SK컴즈 정말 암호화가 MD5??
PHP 제작의뢰 란을 보다가 다음 사이트를 알게되었습니다.
php 소스로 되어 있는데. 소켓접속을 이용하여 네이트온 문자를 보낼수 있습니다.
2009년도에 포스팅된걸로 보아 그때 이방식이 가능했다는 얘기인데요..
사용자 인증 토큰을 가져올때, 암호화 방식이 MD5 입니다. -_-
$result = sendMessage($fp_con, "LSIN 4 ".$loginMail." ".md5($password.$loginId)." MD5 3.871 UTF8");
물론 DB 서버에 저장된 암호화키는 다를것입니다.
그러나 db에 저장한 사용자 패스워드가 역암호화 방식으로 저장되지 않았다면, 위의 코드는 불가능합니다.
역암호화하여 평문 password를 추출해야 다시 md5로 만들어서 비교가 가능하기 때문입니다.
여기서 문제는 사용자 암호를 역암호화가 가능한 방법을 쓰는것 자체가 문제가 됩니다. 유출되면 역암호화가 되기 때문이죠. (내부자가 db 덤프뜬뒤에 역암호화 로직만 알면 끝나니까)
아시다시피 mysql의 사용자 암호도 역암호화방식은 안쓰잖아요. 그누보드도 역암호화 방식 안 씁니다. 이건 쓰면 안된다는걸 누구나 알기 때문이죠.
이런저런 추론을 해본다면, 2009년까지 네이트온 암호는 md5였을거란 생각이 듭니다.
(유출당시는 md5가 아니었겠죠?? 그쵸??)
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 6개
위의 소스를 보면 회원마다 다르긴 하지만, 일관성이 있습니다. 바로 회원아이디입니다.
유출데이타에 회원아이디도 유출되었죠. 헐..
<<< PC통신에서는 8자까지만 아이디가 가능했죠 >>>
다른 웹사이트 회원가입은 10자 이상 지원되는 아이디를 사용해서
중복되는 아이디가 단 한개도 없네요.
그나마 다행이라고 해야겠죠....
암호화 방법중에 회원 아이디를 이용한 방법이 있었던거 같은데...
아마 그쪽이 유력하지 않을까 한다는...
그외에 필드라고는 실제 가입일 정도나 .... 고유한 키값일텐데...
회원마다 다르다 -_- 이 두개 이외엔 크게 생각이 안나는것이...