인증
이 태그가 달린 문서 4건
패스키란? 훔칠 것이 없는 비밀번호 없는 로그인
패스키는 공유된 비밀이 없는 로그인입니다. 기기가 개인 키와 생체 인증으로 서명하고 서버는 짝이 되는 공개 키만 저장합니다. 따라서 유출되어도 악용할 수 없고, 서명이 도메인에 묶여 있어 가짜 사이트에서는 완료되지 않아 구조적으로 피싱에 강합니다. 비밀번호 + SMS 코드보다 안전하며, 중요한 계정부터 먼저 전환하세요.
비밀번호 해싱이란? 단방향 변환으로 비밀번호를 안전하게 저장하기
비밀번호 해싱은 비밀번호를 되돌릴 수 없는 단방향 변환으로 저장하는 것입니다. 평문으로 저장하지 마세요. 암호화와 달리 복호화해 되돌릴 수 없으며, 그것이 바로 목적입니다. 그러나 평범한 MD5/SHA-256은 레인보우 테이블과 무차별 대입에 무너집니다. 해법: 사용자별 솔트와 의도적으로 느린 해시(bcrypt/Argon2/scrypt). 직접 만들지 말고 표준 함수를 사용하세요.
비밀번호를 안전하게 저장하는 법 — 올바른 해싱과 솔트
서버에 비밀번호를 안전하게 저장하는 실전 가이드. 평문·암호화·생 해시가 모두 실패하는 이유를 이해한 뒤 하나의 답으로 수렴합니다: 사용자별 솔트 + 의도적으로 느린 해시(Argon2id 권장, bcrypt/scrypt는 대안). 직접 만들지 말고 표준 함수를 쓰며, 시간이 지날수록 비용을 올리고, 약한 해시는 로그인 시 재해싱으로 이전하세요.
JWT(JSON Web Token)란? 서명된 출입증의 작동 원리와 안전하게 쓰는 법
JWT는 서버가 서명해 발급하는 변조 방지 '출입증'입니다. header.payload.signature 세 부분으로 이루어지며, 서버가 서명을 검증해 진위를 확인합니다. 주의: (1) 항상 서명을 검증하고 기대하는 alg를 고정(alg:none 거부); (2) 누구나 내용을 읽을 수 있으니 시크릿을 넣지 말 것; (3) 만료를 짧게 두고 폐기 전략을 마련. 디코딩(읽기)과 검증(진위 확인)은 다른 것입니다.