죠. "이 비밀번호는 암호화되어 저장되어 다시 알아낼 수 없으니 잘 보관하시기 바랍니다" 이런 내용을 같이 보내주지요. 저 경우가 그런 경우인진 모르겠지만요..

May the F/OSS be with you..



----------------------------
May the F/OSS be with you..


lacovnk의 이미지

문제있다고 생각합니다. 예전에 쓴 글을 인용합니다.

Quote:

이메일은 여러 메일 서버를 거칠 수도 있으며, 관리자가 “마음만 먹으면” 내용을 모두 볼 수 있는 수단이다. 즉, 기본적으로 보안과는 친하지 않은 방법이라는 것이다.

그런데 몇몇 사이트의 경우 가입 축하메일에 친절하게 비밀번호를 적어서 보내준다. 전혀 현명한 방법이 아니다.

비밀번호를 분실한 경우에 대해서는 1회용 로그인 주소를 보내고, 당장 바꾸도록 하는 것이 더 나은 방법이다. 잊을 까봐 이메일에 떡하니 보내주는 것은 “사용자의 편의성”과 “보안”의 균형의 문제가 아니라, 완전한 보안의 구멍이다.

또, 평문을 보내는 것이나, 평문의 일부를 보내는 것이나 마찬가지이다. 평문의 일부를 보내는 경우 역시 대개 *로 가려서 보내는데, 이 경우 전체 패스워드 길이를 추측할 수 있다. 맙소사.

사용하는 웹사이트들이 이렇게 허술하게 관리되고 있다는 데 놀라지 않을 수 없다. 그리고 허술한 보안 마인드도.

http://kldp.org/node/70568

평문으로 암호가 적힌 이메일을 받아서, 이메일로 따진 적이 있습니다. 그랬더니 한번 보내고 암호화되서 알 수 없으니 문제 없다고 당당히 말하길래 어이 없어서 쓴 글입니다.

1day1의 이미지

수동 트랙백 : http://kldp.org/node/73818

F/OSS 가 함께하길.. (F/OSS서포터즈 : [[FOSS/Supporters]], [[FOSS/Supporters/Group]]) - 블로그 활성화 프로젝트 : 하루에 하나씩 블로그 글 남기기 -

F/OSS 가 함께하길..