GN⁺: 비밀번호에 사용할 수 없는 단어: select, insert, update, delete, drop

 (id.uni-lj.si)
2P by neo 6달전 | favorite | 댓글 1개

디지털 아이덴티티 비밀번호 재설정

  • 디지털 아이덴티티를 활성화한 후 비밀번호를 잊어버렸다면 이 페이지를 통해 비밀번호를 재설정할 수 있음.
  • 개인 정보를 아래 양식에 입력해야 하며, 사용자 이름을 알고 있어야 함.
  • 사용자 이름은 이메일 주소와 유사하며, 예를 들어 jn1234@student.uni-lj.si와 같음.
  • 사용자 이름과 비밀번호를 모두 잊어버렸다면 대학교 헬프데스크에 연락해야 함.

개인 정보 입력

  • 디지털 아이덴티티를 데이터베이스에서 찾기 위해 개인 정보가 필요함.
  • 이름, 성, 생년월일, 학생 ID, 소속 학부를 필수로 입력해야 함.
  • 학부 선택은 미술 및 디자인 아카데미, 음악 아카데미, 극장, 라디오, 영화, 텔레비전 아카데미 등 다양한 옵션이 있음.

사용자 이름과 새 비밀번호 설정

  • 사용자 이름은 이메일 주소처럼 보이며, 예를 들어 John Smith의 사용자 이름은 js1234@student.uni-lj.si임.
  • 강력한 비밀번호를 선택하고 기억할 수 있어야 하며, 예측하기 쉬운 비밀번호는 피해야 함.
  • 비밀번호는 최소 10자 이상이어야 하며, 이름을 포함하지 않고 다음 중 3가지 기준을 충족해야 함: 영문 대문자, 영문 소문자, 숫자, 특수문자(-_.+@).
  • 비밀번호에는 script, select, insert, update, delete, drop, --, ', /*, */와 같은 문자 조합이 포함되어서는 안 됨.
  • 오타를 방지하기 위해 비밀번호를 두 번 입력해야 함.

GN⁺의 의견

  • 이 페이지는 디지털 아이덴티티의 비밀번호를 잊어버린 사용자들이 쉽게 비밀번호를 재설정할 수 있도록 도와줌.
  • 강력한 비밀번호 설정 규칙은 사용자의 디지털 정보를 보호하는 데 중요한 역할을 함.
  • 사용자 이름과 비밀번호를 잊어버렸을 때 대학교 헬프데스크에 연락하는 절차는 사용자가 추가적인 도움을 받을 수 있는 경로를 제공함.
neo 6달전  [-]
Hacker News 의견

  • 관리자의 요청으로 특정 문자열을 넣었다는 한 개발자의 이야기. 해당 사이트는 비밀번호를 저장하지 않으며, 외부 계정 관리에 대한 인터페이스를 제공함. 레거시 앱에서 특정 문자열을 포함한 비밀번호로 로그인할 수 없는 이상한 검증이 있을 수 있다는 소문이 있지만, 구체적인 예는 알지 못함.

  • 어린 시절 큰 소셜 플랫폼을 해킹한 경험담. 금지된 단어를 단순히 제거하는 방식을 이용해 유효한 HTML 태그를 주입하고, 페이지를 방문하는 사람들을 제어함.

  • 일부 경우에는 이러한 요구사항이 좋은 아이디어라고 생각하는 의견. 많은 사람들이 나쁜 코드와 시스템 아키텍처를 작성하고 있으며, 이를 잡아내고 변화를 강제할 수 있는 충분한 역량, 조직적 권한, 시간을 가진 사람이 부족함. 미국에서는 형편없이 코딩된 웹사이트를 통해 비즈니스를 해야 할 수도 있음. 이 경우, 구현이 흔히 그렇듯이 끔찍할 수 있다고 가정하고, 그에 따른 완화책을 권장하는 것이 더 나을 수 있음.

  • SQL 인젝션을 완전히 방지하기 위한 적절한 저장 프로시저와 기술을 사용하는 대신, 몇 가지 키워드를 제한하고 해커들이 생각하지 못한 무언가를 만들어내지 않기를 바라는 접근 방식에 대한 비판. 2005년도 아니고, 사용자 입력이 SQL과 섞이지 않도록 하는 것은 더 이상 로켓 과학이 아님. 비밀번호를 암호화하지 않고 저장하는 것은 2005년에도 어리석은 일이었음.

  • truncate를 대신 사용하겠다는 댓글.

  • 오래된 시스템에서 유래된 것 같다는 의견. 일부 대학과 은행이 중앙 인증을 위해 오래된 메인프레임 시스템을 사용하고 있으며, 비밀번호를 평문으로 저장하고 8자리, 대문자로만 제한하는 경우가 있음. 시스템을 업그레이드하지 않는 주된 이유는 비용과 복잡성 때문임.

  • 금지된 문자열을 모두 확인하지 않는다는 학생의 경험담.

  • 작업 중에 이러한 요구사항을 만들어야 했다는 한 사람의 이야기. 모든 문자열을 적절히 이스케이프하고, SQL 인젝션 공격을 피하기 위해 파라미터화된 쿼리를 사용해야 하지만, 깊이 있는 방어를 위해 SQL이나 HTML처럼 보이는 코드를 모든 필드에서 거부해야 함.

  • 자신의 비밀번호가 절대 잡히지 않을 것이라는 자신감 있는 댓글.

  • 이러한 요구사항이 지나치게 열성적인 WAF(웹 애플리케이션 방화벽)에서 비롯되었을 수 있다는 낙관적인 추측.

답변달기