질문과 답변

Q. 다이제스트 인증의 안좋은 점

영문 위키백과 번역

웹사이트는 엔드유저에게 보이는 유저 인터페이스를 컨트롤할 수 없다. (?)
RFC 2617의 보안 옵션들 중 많은 것들이 선택적(optional)이다. 서버가 QOP를 구체화하지 않았을 경우 클라이언트는 보안 수준이 낮은 레거시 모드로 작동할 것이다. (RFC 2069)
중간자 공격에 취약하다. 예를 들어 공격자는 클라이언트가 기본 인증이나 RFC2069 레거시 모드를 사용하게 할 수 있다. 더욱이 다이제스트 인증에서 클라이언트는 서버를 판별(identify)할 수 있는 방법이 없다.
몇몇 서버에서는 패스워드를 가역적인 방법으로 암호화해서 저장한다. 그러나 요약(digest)된 값을 대신 저장할 수도 있다.
비밀번호를 저장할 때 bcrypt와 같은 강력한 해시 함수를 사용할 수 없다. (비밀번호나 요약된 유저네임, 영역, 비밀번호 등이 복구 가능해야 하기 때문이다.)

MD5 알고리즘은 FIPS에서 사용될 수 없으므로, HTTP 다이제스트 인증은 FIPS-certified 암호화 모듈에서 사용될 수 없다.

Last updated 4 years ago