asp 용은 보통 비밀번호 정책이나 암호화를 가장기본적인 부분만 하는 경우가 많다.
비밀번호 생성 정책 : 비밀번호의 자릿수 확인, 연속된 숫자금지, 생년월일이나 주민등록번호와 일치하는 비밀번호 사용 금지
디비 저장시 암호화 정책 : 가장 기본적인 MD5 까지 활용.
대부분의 홈페이지들이 이 범위를 벗어나지 못한다.
아니 내가 작업했던 페이지들은 이 범위안에 들어있었다.
( 별도의 암호화 장비를 사용하는 곳도 있었긴 했다. )
이번에 좀 더 나은 개인정보보호정책의 이슈가 발생하면서
해당 부분에 대한 검색을 해본 결과 국가에서 진행하는 것도 있어서 정리해본다.
kisa 에서 진행하는 암호이용활성화 페이지 ( http://seed.kisa.or.kr/iwt/ko/index.do )
이곳에서 내가 봐야 할 부분은 세가지이다.
- 사용자들이 비밀번호를 잘 선택해서 입력 하는지 여부
- 개발자들이 암호화를 잘해서 사용자의 비밀번호를 잘 유지해야 하는지 여부
- 개발자들이 사용자의 개인정보를 단방향성 암호화와 양방향성 암호화필드를 구분해서 사용하는지 여부 이다.
이를 해결하는 방법은 KISA 홈페이지 표현되어 있다.
- 사용자들이 비밀번호를 잘 선택해서 입력하는 지 여부를 판단.
( DLL 화일을 설치할 필요가 있어 단독 호스팅 서비스를 받지 않거나 서버에 특정 DLL 을 설치할수 없는 환경이면 사용하기 어렵다. )
참고 URL : http://seed.kisa.or.kr/iwt/ko/bbs/EgovReferenceDetail.do;jsessionid=C399FAE46C9637FFE66C22EF72637128?bbsId=BBSMSTR_000000000002&nttId=42
( 참고 자료가 hwp 이네.. )
- 개발자들이 암호화를 잘해서 사용자의 비밀번호를 잘 유지해야 하는지 여부
기본적인 MD5 암호화 이외에 권장하는 암호화 방법을 사용해야 한다.
잠시 고민을 했다. 그렇다면 MD5 를 풀어서 다시 암호화 해야 하지 않을까?
해결방법은 무지 간단 했다.
MD5 를 다시 한번 새로운 암호화를 해주면 끝나는것이 아닌가.. 신규로 받는 암호들로 1차로 MD5 암호화 후 새로운 암호화를 다시 한번 해주면 되는 것이다.
암호기술 구현 안내서에 포함되어 있다.
- 개발자들이 사용자의 개인정보를 단방향성 암호화와 양방향성 암호화필드를 구분해서 사용하는지 여부 이다.
단순 비교만을 사용하는 것은 단방향 해쉬 암호화를 사용, 원문을 확인해야 하는 것은 복호화가 가능한 암호화를 사용한다.
단방향 ( 해쉬 ) 암호화 필요 필드 : 비밀번호, 비교 난수 코드
양방향 ( 복호화 가능 ) 필요 필드 : 주소, 전화번호, 계좌번호, 신용카드 번호 등의 개인정보이나 필요한 경우 사용되어야 하는 화일.
일단 이정도로 하고 자세한 내용은 추후 적용시 확인해 보자.
'dev > webDev' 카테고리의 다른 글
| IE this.width 표기 불가 문제. (0) | 2014.03.07 |
|---|---|
| MD5 암호를 SHA256 서비스로 업그레이드 시키는 방법에 관하여. (0) | 2013.06.28 |
| 게시물 리스트, 상세보기 주소 정책 변경. (0) | 2013.06.14 |
| VIMEO 동영상 플레이어 api (0) | 2013.03.11 |
| youtube(유튜브) 동영상이 끝나면 실행되는 스크립트 만들기. (0) | 2013.03.11 |
