sha256 암호화의 문제 - 웹서버를 이전했을 때 기존 사용자의 로그인 비번이 다르다는 문제 발생
본문
sha256 암호화의 문제 - 웹서버를 이전했을 때 기존 사용자의 로그인 비번이 다르다는 문제 발생
그누보드 5.2.1 버전으로 사용하던 웹사이트를 다른 서버로 그대로 이전하여 사용할 때, 로그인 비번이 sha256 방식으로 암호화 되어 있었다면, 새로 이전한 서버에서는 기존 사용자의 로그인 비번이 다르다라는 문제가 발생합니다.
이렇게 되면 웹서버를 이전할 때마다 로그인 비번이 달라서 로그인을 하지 못하는 불편 사항이 대량으로 발생할 텐데, 눈앞이 캄캄해집니다.
mb_password2 필드에 예전 방식의 비번이 저장되어 있는 member에 대해서는 mb_password2의 값으로 대체하여 로그인 가능하게 할 수는 있겠는데, mb_password2 값마저 비어있는 경우( 최근에 회원 가입한 경우)에는 대책이 없는 것 같습니다.
저의 경우 부정기적이지만 웹서버 이전하는 경우가 가끔 씩 일어나는데, 그럴때 마다 로그인 비번 때문에 큰 시련을 겪을 것 같아서, sha256 방식 암호화적용이 원망스러워 집니다.
혹시 서버를 이전한 경우에도 sha256 방식 저장된 비번에 정상적으로 로그인 가능하게 할 수 있는 방법이 없을까요?
답변 4
예, 잘 살펴보겠습니다.
그런데 제가 찾는 대안은 아닌 것 같습니다.
옛날 방식 비번이 저장되어 사람들에 대해서는 수작업이라도 할 수는 있겠는데, 그 마저도 없는 사람들(sha256: 비번만 저장되어 있는 사람들)의 경우에는 어떻게 해야하나라는 것이 문제입니다.
암호화 기술을 만드는 사람들이 웹서버나 db서버 이전시의 경우를 전혀 감안하지 않았을까 '이런 경우도 다 있나' 싶습니다.
standby 서버에 웹사이트를 이전하여 로그인해보다가 발견한 상황입니다.
감사합니다.
기존 비번을 mb_password_old에 저장하고
로그인 하면
mb_password로 비교하여 맞으면 로그인 처리
맞지 않으면 입력된 비번을 sql_password로 변환하여 mb_password_old와 비교하여 맞으면 이걸 sha256으로 변환하여 mb_password에 저장하고 로그인 처리
다르면 에러!! 뿜뿜
답변 감사드립니다.
알려주신 내용은 이해하겠습니다. 한 번 정도는 그렇게 처리할 수는 있을 것 같기는 한데, 문제는 최근에 회원 가입한 회원의 경우에는 소위 old_password(MD5방식) 자체도 없고, sha256 비번 밖에 없으니, 그 회원들에 대해서는 처리해줄 방법이 없다는 것입니다.
sha256 방식 비번은 복호해줄 방법이 없다라고 알고 있습니다.
그래서, 제가 알고 싶은 것은 서버를 이전한 경우에도 sha256 방식으로 저장된 비번에 정상적으로 로그인 가능하게 해줄 수 있는 방법을 찾아보고 있는데, 적절한 방법이 없을까라는 것입니다.
회원수가 얼마나 되시는지 모르겠지만요.
일차원적인 해결을 원하신다면 아래 사이트 같은 곳에서 변환해서 변환된 값을 넣어주시는 방법도
있을 것 같습니다.
예, 알려주신 페이지는 저도 살펴보았습니다만, 회원들의 비빌번호를 제가 알수만 있다면 수작업이라도 할 용의가 있지만, 알수가 없으니 문제인 것이지요.
감사합니다.
아 이거, 뭐가 어떻게 된건지, 다시 사이트 이전하고 로그인을 시도해보았더니, 이번에는 별다른 조치사항 없었는데도, 정상적으로 로그인이 되는 것을 확인하였습니다.
어제는 왜 안된건지 이유는 모르겠네요.
서버 이전한다고 로그인 안되는 것은 아닌가 봅니다.
정성껏 답변 달아주신 분들 모두에게 감사드립니다.
