심지어 초록창 포털의 아이디는 내가 쓰는 아이디인데도 불구하고, '가입하지 않은 아이디이거나'라는 메시지를 보여줬다.
아이디가 틀렸는지 비밀번호가 틀렸는지 정확하게 알려주면 안 될까..사용자 편의성을 높인다고 하면서 이건 왜 이렇게 불친절한지 주변 기획자와 개발자에게 물어봤다.
보안 적인 문제라고 한다. 아이디는 있는데 비밀번호는 틀렸다고 알려주면 비밀번호 유추가 가능하다는이야기인 건가.
설령 그렇다고 한들 보안적인 문제를 왜 고객을 담보로 해야 하나. 고객의 편의성을 높이면서(또는 해치지 않으면서) 보안을 강화해야 하는 것이 보안이 해야 할 역할이지 않을까.
이럴 수는 있다.
홍길동이 아이디 abc, 비밀번호 1234를 쓴다고 가정하자.
홍길동이 사이트에 아이디 abcd, 비밀번호 1234라고 잘못 쳤다면, (abcd라는 아이디를 가진 사람이 있을 경우)비밀번호만 틀렸다고 나올 거다. 사실은 아이디가 틀렸는데..이런 문제 때문인 걸까. 그래서 뭐가 맞고 틀렸는지 서비스는 모르겠으니 그냥 둘 중 하나가 틀렸다고 하는 걸까.
일반 사용자들이 아이디를 틀릴 확률과, 비밀번호를 틀릴 확률 중에 뭐가 더 높을지 생각해 보자.
보통 아이디는 서비스별로 다르게 쓰지 않는다. 특별한 이유가 아니라면 같은 아이디를 쓰는 것이 일반적이다. 그에 반해 비밀번호는 요즘 서비스별로 정책이 달라서 어떤 곳은 10자리 이상을 꼭 써야 한다거나, 어떤 곳은 특수문자를 포함해야 하고, 어떤 곳은 포함이 되면 안 되고 한다.
자, 그럼
1. 아이디, 비밀번호 중 뭐가 틀렸는지 알려주는 방법
장점은, 아이디는 제대로 입력했고 비밀번호만 틀렸을 경우 비밀번호만 찾으면 된다.
단점은, 아이디를 잘못 입력해도 다른 사용자가 쓰고 있는 아이디인 경우 비밀번호가 틀렸다고 나온다. 단, 비밀번호를 찾으려면 이름을 넣어야 하니 비밀번호 찾기를 하면아이디가 틀렸다는 것을 알 수는 있다.
2. 아이디, 비밀번호 중 뭐가 틀렸는지 알려주지 않는 방법
장점은, 위와 같은 케이스를 고민할 필요가 없다.
단점은, 비밀번호만 틀린 사용자가 뭘 틀렸는지 몰라서 아이디도 찾고, 비밀번호도 찾아야 한다.
