예전에 가끔씩 암호 저장 전처리 작업에 문자를 일괄로 소문자로 바꾸는 작업을 집어넣는 회사들이 있었음.
특징은 비밀번호를 대문자로 치든 소문자로 치든 똑같이 로그인 된다는 것
아마 아이디를 정규화하는 작업이 비밀번호에도 똑같이 적용된 게 아닐까 싶음.
그러다 대소문자 혼합이 의무화 되면서 대문자와 소문자를 구분해야 하게 바뀌니까 대문자를 소문자로 변환하는 작업만 전처리 작업에서 빼버렸음.
문제는 기존에 저장된 해시는 죄다 소문자로 바꿔서 만들었다보니 사용자가 알던 비밀번호를 전부 소문자로 바꿔야 로그인 되는 병맛 같은 상황이 벌어짐.
저 사태도 아마 그 중 하나가 아닐까 싶음.
댓글(8)
아 저런 비슷한 경우 겪어본적 있어요 증권쪽은 아니고 다른 사이트였던거 같은데 분명 대문자를 섞었는데 소문자로만 로그인 되는 경우가 ㄷㄷ
제일큰 문제는 소문자로 바꾼게 아니라
"소문자로 바꿀수 있다"라는거임 ㅋㅋㅋ
우리는 당신들의 비밀번호를 언제든지 알아낼수 있습니다 라는말이야 저건 ㅋㅋㅋ
본문을 안 읽는 건 당신의 자유입니다.
아니 그걸 떠나서 비밀번호를 변경 가능했다는건
암호화가 안되있다는 뜻이잖아
당신에게는 본문을 안 읽을 권리가 있습니다.
내가 이해를 잘못했나보구나 ㅈㅅ ;;
그대로 저장한다는거 아니야
사람들의 자유와 별개로 저는 사람들이 본문을 읽기를 바랍니다.