최근 여러 회사에서 암호를 일반 텍스트 형식으로 저장하는 것을 인정했습니다. 메모장에 암호를 저장하고 .txt 파일로 저장하는 것과 같습니다. 보안을 위해 비밀번호를 솔트 처리하고 해시해야 하는데 왜 2019년에는 그렇지 않습니까?
비밀번호를 일반 텍스트로 저장하면 안 되는 이유
회사에서 암호를 일반 텍스트로 저장하면 암호 데이터베이스 또는 암호가 저장된 다른 파일이 있는 모든 사람이 암호를 읽을 수 있습니다. 해커가 파일에 액세스하면 모든 암호를 볼 수 있습니다.
암호를 일반 텍스트로 저장하는 것은 끔찍한 습관입니다. 회사는 비밀번호를 솔팅하고 해싱해야 합니다. 이는 “비밀번호에 추가 데이터를 추가한 다음 되돌릴 수 없는 방식으로 스크램블”하는 것을 말하는 또 다른 방법입니다. 일반적으로 누군가 데이터베이스에서 비밀번호를 훔쳐도 사용할 수 없다는 의미입니다. 로그인하면 회사는 귀하의 비밀번호가 저장된 스크램블 버전과 일치하는지 확인할 수 있지만 데이터베이스에서 “역방향으로 작업”하여 비밀번호를 결정할 수는 없습니다.
그렇다면 기업은 왜 암호를 평문으로 저장할까요? 불행히도 때때로 회사는 보안을 심각하게 생각하지 않습니다. 또는 편의성이라는 이름으로 보안을 타협하기로 선택합니다. 다른 경우에는 회사가 귀하의 비밀번호를 저장할 때 모든 것을 올바르게 수행합니다. 그러나 암호를 일반 텍스트로 기록하는 과도한 로깅 기능을 추가할 수 있습니다.
여러 회사에서 비밀번호를 잘못 저장했습니다.
잘못된 관행으로 인해 이미 영향을 받았을 수 있습니다. 로빈 후드, Google, 페이스북, GitHub, Twitter 등은 암호를 일반 텍스트로 저장했습니다.
Google의 경우 회사는 대부분의 사용자에게 비밀번호를 적절하게 해싱하고 솔트링했습니다. 하지만 G Suite Enterprise 계정 비밀번호 일반 텍스트로 저장되었습니다. 회사는 이것이 도메인 관리자에게 비밀번호를 복구할 수 있는 도구를 제공할 때부터 남겨진 관행이라고 말했습니다. Google이 비밀번호를 올바르게 저장했다면 불가능했을 것입니다. 비밀번호가 올바르게 저장된 경우 비밀번호 재설정 프로세스만 복구에 작동합니다.
페이스북도 언제 비밀번호 저장에 동의 일반 텍스트에서는 문제의 정확한 원인을 제공하지 않았습니다. 그러나 이후 업데이트에서 문제를 유추할 수 있습니다.
… 우리는 읽을 수 있는 형식으로 저장되는 Instagram 비밀번호의 추가 로그를 발견했습니다.
때때로 회사는 처음에 암호를 저장할 때 모든 것을 올바르게 수행합니다. 그런 다음 문제를 일으키는 새로운 기능을 추가합니다. 페이스북 외에도 로빈 후드, 깃허브, 그리고 트위터 실수로 일반 텍스트 암호를 기록했습니다.
로깅은 앱, 하드웨어 및 시스템 코드에서 문제를 찾는 데 유용합니다. 그러나 회사가 해당 로깅 기능을 철저히 테스트하지 않으면 해결하는 것보다 더 많은 문제가 발생할 수 있습니다.
Facebook 및 Robinhood의 경우 사용자가 로그인하기 위해 사용자 이름과 암호를 제공하면 로깅 기능이 사용자 이름과 암호를 입력한 대로 보고 기록할 수 있습니다. 그런 다음 해당 로그를 다른 곳에 저장했습니다. 해당 로그에 액세스할 수 있는 사람은 계정을 인수하는 데 필요한 모든 것을 가지고 있었습니다.
드문 경우지만 T-Mobile Australia와 같은 회사는 보안의 중요성을 때로는 편리함이라는 이름으로 무시할 수 있습니다. 안에 삭제된 트위터 거래소, T-Mobile 담당자는 회사가 암호를 일반 텍스트로 저장한다고 사용자에게 설명했습니다. 그런 식으로 비밀번호를 저장하면 고객 서비스 담당자가 확인을 위해 비밀번호의 처음 네 글자를 볼 수 있습니다. 다른 트위터 사용자가 일부 사용자가