그누보드 비밀번호 암호화 방식 어떻게 해야할까요? 정보
그누보드 비밀번호 암호화 방식 어떻게 해야할까요?
본문
최근 정보유출 문제가 있는데, 제가 관리하는 사이트도 털렸습니다.ㅠㅠ
문제는 암호와 주민등록번호까지 털렸다는것이구요.
며칠간 온몸에 힘이 쫘악 빠지고 일이 손에 안잡힙니다.
password 함수로 암호화가 되어있다고 하지만,
mysql4의 암호화 방식이 sha-1 을 중복 적용한거라서 프로그램만 돌리면
주민등록번호같은경우는 몇십초이내에 떨어질것이고,
비밀번호같은경우 4자리 정도도 1분이내 풀릴듯합니다.
현재 그누보드 상황을 냉정하게 정리해보자면
1. 회원암호는 mb_password 에 저장되어있고, mysql password() 함수로 암호화 되어있다.
2. 해킹이 되어 DB가 유출될경우 아이디/이름 비밀번호 등이 유출되고
비밀번호도 간단한 수준은 풀릴수 있다.
해킹이 되었다고 간주하고 좀 복잡하게 만들려면 다음처럼 해야할듯합니다.
1. 한개의 회원테이블을 몇개로 나누자. (이것도 합치면 그만이겠지만.. 일단 그래도 분리를..)
예) 아이디등 기본정보/ 이메일,주소,연락처등 정보 / 최종접속용 접속기록정보테이블 / 암호 저장 전용테이블
2. 암호화 방식을 password() 이외 사이트 마다 고유방식으로 한번더 암호를 걸자
해커들이 가지고 있는 기본 역암호화 프로그램으로는 추출이 안되게 하자.
- - - - - -
진짜 좋은 방법은 이바닥을 뜨는것인데... 그래도 힘내야 겠지요... ㅠㅠ
추천
0
0
댓글 7개
헉.. 주민번호까지.. 심각하네요...
제 사이트는 그누보드 쓰지만 암호화는 각기 다른방식 5번 돌립니다.
저는 비밀번호는 md5 로 해버립니다.
password(password( 그냥 두번 쓰세요.
저는 md5(나만아는고유코드+md5()) 정도로 합니다.
앗 그보다 오랜만에 뵈어요!
앗 그보다 오랜만에 뵈어요!
저 암호화 알고리즘 특허 있는데 사실래요??? ^^;;; 장난입니다. 보통 md5와 key 조합으로 하지 않나요???
저도 자체 암호화 루틴은 사용하고 있는데요. DB에서 저장된것은 그냥 password 만 걸어서 사용한게 후회됩니다,
알찬돌삐님처럼 password 한번더 걸거나 다른 방식으로 한번더 거는것도 좋을듯합니다.
알찬돌삐님처럼 password 한번더 걸거나 다른 방식으로 한번더 거는것도 좋을듯합니다.
