비밀번호 암호화를 좀 더 복잡하게 만들고 싶습니다.
본문
기존에 운영하던 사이트는 혼자서 쓰는거라 털리던 말던 상관없어서 그냥저냥 지냈는데
새로 운영하려는 사이트는 보안에 조금 신경을 쓰자는 생각이 들어서 암호화를 강화하고 싶습니다.
새로운 암호화 매커니즘을 집어넣는건 너무 어려울거 같고 기존 암호화함수를 한번 더 돌리면 더 어려워진다고 들었는데 어떻게하면 되나요?
답변 3
새로운영하는 사이트를 정보보호를 강화하기 위해서는
단순히 기밀성만 높이는것이 아닌 사이트 전반적인 부분의 개선이 필요합니다.
해시알고리즘은 md5 , sha2 정도면 충분합니다.
md5로 비밀번호를 저장하시면 됩니다.
사이트를 owasp 보안 가이드 기준으로 준수하시면 비교적 안전하겠습니다.
owasp 보안가이드 자료
보통 그래서 기존 암호화에 salt를 걸죠
솔트 즉 소금한번더 친다 입니다 기존 암호화된거에 +1같은 임의의 숫자를 더해서 더 복잡하게 하는 거죠
뭐 이런 방법도 있고 암호화가 중요하긴하지만 또 이것만이 보안에 대한 방법이 아닙니다
보안이라는것은 저장한 데이터에 대한 정보도 중요하지만 저장하기까지의 과정에서 해커들이 공격하거나 할수있지요
관련 글해서 좋은게 있네요 한번 보시는걸 추천드립니다
1. composer 설치 : Composer (getcomposer.org)
2. composer.json 에 dependecny 추가 : PHP Password Library (rchouinard.github.io)
3. conposer update 실행
4. vendor 폴더에 php password library 모듈이 자동 설치된 것을 보실 수 있습니다.
5. include_once (G5_PATH.'/vendor/autoload.php'); 로 라이브러리 필요한 php 에 추가 후 사용
- BCrypt 알고리즘을 사용하면 꽤 안전한 것으로 알려져 있습니다.
