security

이 글은 이 하나의 질문에서 시작한다. 사용자로부터 입력받은 비밀번호를 안전하게 주고받을 것이며(HTTPS를 사용한), 건내온 비밀번호를 DB에 그대로 저장하면 안된다는 이야기를 들어본적은 있을 것이다.이번 글에서는 건내받은 비밀번호를 어떻게 저장할 것이며, 이렇게 저

Without Salt 1편에서는 salt가 등장하게 된 배경에 대해서 소개했다. 여기에 하나의 사례를 더 추가해보려고 한다. Database를 공격해서 hash value들을 알게 된 공격자가, 두 사용자의 hash value가 일치하는 것을 발견한 상황이다. 이런

Recap 이전까지의 글을 통해서 사용자의 비밀번호를 plaintext로(받은 그대로) 저장하는 것은 선택지가 될 수 없음을 알았다. 그 대신 단방향의 hashing을 진행한 비밀번호를 저장하게 하였다. 하지만 이것은 rainbow table 같은 공격에 취약하기 때문