개인정보 보호 썸네일형 리스트형 비밀번호의 길이를 제한해선 안 된다. (feat. 네이버) 1. 비밀번호 길이를 늘리자 일전에 안전한 비밀번호의 기준에 대해 포스팅(#1, #2) 한 바 있다. 물론 내가 따로 수행한 연구는 아니고 NIST의 가이드를 인용한 것에 불과하지만 국내 보안 담당자들이 참고했으면 하는 부분이다. 영세한 사이트들이야 그렇다고 치더라도, 일부 대형 커뮤니티 / 온라인 상거래 / 포털 사이트에서도 아직까지 비밀번호를 말도한되는 짧은 길이로 제한하는 경우가 있어서 이렇게 부득이 사이트명을 밝히며 제언을 한다. 16자는 말도 안되게 짧은 길이이다. 이렇게 되면 안전한 비밀번호를 사용하고 싶어서 긴 비밀번호를 사용하는 사람은 네이버만을 위한, 상대적으로 취약한 짧은 비밀번호를 새로 고안해내야 한다. 이 부분은 반드시 개선되어야 한다! 2. MFA 인증을 다양화하자 그리고 이건 '.. 더보기 데이팅 서비스(소개팅 앱) 필수 보안 점검 사항 - 운영자 & 이용자 필독! 최근 한 온라인 데이팅 서비스(소개팅 앱)에서 해킹을 당한 것이 보도되어 이슈다. 이번 이슈가 중요한 것은 유출 가능성이 있는 개인정보들이 극도로 민감한 정보라는 점이다. 언론 보도에 따르면 해당 앱은 자격 심사를 위해 공적인 서류 등을 제출받아 보관한 것으로 알려졌으며 선정성이 높은 익명 게시판을 운영하였다는 것이다. 그리고 유저들은 자신의 프로필과 공적인 서류, 자신이 작성한 게시물 등이 연계되어 악용되지 않을까 하는 사실을 가장 두려워하는 상황이다. 사실 개인정보 보호 관련 업무를 수년간 해오면서 개인적으로 가장 위험하다고 생각했던 서비스가 바로 결혼정보업이나 데이팅 서비스였기 때문에 결국 터질게 터졌다 싶었다. 둘 다 회원들의 사진을 비롯하여 해커들이 정말 팔아먹기 좋은 실명 기반의 상세한 프로필.. 더보기 패스워드가 유출됐지만 일방향 암호화되었으니 안전할까? 최근 모 대기업에서 운영하는 서비스에서 개인정보가 유출되어 올라온 공지사항이다. 특정 기업을 비난하고자 하는 것이 아니므로 기업명은 제거하였다. 과연 비밀번호가 일방향 암호화 되어 있으니 유출되어도 안전할까? 일방향 암호화는 유출시에 피해를 최소화하기 위한 목적으로 한다고도 볼수 있다. 하지만 말 그대로 피해를 최대한 방지해보기 위한 것이지, 이를 통해 안전이 보장된다고 보는 것은 조금 다른 이야기이다. 아래는 다소 기술적인 내용이 포함되어 있으나 컴퓨터공학과 학생 정도면 쉽게 읽을 수 있는 수준이다. 당신이 IT와 관계없는 일반인이라면 그냥 가장 아래쪽의 결론만 읽으셔도 무방하다. 1. 일방향 암호도 뚫린다. 일방향 암호에 사용되는 해시는 복호화가 불가능한 구조로 되어 있지만 그렇다고 해시를 통해 내 .. 더보기 이전 1 다음
