귀하는 로그인되어 있지 않습니다. 이대로 편집하면 귀하의 IP 주소가 편집 기록에 남게 됩니다.스팸 방지 검사입니다. 이것을 입력하지 마세요!== 관련 기술 == === 솔트 내장 해시 === bcrypt, scrypt, Argon2 등은 솔트 기능을 '''내장'''한 패스워드 해싱 함수들이다. 솔트 생성과 해시 계산을 안전하게 자동 처리하며, 반복 횟수 조절 등으로 '''브루트포스 공격에도 강하다'''. 직접 솔트와 해시를 구현하다가는 보안 결함이 생기기 쉬우므로, '''검증된 알고리즘을 사용하는 것이 안전하다'''. * 자동 솔트 생성 * 느린 해싱 (브루트포스 방지) * 검증된 보안성 === 펩퍼(Pepper) === 솔트의 '''상위 호환''' 개념으로, 서버의 '''비밀 키'''를 추가로 사용한다. * 솔트: 공개되어도 됨. 근데 굳이 공개할 필욘 없긴 하다.<ref name="salt_open"></ref> * 펩퍼: '''절대''' 공개되면 안 됨. 해시 계산 시 비밀 키처럼 쓰이는 값이다.<ref>예: 해시(패스워드 + 펩퍼) 또는 해시(펩퍼 + 패스워드 + 솔트)</ref> 솔트는 공격 지연용 공개 정보, 펩퍼는 공격 차단용 비밀 정보이기에 솔트와 동일선상에서 비교하기엔 무리이다. 또한 DB서버와 동일한 서버에 저장해 두면 '''절대 안된다.''' 해커가 DB뿐만 아니라 웹서버 또는 애플리케이션 서버까지 장악했을 경우, 펩퍼까지 유출되어 패스워드를 복구당할 수 있다. 해시 알고리즘이 아무리 강해도 의미 없어진다. 편집 요약 가온 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 가온 위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요. 또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요! 취소 편집 도움말 (새 창에서 열림)