요즈음도 암호화하지 않고 비밀번호를 저장하는 포탈사이트가 있나요?(3)

 비밀번호는 암호화해서 저장하는게 보통의 포탈사이트들의 정책입니다.

필고 운영진이 아니어서 필고가 암호화해서 넣었다고 이야기는 못하지만
그렇다고 그렇게 안 넣었다고 말하는 것도 문제가 있습니다.
왜냐하면 암호화해서 넣는게 프로그램상 어렵고 복잡한 것도 아니고 돈이 더 들어가는 것이 아닙니다.
프로그램으로 단 한줄이면 암호화해서 넣을 수 있기 때문입니다.
운영진은 비밀번호를 몰라도 누가 어떤 정보를 기록했는지 알려고만 한다면 알 수 있기 때문입니다.
설령 운영진이 아니라도 구글 검색에 의해서 검색이 되어 버리면 다른 사람도 알 수 있습니다.

보안수준이 높은 사이트를 운영하기 위해서는 여러가지 보안정책과 소프트웨어를 사용해야 하지만
교민간의 커뮤니티사이트가 큰 비용을 들여가면서 그럴 필요는 없다고 생각하는 사람중에 한명입니다.

비밀번호를 암호화하는 방법으로 MD5(MESSAGE DIGEST5)또는 SHA가 자주 사용됩니다.

MD5를 예를 들면, 
해쉬 함수의 특징은 다음과 같습니다.
1. 단방향성
    예를 들어 설명하자면 문자a를 MD5로 변환을 하면 0cc175b9c0f1b6a831c399e269772661 이란 값이 나옵니다.
    문자a를 변환하면 항상 .0cc175b9c0f1b6a831c399e269772661 가 나와야 한다는게 단방향성입니다.
2. 충돌 회피성
    동일한 결과값 0cc175b9c0f1b6a831c399e269772661을 가지는 특정한 문자열을 찾아내는 것이 불가능해야 하는데
    이를 충돌회피성이라고 합니다.

다시 수학적 표현으로 다시 이야기하면
y = f(x)라는 함수가 존재할때
y값만을 가지고 x를 찾아 낼 수가 없어야 하고
동일한 y값을 가지고 x와 x'를 계산해내는 것이 불가능해야한다는 것입니다.
 

좀 더 쉽게 말하면
내 비밀번호가 저장되어 있는 것을 보고 내 비밀 번호를 일반적 수학함수를 풀 듯이 알 아 낼 수는 없습니다.
그래서 해커들이 사용하는게 통계학적 접근을 통해서 경우의 수를 줄여서 알아내곤 합니다.
다시 이야기하면 시간이 필요하다는 것이죠. 문자를 대입해서 계속 비밀번호를 비교해서 맞는 것을 찾아내는 것입니다.
그래서 비밀번호를 길게 만들고 숫자와 문자를 섞어쓰면 찾아내기가 쉽지 않습니다.

예를 들면 주민등록번호, 연락처, 이름등을 가지고 조합을 만들어서 비밀번호를 비교하는 것이죠
그 다음은 사람들이 많이 사용하는 비밀번호 1111,1234,...등을 대입하기도 합니다.
그 다음에 약간의 수학적 지식을 동원해서 경우의 수를 줄여서 비교해 내는 것입니다.

즉 암호화만해서 넣는다면 그리 쉽게 비밀번호를 알기가 어렵습니다.