django로 짠 웹 사이트 비밀번호는 안전할 듯 - 컴퓨터공학 채널

컴퓨터공학 채널

알림 알림 중 알림 취소

구독자 3407명 알림수신 19명 @SeworL

컴퓨터를 좋아하는 사람들의 모임

보안 django로 짠 웹 사이트 비밀번호는 안전할 듯

ㅇㅇ (49.175)

추천 0 비추천 0 댓글 5 조회수 224 작성일 2022-02-27 14:58:59

https://arca.live/b/programmers/45298188

django를 이용하는 사이트 비밀번호를 현실적으로 크랙할 수 있을까 궁금해서

https://github.com/ctz/fastpbkdf2 이용해서 멀티쓰레드로 간단히 짜봤는데

i7-8700로 초당 135회 밖에 시도를 못해보네

django PBKDF2 iteration이 150,000라서 좀 많이 빡센 듯

위 라이브러리 README 보면 OpenSSL 대비 2배는 빠르다고 선전하던데 (벤치마크에 아톰을 써서 좀 의심스럽긴 하지만)

최적화 빡세게 된 라이브러리 + C언어로 최대한 군더더기 없이 짜려고 해봤는데도 이정도면

초대형 사이트에서는 초당 로그인 수가 어느정도 될 지 모르겠지만

실제 서비스에 로그인 만으로도 거의 서버 1대가 풀로드로 돌아야 될 듯;

그렇지만 전쟁나면 미국은 이정도는 기꺼이 뚫을 수 있겠지?

댓글 글쓰기

2022-02-27 15:28:42 답글

1. 요즘은 그런 것도 최적화해주는 서비스가 있답니다(암호 검증 및 토큰 발행 전문) 서비스 운영할 때 참고하세요!
2. 천조국인데요 뭐… 학술적으로 아직은 안전하다고 인정돠지만 또 모르죠. 나름 뜯는 방법을 가질지도… 예전에 AES 관련한 의혹도 유명사례고…

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-27 21:43:33 삭제 수정 답글

1은 또 처음 듣네요

펼쳐보기▼

Wnswl

2022-02-28 09:37:19 답글

말씀하신 거 처럼 토큰 발급같은 것도 다 비용이라... 요즘은 AWS 같은 대기업 뿐 아니라도 인증 자체를 서비스로 파는 기업들이 많이 나왔어요. 가령 Auth0라던지..

펼쳐보기▼

2022-02-27 21:12:50 답글

또는 클라이언트에서 키 derive해서 서버에 전달하는 방법도 있을듯

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-27 22:15:10 삭제 수정 답글

패스워드 해시의 목적이 유출되더라도 로그인을 못하게 하는 건데
클라이언트에서 derive해서 던지는 방식은
유출된 해시값을 그냥 던지면 로그인 가능함

펼쳐보기▼

전체글 개념글

최근 최근 방문 채널

최근 방문 채널

전체 공지사항 질문/조언 읽을거리 보안

번호 제목

작성자 작성일 조회수 추천

공지 아카라이브 모바일 앱 이용 안내(iOS/Android)

*ㅎㅎ 2020.08.18 27964775

공지 컴퓨터공학 채널 규칙 (2023-10-05 개정)

SeworL 2023.10.05 860

공지 빠르게 원하는 답변을 받기 위해 피해야 할 질문 방식

유자차 2022.07.02 2190

공지 신문고

SeworL 2023.10.07 251

숨겨진 공지 펼치기(1개)

34 보안 아래 랜섬웨어 걸렸다는 글 봤는데 질문있음 [7]

def 2022.06.25 192 0

33 보안 한국은 보안쪽으론 취업하기 힘들다는데 사실임? [7]

ㅇㅇ (211.221) 2022.06.17 264 0

32 보안 개인 VPS 쓸 때 팁

DETO 2022.06.02 130 2

31 보안 시스템 해킹과 보안 이 책 괜찮음?

ㅇㅇ (121.166) 2022.05.15 148 -1

30 보안 PGP, GPG 간단 이해 [3]

ㅇㅇ 2022.04.15 192 1

29 보안 옛날에 root 계정 비밀번호 toor로 할 때가 좋았는데

고감호닉 2022.03.04 194 0

28 보안 django로 짠 웹 사이트 비밀번호는 안전할 듯 [5]

ㅇㅇ (49.175) 2022.02.27 225 0

27 보안 백신 Reason Cybersecurity 좋은가요? [3]

흰고래 2022.02.25 289 -2

26 보안 모든 사용자에 대해 동일한 암복호화 키를 사용하는 건 보안약점이 아닌가? [12]

ㅇㅇ (49.175) 2022.02.25 228 0

25 보안 아카 계정 탈취하는 것도 만들 수 있지 않을까 [7]

고감호닉 2022.02.09 318 0

24 보안 이번에 발견된 자바 취약점 좀 어이없는 부분이 있다 [5]

타키투스 2021.12.11 399 0

23 보안 log4j 얘기 하러왔는데 아무 말 없네.. [4]

ㅇㅇ 2021.12.10 335 0

22 보안 오늘 갑자기 스팀결제되서 계정이잠겼는데 어떻게해야되나여

레몬베리 2021.11.02 120 0

21 보안 비트디펜더 쓰는사람 있음? [2]

ㅇㅇ (119.197) 2021.10.21 318 0

20 보안 Bitlocker에 대해 궁금증이 있습니다 [2]

흑마탄만세 2021.10.06 144 0

19 보안 형들... 나 좀 도와줘... (해킹) [3]

ㅇㅇ (58.120) 2021.09.22 554 0

18 보안 ip주소도 숫자 값이 1씩 올라가나? [5]

불패8소대 2021.09.12 298 0

17 보안 VPN에 대해 질문이 있습니다 [6]

흑마탄만세 2021.09.01 356 1

16 보안 VeraCrypt [2]

Kaly 2021.08.31 285 0

15 보안 [연구용 배포] 한국인터넷진흥원 내PC돌보미 [6]

병신경 2021.08.22 465 2

14 보안 멀웨어 감염 대처 [13]

DOZKI 2021.08.19 295 1

13 보안 포맷 스트링 공격에서 16진수 보수 연산 [1]

PVC고무통 2021.08.11 234 0

12 보안 host 파일 수정 질문 있습니다! [8]

바지춤 2021.07.15 177 0

11 보안 빌어먹을 티샤크ㅡㅡㅡㅡㅡㅡㅡㅡ

바지춤 2021.07.13 157 0

10 보안 보안 프로그램보다 중요한 보안 의식 [2]

코코는천사야 2021.07.11 701 3

9 보안 컴퓨터 보안 관련해서 물어봐도 괜찮겠노? [2]

ㅇㅇ (218.156) 2021.07.07 553 -2

8 보안 인터넷 속도가 비대칭인데, 통신 회사가 해킹을 하기 위해 이렇게 할 가능성이 있나요? [10]

ㅇㅇ (124.197) 2021.06.25 469 2

7 보안 경찰 사이버수사대 IP 추적 회피하는 방법 [3]

니들이긴급체포를알어 (121.129) 2021.06.17 8604 4

6 보안 V8 자바스크립트 엔진의 Math.random 구현 [3]

디비네스페아르 2021.05.31 835 9

5 보안 일단 다른 글이나 올려 봐야겠네요.

Wnswl 2021.05.18 189 4

전체글 개념글

사용하고 계신 브라우저가 시간대 설정을 지원하지 않으므로 GMT 시간대가 적용됩니다.