비밀번호와 이메일
글쓴이: lacovnk / 작성시간: 목, 2006/05/25 - 7:44오후
이메일은 여러 메일 서버를 거칠 수도 있으며, 관리자가 "마음만 먹으면" 내용을 모두 볼 수 있는 수단이다. 즉, 기본적으로 보안과는 친하지 않은 방법이라는 것이다.
그런데 몇몇 사이트의 경우 가입 축하메일에 친절하게 비밀번호를 적어서 보내준다. 전혀 현명한 방법이 아니다.
비밀번호를 분실한 경우에 대해서는 1회용 로그인 주소를 보내고, 당장 바꾸도록 하는 것이 더 나은 방법이다. 잊을 까봐 이메일에 떡하니 보내주는 것은 "사용자의 편의성"과 "보안"의 균형의 문제가 아니라, 완전한 보안의 구멍이다.
또, 평문을 보내는 것이나, 평문의 일부를 보내는 것이나 마찬가지이다. 평문의 일부를 보내는 경우 역시 대개 *로 가려서 보내는데, 이 경우 전체 패스워드 길이를 추측할 수 있다. 맙소사.
사용하는 웹사이트들이 이렇게 허술하게 관리되고 있다는 데 놀라지 않을 수 없다. 그리고 허술한 보안 마인드도.
댓글
호스트웨이도 사이트
호스트웨이도 사이트 컨트롤 아이디와 비번을 평문으로 보내주는군요. .. -ㅁ-
May the F/OSS be with you..
----------------------------
May the F/OSS be with you..
보안의식..
보안 샘각하여 패스워드 암호화하고, 비밀번호 분실의 경우 이메일로 새 비밀번호 발급하도록 하여 서비스 운영하고 있습니다. 하지만, 사용자들의 보안 의식이 희박하여 많은 어려움이 있습니다.
"다른 사이트처럼 패스워드 이메일로 보내주세요. 이렇게 불편하면 서비스 사용하겠어요."라는 항의도 많고, "새 암호 발급할때 왜 그냥 웹에서 패스워드 보여주지 불편하게 이메일로 보내는지?" 심지어 전화해서 당장 패스워드 불르라고 하시는 분들도 계시고 --;
또, 이메일을 잘못적거나 더이상 받을수 없는경우가 너무 많이 발생합니다. 그래서 새 비밀번호 발급 절차가 정상적으로 동작하지 않아서 이럴 경우 어쩔수 없이 오프라인(주로 팩스)으로 신분증 확인을 하긴하는데, 이게 맞는 방법인지는 모르겠네요.
가입할때 질문(태어난곳, 좋아하는꽃...)과 답변을 선택하게 하여, 비밀번호 분실했을때 질문/답변을 제대로 선택하면, 암호의 첫 두글자와 길이를 웹상에서 보여주도록 하여 수동관리의 어려움을 약간 줄일수 있습니다. DB에는 md5 패스워드와 함께 패스워드의 첫 두글자와 길이를 따로 저장합니다.
--
http://mix1009.net
--
http://mix1009.net
댓글 달기