비밀번호 인증 설계의 핵심은 책임소재를 잘 배치하는 것이다. 이것은 보안이라고 할 수 없다.

제목 : 비밀번호 인증의 문제를 정확히 알려주어야 한다.

부제 1 : 계정이 해킹되었는데 서비스는 해킹되지 않았다?

부제 2 : 보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,,


사용자가 왜 비밀번호를 아무리 잘 관리하려해도 소용이 없는 지 사용자에게 자세히 알려주어야 한다.

그리고 설사 비밀번호가 해킹되어도 왜 서비스 제공자는 책임이 없는지도 알려주어야 한다.


아래 그림에서 보듯이 서비스 제공자는 자신의 서버에 비밀번호를 단방향 암호화로 저장한다. 한번도 아니고 1만번 이상 뺑뺑이를 돌린다,

물론 다 이렇게 하지는 않는다. 그래서 서버가 해킹되면 비밀번호가 유출되는 것이다.

암튼 이 정도 조치를 해둔 서버를 해킹하여 비밀번호를 탈취하는 것은 사실상 불가능하다.

통신 구간에서는 SSL로 비대칭 암호화를 적용한다. 이 역시 탈취하여 크랙하는 것은 거의 불가능하다.

단, 다 이렇게 하지는 않는다. https에서 s가 없으면 이렇게 안하는 것으로 이해하면 된다.

문제는 이 상황이면 설사 계정이 도용되어도 서비스 제공자는 책임이 없다는 것이다.

왜냐하면 서버는 해킹되지 않았기 때문이다.


그럼 왜 계정이 도용당하는가?

그것은 사용자 단말에서 문제가 발생하기 때문이다.

키보드가 해킹되거나 다크웹에서 구매한 비밀번호를 무차별 대입하여 도용을 시도하는 것이다.

여기서 키보드 해킹에 대하여는 금융기관의 경우 금융당국이 제재하여 각종 키보드 해킹 방지 프로그램을 강제로 설치하게끔하고 있다.

그런데 금융기관이 아니면 대부분이 이부분에 대한 강제 규제가 없다.


게다가 다크웹에서는 여러곳에서 탈추한 비밀번호들이 거래되고 있기 때문에 심각한 문제가 발생하게 된다.

이외에도 개인정보가 탈취되면 사회공학적 툴로 비밀번호 유추가 용이하다. 왜냐하면 대게 사람들은 자신의 신상과 관련된 문자 몇 개는 비밀번호에 섞거나 반복 재사용하기 때문이다.


이러한 방법으로 계정이 도용당하면 왜 사용자의 책임인가?

그것은 비밀번호를 자주 변경하지 않았다는 이유와

키보드가 해킹당하도록 악성코드 제거를 열심히 하지 않았다는 이유 때문이다.

일반 사용자는 이와 같은 불리한 상황을 극복할 방법이 사실상 없다.


따라서 결국 책임은 사용자의 것이다.

이것은 서버스 제공자가 계속 비밀번호 인증을 유지하는 이유일지도 모른다.


한마디로 비밀번호는 "계정이 해킹되어도 서버의 비밀번호는 해킹되지 않아 책임에서 자유롭다."는 아이러니한 결과를 제공하기 때문이다.


보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,,


#PASSWORD

#보안

#비밀번호

#다크웹

#스터핑

Passwordless 세상을 만드는 사람 PASSCON 인증 기술 보유 IDall 원아이디 서비스 제공 중 지코드이노베이션 대표
Follow
4.7 Star App Store Review!
Cpl.dev***uke
The Communities are great you rarely see anyone get in to an argument :)
king***ing
Love Love LOVE
Download

Select Collections