해킹 기초 - 패스워드 찾기

 

패스워드 찾기 질문

 

패스워드 찾기 질문을 통해 해커가 답을 유추해 답을 맞춰 패스워드를 알아낼 수 있습니다

 

 

 

취약점 소개

 

비밀번호 또는 아이디를 분실한 경우 미리 설정해둔 질문의 정답을 맞추면 내가 설정해둔 비밀번호/아이디를 알 수 있습니다.

이 기능의 취약점은 질문을 통해 답을 유츄할 수 있을 뿐만 아니라 누구나 이것을 시도할 수 있다는 점입니다 

위의 사진의 질문은 한글만 읽을 수 있다면 누구나 맞출 수 있을 것입니다

 

 

해결 방법 및 여담

 

해결방법은 간단하게 비밀번호 찾기 기능을 구현할 때 질답 기능을 구현하지 않는 것입니다

불특정 다수가 아무런 제약없이 중요한 정보에 접근할 수 있는 것은 큰 문제 입니다.

또한 요즘 DB에는 비빌번호가 암호화되어 저장되기 때문에 비밀번호를 분실하면 그 누구도 알 수 없게 되었습니다