미니 다른 암호관리자 앱을 써서 몰랐는데... 삼성패스는 굉장히 폐쇄적이었네요?
- 지나가던호갱
- 조회 수 795
- 2022.10.04. 16:39
삼성패스 쓰는 분들이 많은지는 모르겠는데, 오늘 게시글 보다가
삼성패스는 암호 내보내기도 안 되고, 타 플랫폼에서는 지원도 안 된다는 걸 처음 알았읍니다..
ㄷㄷㄷ
암호 관리자앱이 이렇게 폐쇄적이어도 되는 건지 모르겠네요..
저는 iOS/안드로이드/윈도우/맥 다 쓰는지라 암호관리자를 1Password 쓰고 있습니다.
1Password는 거의 모든 플랫폼을 지원하고, 암호를 csv나 다른 포맷으로 내보낼 수도 있어서
마음에 안 들면 암호 출력해서 그냥 옮기면 됩니다
[물론 이때 평문으로 저장되기 때문에 암호화된 장소로 옮기는 걸 추천하고, 마이그레이션 끝나면 잘 지워야죠]
사실 이건 암호 관리자앱이라면 굉장히 기본적인 건데... 좀 놀랐습니다.
그 논리는 사실 모든 암호관리자에 해당됩니다. 암호 관리자 자체가 뚫리려면 고유 시크릿 키(34자) + 사용자가 지정한 암호 + 2중 인증까지 뚫려야 합니다(1password의 경우). 이게 뚫릴 정도의 상황이라면 삼성패스라고 안 뚫릴 것 같지 않습니다.
애초에 나 비밀번호 내보내고 싶어요~ 라고 하는 것 자체가 암호관리자 앱에서 사용자 인증 다 마친 상황에서만 가능한 거라 이거 막는다고 일어날 보안 사고가 막히지 않습니다. 이미 이게 뚫린 상황 같으면, 사용자 휴대폰이 누군가의 손에 넘어갔는데, 액세스까지 다 넘어간 상황이라 출력 안 되면 그냥 수기로 노가다지만 옮기면 땡이죠(.....
그렇게 볼 수도 있지만, 가장 중요한건 이미 비밀번호를 내보내는 상황 자체가 사용자 인증까지 다 끝난 상황에서만 가능하다는 점입니다. 그 상황에서 내보내기 막아 봐야, 사용자 인증까지 뚫린 상황이면 내보내기를 막는다고 한들 이미 비밀번호에 다 액세스가 되는 상황이라 고려할 필요가 없습니다.
다시 말씀드리지만, 암호를 내보내겠다는 것은 사용자가 이미 인증까지 다 마치고 명시적으로 나는 자료를 빼겠어라고 선언하는 거고, 이 단계에서 유출이 될거면 이 기능 없어도 유출된 거나 다름 없습니다.
전 그래서 삼성패스 버리고 나스에 Vaultwarden(bitwarden) 올려서 쓰고있네요