오늘 관리자로부터 질문을 받았습니다. 특히 일반적인 사용자 이름 비밀번호 로그인 필드의 "비밀번호 기억"에 대한 많은 인기있는 브라우저의 특성과 관련하여 웹 양식 애플리케이션 인증을 위해 허용 가능한 디자인으로 간주되는 사항에 대한 내 생각을 묻습니다. .
허용되는 것으로 생각되는 답변을 찾는 데 문제가 있습니다. 소니의 당황스러운 보안 결함에 비추어 볼 때 사람들에게 저장되는 데이터의 감도가 낮더라도 조심해야합니다. 우리는 주민등록번호 또는 주소를 저장하지 않지만 전화 번호, 이메일 주소 및 방문자 사진을 저장합니다.
그는 사용자가 단순히 공개 터미널에서 비밀번호를 기억하고 누군가가이 터미널에서 점프하여 승인되지 않은 방식으로 데이터를 보거나 수정하기 시작할 수 있다고 우려합니다. 그러나 적어도 Windows 워크 스테이션에서는 브라우저가 Windows 사용자 계정에서 "비밀번호를 기억하지"않을 것입니다.
이 외에도 서버 측에서 단방향 암호 암호화 (데이터베이스에 암호화 된 암호 저장, 서버에서 사용자 제공 암호 암호화, 데이터베이스의 암호화 된 문자열 비교)를 구현하고 있습니다. SSL 암호화를 즉시 통합 할 계획은 없지만 여전히 옵션입니다.
이 접근 방식의 주요 보안 결함이 있습니까? 더 나은 제안이 있습니까?