| [ garbages ] in KIDS 글 쓴 이(By): cookie () 날 짜 (Date): 2011년 08월 03일 (수) 오전 06시 18분 41초 제 목(Title): Re: 비밀번호 유출 장기적 대책.. > 만약 한국정부가 이런 시스템에 어딘가 발을 대고 있다고 > 가정하면, 기존의 구글 계정도 다 털어서 수사 하는데 사용하지 > 않았을까 하는 두려움이 생김. 하드웨어 토큰을 도입하고 국가가 구글이나 네이버를 턴다고 해도 적어도 기존의 패스워드 해쉬방식보다 어려워지면 어려워 지지 더 쉬워지는 건 아님. 패스워드 방식이 현재론 가장 허약한 링크. 그리고 이를 더욱 강화하려면 기존에 사용자 data base 에 다른 사용자 프로파일 데이터와 같이 기록하는 방식을 벗어나 전용의 temper-proof 하드웨어 사용자 인증 서버 모듈(장치)를 도입하면 됨. 이런 하드웨어 사용자 인증 모듈은 user secret을 모듈 내부에만 보관하고 하드웨어적으로 이를 보호하고 있으고 인증에 필요한 최소 기능만 보유하고 있고 그이외에 어떤 동작도 불가하므로 관리자 조차도 user secret을 모듈 바깥으로 꺼낼수 방법이 없음. 그러니 국가가 합법적으로 영장을 들고와도 또 관리자가 협조하고 싶어도 이를 꺼낼 수가 없어 궁극적인 해결책이 될수 있음. 물론 해킹 따위는 어림도 없음. > 일단, 국가를 배척하는 것도 문제지만, 지금의 한국정부와 같은 > 불량 정부까지 믿어야 하는 시스템을 만드는 것은 찬성할 수 없음. 불량 정부를 믿을 필요가 없음. 그 하드웨어 토큰/ 모듈 업체의 기술력과 신뢰성만 믿으면 됨. |