비밀번호 일방향 암호화 홈페이지 로그인
홈페이지의 로그인 비밀번호의 일방향 암호화 여부
회원가입한 협회 홈페이지에 방문하여 비밀번호 찾기를 진행하였더니, 제 비밀
번호 일부를 이메일로 알려주었습니다. 비밀번호는 일방향 암호화 한다고 들었
는데 위반 아닌가요?
개인정보처리자는 비밀번호가 복호화되지 않도록 반드시 일방향 암호화하여
저장하여야 하며, 이용자가 비밀번호 분실 등을 이유로 재발급을 원하는 경우에는
이용자에게 임의의 비밀번호를 부여하고, 회원정보에 등록된 이메일 등으로
부여된 임의의 비밀번호를 전송하고 이용자가 확인 후 사이트에 접속하여 비밀
번호를 다시 설정할 수 있도록 하여야 합니다.
상세설명
개인정보처리자는 비밀번호를 저장하는 경우, 복호화되지 않도록 일방향 암호화하여
저장해야 합니다.
암호화는 개인정보취급자의 실수 또는 외부 공격자의 침입 등으로 인해 개인정보가
비인가자에게 유·노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술을 의미
합니다.
주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해
전송될 경우, 불법적인 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한
보호조치가 제공되어야 합니다.
일방향 암호화란 해쉬(Hash) 함수를 이용하여 암호화된 값을 생성하는 방식을 의미합니다. 즉, 암호화하여 저장한 값으로 다시 원본 값을 유추하거나 복호화 할 수 없는
방식을 말합니다.
예를 들어, 사업자가 회원들의 비밀번호를 일방향 암호화하였다면 어느 누구도 일방향
암호화된 비밀번호를 복호화하여 원래의 비밀번호를 확인할 수 없어야 합니다.
따라서 부득이하게 회원들이 비밀번호를 분실하거나 재발급을 요청하는 경우,
별도의
임시번호를 부여하여 비밀번호가 복호화 되지 않고 일방향 암호화하여 사용될 수
있도록 하여야 합니다.
출처: 2013 개인정보보호상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 병원 개인정보 (0) | 2017.01.12 |
|---|---|
| 개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0) | 2016.12.17 |
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |