2017.01.31

페이스북, 오픈소스 비밀번호 복구 프로토콜 공개

Michael Kan | PCWorld
페이스북이 비밀번호를 잊어버렸을 때의 새로운 복구 방법을 제안했다. 서드파티 웹 사이트에서 계정을 복구할 때 페이스북을 활용하는 오픈소스 프로토콜을 공개한 것이다.

일반적으로는 웹 사이트 로그인에 필요한 비밀번호를 잊어버리면 검증용 질문에 알맞은 답을 제출하거나 이메일로 비밀번호 리셋을 요청한다. 그러나 페이스북 보안 엔지니어 브래드 힐은 USENIX 이니그마 2017 보안 컨퍼런스에서 이런 계정 복구 방법이 해킹에 매우 취약하다고 말했다.

힐은 온라인 금융권 계정에 접근 허가를 받은 때를 회상했다. 이때 힐은 비밀번호 리셋 질문을 이용했다. 월요일 컨퍼런스에서 힐은 “가장 좋아하는 색깔을 물어보는 질문이었는데, 몇 번이고 다시 대답할 수 있었다”고 말했다.

대다수 계정 복구 방식은 사용자가 등록한 이메일 주소에 확인 메일을 보내는 방법으로 진행된다. 그러나 많은 사용자들이 이메일 계정에 어려운 비밀번호를 설정하지 않고, 2단계 인증 방식을 적용하지도 않아 이메일 계정이 뚫릴 경우 해커는 손쉽게 다른 서드파티 계정의 정보도 알아낼 수 있다.

페이스북의 경우 계정 복구 방식에서 별도의 옵션을 제안한다.

페이스북 보안 엔지니어 브래드 힐


방식은 이렇다. 사용자는 페이스북 계정을 서드파티 웹 사이트에 연결할 수 있고, 만일 웹 사이트에서 비밀번호를 복구해야 할 경우에는 페이스북 사이트를 통해 인증을 받는 것이다.

페이스북 프로토콜은 HTTPS 기반 웹 브라우저에서 동작하며, 여타의 다른 플러그인은 필요하지 않다. 오픈소스 프로젝트 저장소인 기트허브가 처음으로 페이스북 보안 프로토콜을 채택했다. 화요일 기트허브는 페이스북을 이중 인증 방식으로 추가해 기트허브 비밀번호를 페이스북 인증으로 복구할 수 있게 했다.

페이스북이 모든 웹 사이트나 앱의 비밀번호 허브가 되는 상황은 한편으로는 우려할 만한 지점이기도 한데, 힐은 이 프로토콜이 페이스북에만 국한되는 것이 아니라고 강조했다. 힐은 “사용자가 페이스북을 신뢰하는 것도 중요하지만, 프로토콜 개방으로 얻을 수 있는 효과는 사용자 개인의 보안 정보를 복구할 때, 꼭 페이스북뿐 아니라 신뢰하는 계정을 여럿 선택할 수 있다는 점”이라고 덧붙였다.

힐은 한 웹 사이트가 여러 가지 신뢰할 수 있는 멀티 소스 지원을 받을 수 있을 때 생태계 다양성을 확보할 수 있다고 주장했다. 페이스북의 보안 프로토콜은 기트허브에 공개됐다. editor@itworld.co.kr 

2017.01.31

페이스북, 오픈소스 비밀번호 복구 프로토콜 공개

Michael Kan | PCWorld
페이스북이 비밀번호를 잊어버렸을 때의 새로운 복구 방법을 제안했다. 서드파티 웹 사이트에서 계정을 복구할 때 페이스북을 활용하는 오픈소스 프로토콜을 공개한 것이다.

일반적으로는 웹 사이트 로그인에 필요한 비밀번호를 잊어버리면 검증용 질문에 알맞은 답을 제출하거나 이메일로 비밀번호 리셋을 요청한다. 그러나 페이스북 보안 엔지니어 브래드 힐은 USENIX 이니그마 2017 보안 컨퍼런스에서 이런 계정 복구 방법이 해킹에 매우 취약하다고 말했다.

힐은 온라인 금융권 계정에 접근 허가를 받은 때를 회상했다. 이때 힐은 비밀번호 리셋 질문을 이용했다. 월요일 컨퍼런스에서 힐은 “가장 좋아하는 색깔을 물어보는 질문이었는데, 몇 번이고 다시 대답할 수 있었다”고 말했다.

대다수 계정 복구 방식은 사용자가 등록한 이메일 주소에 확인 메일을 보내는 방법으로 진행된다. 그러나 많은 사용자들이 이메일 계정에 어려운 비밀번호를 설정하지 않고, 2단계 인증 방식을 적용하지도 않아 이메일 계정이 뚫릴 경우 해커는 손쉽게 다른 서드파티 계정의 정보도 알아낼 수 있다.

페이스북의 경우 계정 복구 방식에서 별도의 옵션을 제안한다.

페이스북 보안 엔지니어 브래드 힐


방식은 이렇다. 사용자는 페이스북 계정을 서드파티 웹 사이트에 연결할 수 있고, 만일 웹 사이트에서 비밀번호를 복구해야 할 경우에는 페이스북 사이트를 통해 인증을 받는 것이다.

페이스북 프로토콜은 HTTPS 기반 웹 브라우저에서 동작하며, 여타의 다른 플러그인은 필요하지 않다. 오픈소스 프로젝트 저장소인 기트허브가 처음으로 페이스북 보안 프로토콜을 채택했다. 화요일 기트허브는 페이스북을 이중 인증 방식으로 추가해 기트허브 비밀번호를 페이스북 인증으로 복구할 수 있게 했다.

페이스북이 모든 웹 사이트나 앱의 비밀번호 허브가 되는 상황은 한편으로는 우려할 만한 지점이기도 한데, 힐은 이 프로토콜이 페이스북에만 국한되는 것이 아니라고 강조했다. 힐은 “사용자가 페이스북을 신뢰하는 것도 중요하지만, 프로토콜 개방으로 얻을 수 있는 효과는 사용자 개인의 보안 정보를 복구할 때, 꼭 페이스북뿐 아니라 신뢰하는 계정을 여럿 선택할 수 있다는 점”이라고 덧붙였다.

힐은 한 웹 사이트가 여러 가지 신뢰할 수 있는 멀티 소스 지원을 받을 수 있을 때 생태계 다양성을 확보할 수 있다고 주장했다. 페이스북의 보안 프로토콜은 기트허브에 공개됐다. editor@itworld.co.kr 

X