마이스페이스·텀블러·링크트인 해킹으로 수억명 정보 유출 ㅡ 우려했던 일의 현실화

마이스페이스·텀블러·링크트인 해킹으로 수억명 정보 유출 기사원문 http://m.news.naver.com/read.nhn?mode=LSD&mid=sec&sid1=105&oid=001&aid=0008441877 (샌프란시스코=연합뉴스) 임화섭 특파원 = 소셜 네트워킹 서비스(SNS) 마이스페이스(www.myspace.com), 인맥 정보 사이트 링크트인(www.linkedin.com), 야후에 인수된 마이크로블로깅 서비스 텀블러(www.tumblr.com)에서 수억 명의 회원정보가 유출됐다. 31일(현지시간) 미국 주요 언론매체들에 따르면 '피스'(Peace)라는 별명을 쓰는 해커가 마이스페이스 사용자 3억6천만 명의 이메일 주소와 암호를 인터넷에서 판매하려고 시도중이다. 그가 요구한 가격은 6비트코인(현 시가로는 약 380만원)이다. ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 고작380만원이라네요 ㅎㅎ 이시점에서 PW에 대한 이야기를 한번더 안할수가 없네요 지난 카드에서 로그인API연동을 페이스북이나 네이버로 많이 사용하는 예를든적이있습니다. 텀블라나 마이스페이스가 아니라서 천만 다행이랄까요 회원정보에서 암호저장은 단방향 암호화를 사용하는 것이 원칙입니다. 이것은 입력암호를 암호화하여 저장된 단방향 암호화된 값과 비교함으로써 인증검증은 가능하되 저장된 값으로는 로그인할때 입력할 수없게하는 원리입니다. 즉 저장된 암호는 탈취해도 사용이 불가하다는 뜻이지요. 서버에 암호를 저장하지 않는다고 하는 경우가 여기에 해당됩니다. 서버 관리자도 DB를 열어서 암호를 볼수없게한다는 내부자 단속의 목적도 있습니다. 그런데 중요한 사실 하나를 간과하거나 공개하지 않고 있는데 그것은 해시충돌에 대한 것입니다 단방향암호화는 워래값으로 복원이 불가능한것이 맞습니다. 그런데 같은 값을 뱉어 내는 충돌값은 찾아낼수가 있습니다. 예를들어 비번중에 숫자1이 있다면 1의 단방향 암호화 값과 같은 값을 만들어 내는 제2의 어떤 값을 찾을 수있는데 이러한 간단한 숫자 정도는 몇초 걸리지도 않습니다. 그러므로 저장된 단방향암화 값을 탈취하여 충돌값을 찾는 프로그램에 집어 넣어면 인증도용이 가능한 제2의 암호를 찾을 수있다는 뜻입니다. 결론적으로 PW는 단방향 암호화로 처리하여 저장한다고 해서 안전한 것이 아니라는 뜻입니다. 서버를 해킹하는 실력이면 이런것은 아무것도 아니지요 PW인증에 대한 유일한 대안은 패스콘이 유일합니다. 패스콘의 인증서는 대용량의 이미지로서 충돌값 생성이 불가능하거나 생성에 성공하더라도 인증서로 만들 수없습니다. 왜냐면 프로그램으로 생성된 값은 이미지가 아니므로.. 패스콘은 지코드이노베이션의 인증기술입니다. www.gcod.co.kr

가상화폐 ・ 암호화폐 ・ 비트코인 ・ 블록체인
www.idall.io
Follow
4.7 Star App Store Review!
Cpl.dev***uke
The Communities are great you rarely see anyone get in to an argument :)
king***ing
Love Love LOVE
Download