사용자 이름과 비밀번호가 해시 및 솔트되지 않은 이유는 무엇입니까? [닫은]

보안 향상으로 인해 로깅시 사용자 이름 및 / 또는 비밀번호 실패에 대한 공통 응답이 항상 "사용자 이름 또는 비밀번호가 올바르지 않습니다"로 리턴되므로 시스템이 사용자 이름과 비밀번호 조합을 해시하지 않은 이유는 무엇입니까? 내가 사용하는 전자 메일을 알지 못하고 특히 암호 길이 제한에 대한 최대 제한이있을 때 다른 사람을 시도 해야하는 것을 알지 못합니다.

같은 이유로 우리는 실제 이름을 비밀로 유지하지 않습니다. 이름은 우리를 식별하는 데 사용되며 의도적으로 공유 할 수 있습니다.

기존의 사용자 이름으로 작동하는지 여부를 공유하지 않음으로써 잠재적 공격자가 가질 수있는 정보를 줄이는 것이 목적입니다. 그러나 "사용자 이름 또는 암호가 잘못되었습니다"스타일 메시지를 사용하는 시스템은 일반적으로 해당 시스템이없는 시스템만큼 취약합니다. 가입 양식 (및 경우에 따라 비밀번호 재설정 양식)은 계정의 존재 여부를 알려주므로 사용자 이름이 있는지 여부를 식별하는 것은 간단합니다. 따라서이 접근 방식은 공격자에게 방해가되는 것보다 합법적 인 사용자에게 더 실망 스러울 수 있습니다.

또한 일반 텍스트 사용자 이름이 저장되어 있지 않은 경우 플랫폼에서 친구를 찾으려고 가정하십시오. 사용자 이름을 올바른 문자별로 가져와야합니다. 그러한 시스템은 엄청나게 비현실적입니다. 비밀 사용자 이름을 사용하는 것은 두 번째 암호를 사용하는 것과 비슷하며 계정보다 보안을 강화하는 방법이 훨씬 좋습니다.