SYSNET.PE.KR에서는 다음과 같이 로긴 정보에 대한 보안을 적용하고 있습니다.

1. 회원 가입

-- 클라이언트 측

  ㄱ. 입력한 자신의 ID와 비밀번호를 Seed로 해서 개인키와 공용키를 생성.
  ㄴ. 사용자가 입력한 비밀번호를 MD5 단방향 해시 문자열로 만듦.
  ㄷ.  SYSNET.PE.KR에서 공개한 RSA 공용키로 해시된 비밀번호를 암호화 시킴.
  ㄹ. 평문의 사용자 ID, 사용자의 평문 공용키,  암호화된 MD5 해시된 비밀번호를 서버로 전송

--- 서버 측
  ㄱ. 전송되어진 평문의 사용자를 DB에 저장.
  ㄴ. 전송되어진 평문의 공용키를 DB에 저장.
  ㄷ. 전송되어진 암호를 서버만이 가진 개인키로 복호화해서 얻은 MD5 해시된 비밀번호를 DB에 저장.



** 효과 **
  1) 해시된 비밀번호가 서버의 DB에 저장되므로 서버 관리자조차도 사용자의 비밀번호를 알 수 없음. 나아가서 DB가 해킹당해도 사용자의 비밀번호를 알 수 없음. 

  2) 만약, DB를 해킹 당한 경우에는, 해킹된 MD5 문자열을 가지고, 고성능 컴퓨터로 모든 문자열에 대해서 차례로 MD5 해시 알고리즘을 적용하여 일치하는 문자열을 찾을 때까지 반복하는 경우에는 확률적으로 원래의 비밀번호를 찾는 것이 가능.

  3) 해커가 네트워크 상에서 데이터를 가로채더라도 MD5 해시된 비밀번호 문자열이 서버 측 RSA 공개키로 암호화되어 있으므로, 해커는 RSA 개인키를 알아내야 하고 MD5 해시 문자열도 해독해야 하므로 확률은 보다 더 낮아지게 됨. 


2. 사용자 로그인

-- 클라이언트 측.
  ㄱ. 입력한 자신의 ID와 비밀번호를 Seed로 해서 개인키와 공용키를 생성.
  ㄴ. 사용자가 입력한 비밀번호를 MD5 단방향 해시 문자열로 만듦.
  ㄷ. 서버에 자신의 공용키와 아이디를 전송.
  ㄹ. 서버는 유일한 "GUID 난수"를 생성하고, "ㄷ" 단계에서 전송되어진 클라이언트의 공용키로 암호화하여 클라이언트로 반환, 또한 해당 "GUID 난수"는 서버의 DB에 해당 ID 회원 정보 테이블에 저장.
  ㄹ. "암호화된 난수 키"를 자신의 개인키로 풀어내고, 해독된 키를 Seed로 해서 RSA 개인키/공용키를 만듭니다.
  ㅁ.  "난수 키"로 만들어진 공용키로 MD5 해시된 사용자 암호를 RSA 암호화 하여 서버로 전송, 평문의 사용자 ID 전송.

-- 서버측
  ㄱ. 전송되어져 온 평문의 사용자 ID에 해당하는 "GUID 난수"를 서버의 DB로부터 조회.
  ㄴ. "GUID 난수"로 RSA 개인키/공용키를 생성.
  ㄷ. 전송되어져 온 암호화된 MD5 해시 비밀번호를 "GUID 난수"로 생성된 개인키로 RSA 복호화.
  ㄹ. 복호화된 MD5 비밀번호와 사용자 ID 정보가 서버에 있는지 조회.
  ㅁ. 있으면 정상 로긴 절차를 거치고, 저장된 서버의 "GUID 난수"를 제거.


** 효과 **
  1) 오고가는 패킷을 가로채어 마지막으로 서버로 전송되어지는 정보를 가로챈다해도 해커는 두 번 다시 그 문자열 구성으로 "재로긴"을 시도할 수 없음. 즉, 현재의 모든 웹사이트에서는 HTTP FORM이 Submit 된 시점의 데이터가 네트워크를 흘러가는 것을 가로채게 되면, 해커는 동일한 HTML FORM 구성을 통해서 간단히 재로긴을 할 수 있지만, "SYSNET" 웹사이트에서는 그것이 불가능.