가입 후 이메일로 비밀번호를 전송하는 것

rekko의 이미지

안녕하세요 예전부터 kldp에서 훌륭한 분들의 좋은 글과 강좌를 잘 읽어온 유저입니다.

뒤늦게 kdlp에 가입하였는데, 가입 후에 이메일로 비밀번호가 그대로 적혀와서 깜짝 놀랐습니다.
지난 번에 A모 보안업체에서도 이런식으로 메일이 와서 충격이었는데...

이게 보안상 괜찮은 건가요? 아니면 그냥 제 선입견(?)일 뿐인가요?

snowall의 이미지

그렇게 되면 rekko님 계정에 한해서 kldp의 보안 수준이 이메일 자체의 보안과 같아지겠죠.

이메일을 누가 보지 않는 한 안전합니다. (당연히.)

그런데 요즘 국내 이메일 업체들은 암호화를 안하고 있었더군요. gmail은 언제부터인지는 모르겠지만 암호화할 수 있는 옵션을 제공했고요. 곧 국내 이메일 업체도 암호화를 지원한다고 합니다. 어쨌든, 이 부분의 암호화가 안되어 있다면 이메일을 열어볼 때 누가 가로채 갈 수는 있겠죠.

보안이 걱정된다면 계정이름과 암호를 사이트마다 모두 다르게 사용하면 더 좋습니다.

피할 수 있을때 즐겨라! http://melotopia.net/b

planetarium의 이미지

그것보다도, 평문이 전송된다는 점에서
"이거 복호화 가능하게 or 암호화 없이 저장되어 있는것 아닌가" 라는 걱정을 하게 만드네요.

황병희의 이미지

방금 테스트해보니
비밀번호를 보내주는게 아니라
기존비번을 초기화후 임시로그인 주소를
메일로 보내주다라구요
그래서 임시로그인후 비밀번호를 재설정했어요

이런방식이라면 괜찮지 않나요^^?

--
^고맙습니다 감사합니다_^))//

planetarium의 이미지

비밀번호 찾기가 아닌 신규가입시에 해당 문제가 있는것 같습니다.
비밀번호 찾기때 평문이 오면 걱정이 아니라 확신이죠...;;

kirrie의 이미지

가입 프로세스 가운데 이메일을 디비에 저장하기 전 일회적으로 보내는게 아닐까요? 잊지 말라고.

--->
데비안 & 우분투로 대동단결!

planetarium의 이미지

그래서 "걱정" 이라고만 썼습니다... (어쩌다보니 동어반복이지만 짜증내고 있는건 아닙니다)

그 말씀이 맞더라도 별로 좋은 정책은 아닌것 같습니다. 보안 관계에 의존성? 을 걸어버리는다는게,
"사이트마다 다른 비밀번호를 사용해서 한꺼번에 뚫리는 일을 막아라" 라는 기본 원칙을 무효화시키는 거니까요.
비밀번호 되찾는 방법에 큰 비용이 드는것도 아니고요.