로그인
내가 중점적으로 생각했던 부분은 다음과 같다.
- 로그인 시 암호화를 해야 하는 이유
- 로그인 시 비밀번호를 어떻게 암호화 할 것인지
로그인 시 암호화를 해야 한다고 생각한 이유
우선 비밀번호를 입력받은 그대로 DB에 저장하는 것은 범죄나 다름 없다고 생각한다.
DB가 해킹당하는 순간, 고객들의 비밀번호를 고스란히 해커에게 넘겨주기 때문이다.
해커들은 탈취한 아이디와 비밀번호로 여러 사이트에 대입해 볼 것이며 다른 보안이 좋은 사이트까지 뚫릴 수 있다. 그러므로 비밀번호는 반드시 암호화하여 저장해야 한다.
로그인 시 비밀번호를 어떻게 암호화 할 것인지
로그인 시 암호화 방법으로는 암호화의 대표적인 방법인 Crypto와 Bcrypt를 생각하고 있었다.
비밀번호 암호화로 bcrypt를 사용한 이유
암호화 하는 방법으로 crypto와 bcrypt를 고려해 보았는데 blowfish를 사용하는 bcrypt의 강력한 해시 기능이 마음에 들었다.
아래의 두가지 관점으로 보았을 때 bcrypt가 가장 가성비가 좋다는 글을 참고하기도 했다.
-
보안성: 결국 공격자가 내가 암호화한 값을 알아내는데 걸리는 시간을 최대한 늦춰야 하는 궁극적인 목적을 얼마나 달성할 수 있는가?
-
경제성: 보안성을 챙기기 위해 내가 포기해야 하는 경제적 비용(CPU 연산 속도나 메모리 오버헤드 등)
출처: https://velog.io/@shin0805/%EC%99%9C-bcrypt
공격자는 컴퓨터자원을 무제한으로 보유하지 않기 때문에, 공격자의 속도를 늦출 수록 암호화 해독이 어려워질 것이다.
즉, 어느정도의 경제성을 포기하더라도 사용자들의 보안을 강화하는 bcrypt를 사용하는 것이 옳다는 판단을 내리게 되었다.
getting ready to run