문제

나는 해싱 및 소금 암호, do 's, do n't 등에 대한 많은 정보를 읽었습니다. 내가 보는 문제는 다음과 같습니다. 해커가 해시 암호 목록을 훔치려는 노력을 겪을 경우, 그는 그렇지 않습니다. 그런 다음 비밀번호가 보호되는 모든 데이터에 액세스 할 수 있습니까? 조합을 금고에 저장하는 것과 같습니다. 안에 금고. 침입하고 조합을 훔치기. 내가 도둑이라면 돈을 가져갈 것입니다.

이제 대기업은 아마도 인증을 위해 별도의 서버를 가지고있을 것입니다. 그러나 해커는 암호가 아닌 데이터를 원합니다. 따라서 두 서버가 모두 같으면 데이터를 보유하는 서버로 나뉩니다.

여기에 놓친 컴퓨터 보안의 기본 결함이 있습니까? 해시 파일없이 암호를 깨는 비 사회적 방법이 있습니까?

도움을 주셔서 감사합니다.

-데이브

도움이 되었습니까?

해결책

그러한 사람이 전체 데이터베이스에 액세스 할 수 있다고 가정합니다. 이것이 항상 그런 것은 아닙니다. 해시가 실수로 사용자에게 노출되어 DB의 다른 부분에 액세스 할 수없는 페이지를 우연히 발견했거나 SQL 주입을 사용하여 특정 데이터를 제한된 방식으로 끌어 올릴 수 있습니다 (예 : 그들은 당신의 사용자 테이블이 불린다는 것을 알아 냈을 것입니다 users, 그러나 귀하의 신용 카드 테이블이 호출되는 것은 아닙니다. lolcats).

또 다른 보안 고려 사항은 귀하의 내부 IT 사람들입니다. 데이터베이스에 합법적으로 액세스 할 수있는 개발자는 일반적으로 모든 사람의 암호를 일반 텍스트로 보지 않아야합니다.

다른 팁

한 가지 이유는 대부분의 사용자가 여러 계정에 대해 동일한 비밀번호를 가지고 있기 때문입니다. 해제되지 않은 암호는 다른 사이트의 내 계정이 손상 될 수 있음을 의미합니다. 특히 이메일은 로그인의 공통 필드이기 때문에 특히. 비밀번호를 해싱으로, 사이트에 DB를 도난당한 경우 동시에 내 이메일 계정이 손상되지 않도록 보호됩니다.

대부분의 사용자는 여러 시스템에서 비밀번호를 재사용합니다. 공격자가 시스템에 침입하는 경우 데이터를 사용하여 다른 웹 사이트에서 사용자의 계정에 침입 할 수 있기를 원하지 않습니다.

또한 사용자의 비밀번호를 사용하여 데이터를 암호화하고 암호 해시 만 저장하는 경우 해시를 깨뜨릴 수 없다면 전체 데이터베이스를 가져 오더라도 공격자는 아무것도 할 수 없습니다. 보안 답변을 사용하여 데이터를 해독 할 수있는 방법이 없다면 (사실상 두 번째 비밀번호를 만드는) '비밀번호 잊어 버린 암호'기능을 구현하는 것이 완전히 불가능합니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top