안녕하세요, TISTORY입니다.

지난 2월 2일부터 시범운영한 로그인 보안 기능을 정식 오픈합니다. 현재까지 3천 여개의 계정에서 사용 중이며 등록된 기기는 7천 여개에 달합니다. 많은 분들의 사용으로 안정성을 확인하였으므로 이제 모든 계정에 로그인 보안 기능을 활성화하려고 합니다

Q&A

정식 오픈으로 무엇이 달라지나요?

모든 계정에 로그인 보안이 기본적으로 활성화됩니다. 시범운영 기간 동안에는 원하는 분들만 활성화하여 사용하는 방식이었지만 이제는 모든 계정에 활성화됩니다. 원하는 분들은 비활성화 할 수 있습니다.

로그인 아이디로 사용하는 이메일은 이제 메일 수신이 안돼요

로그인 아이디는 티스토리에서 사용자를 인증할 수 있는 유일한 통로입니다. 반드시 수신이 가능한 이메일을 사용해주셔야 합니다. 혹시 의도치 않게 수신이 불가능한 상태가 되었고 로그인도 안 되는 상태라면 티스토리 고객센터로 문의해주세요. 방법을 찾아보겠습니다. 또한 로그인을 돕기 위한 인증도구 추가도 검토 중이니 이 부분은 양해 바랍니다.

비밀번호 외에 추가적인 인증이 왜 필요하죠?

비밀번호는 사용자가 만들어 티스토리에 암호화된 상태로 전달하며 전달된 비밀번호는 암호화된 상태로 저장합니다. 그래서 만든 사용자 외에는 아무도 알지 못합니다. 그러나 동일한 비밀번호를 암호화되지 않은 사이트에서 사용하였거나 피싱사이트에서 실수로 입력하였거나 혹은 취약한 서버에 대한 크래킹으로 노출되는 등의 이유로 사용자 외에 이 비밀번호를 알게 될 가능성이 있습니다. 그리고 우리는 지금까지 수많은 사례를 만나왔습니다. 동일한 비밀번호를 모든 곳에서 변경 없이 사용하는 한 완전한 안전을 기대하기 어려운 상황입니다.

계정을 안전하게 유지하기 위해서 다음과 같은 수칙을 지켜주셔야 합니다.

  1. 사이트마다 다른 아이디, 다른 비밀번호 사용하기
  2. 수시로 (적어도 6개월에 한 번 이상) 비밀번호 변경하기
  3. 암호화되지 않는 사이트에서 비밀번호 입력하지 않기

현실적으로 이러한 수칙이 수많은 사이트에서 모두 지켜지기란 어려운 일이라는 것을 알고 있습니다. 그래서 티스토리는 사용자의 비밀번호가 노출되더라도 계정을 보호할 수 있도록 로그인 보안 기능을 도입하게 되었습니다.

일회성 비밀번호(OTP)를 도입하지 않나요?

OTP를 사용하기 위해서는 OTP 전용 앱 설치와 OTP를 위한 인증을 거쳐야 합니다. 그래서 당장 도입하더라도 지금 당장은 계정을 보호하는데 큰 도움이 되지 않는다고 판단했습니다. 티스토리는 계정을 보호하기 위한 가장 좋은 방법을 찾고자 계속해서 노력 중이며 OTP가 필요하다고 판단되면 적극 도입하도록 하겠습니다.

티스토리 비밀번호를 사용한 로그인 대신 소셜로그인을 도입하지 않나요?

소셜로그인을 사용하면 티스토리 비밀번호를 사용하지 못하게 막을 수 있고 비밀번호의 사용을 최소화 할 수 있어 보안에 일부 도움이 된다고 할 수 있습니다. 그러나 여전히 비밀번호는 해당 소셜서비스에서 사용 중이며 티스토리와 연결된 소셜서비스도 완전히 안전하다고 할 수는 없어 이를 보안의 도구로는 사용하지 않을 계획입니다. 보안과는 별개로 사용자 편의 기능으로 제공하고자 검토 중입니다.


더 안전한 티스토리가 되기 위해서 항상 노력하겠습니다. 감사합니다.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by TISTORY
TAG

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. OTP 도입은 필수라고 생각합니다.
    요즘은 모 게임사도 자사 OTP를 폐지하고 구글 OTP로 도입을 했는데..
    자사 otp가 뚫려서 그런지는 모르지만..
    구글 otp를 라이센스 체결하에 이용하는 것으로 보입니다.

    그리고 비밀번호는 자주 바꾸더라도..
    나날이 발전해 가는 해킹 시도로 인해 해킹을 100% 막을 수 없습니다.

    실제로 경험한 것이지만..
    비밀번호 3개월 단위로 12자리이상 영어 숫자 특문등 섞어 수시 변경한 상태에서도

    중국 및 일본발 해킹 시도를 통해 네이버 등 다른 사이트도 해킹을 당했고

    네이버등 사이트 이용 제한으로 원상 복구하는데 약 몇 달 정도 걸렸습니다.

    그 해킹 당한 이후 OTP를 도입 한 후..

    해킹 시도가 있어도(로그인 기록에 로그인 실패 아이피 기록등) 비밀번호가

    해킹으로 누출되었더라도 OTP 도입을 한 사이트라면 OTP 키가 없으면
    로그인 자체가 되지 않기 때문에 해킹을 당할 수가 없습니다.
    *** 자사 혹은 구글 OTP의 알고리즘을 뚫지 않는 한.

    비밀번호 누출이 되어 OTP 도입이 안된 다른 사이트는 해킹을 당할지는 몰라도
    도입된 사이트에서는 당장은 해킹에서 차단을 해주기 때문에
    보안 면에서는 좀 더 괜찮다고 생각합니다.

    실제로 로그인 기록에서 해외발 아이피나 우회 아이피등으로 접속 기록을 보게 되면
    당장 비밀번호를 바꾸겠지만.. 사이트 사용자 입장에서는

    가입된 수십개가 넘는 사이트를 비밀번호 변경 또한
    새로 바꾼 암호를 기억하기도 어렵고 그렇다고 다른 곳에 기록하는 것도
    보안 면에서 위험 리스크가 큽니다.

    OTP 도입한 사이트의 비밀번호가 누출되었다고 해도 OTP 없이는 로그인을 막는 것이
    사용자 입장에서는.. 대부분 동일한 비밀번호를 쓰는게 6~80%이기 때문에

    해킹을 시도를 감지하거나 해킹을 당하여 급하게 해킹 안된 가입된 수십개의 사이트 각기 다른 비밀번호 변경등
    번거롭지 않을 수 있습니다.(특히 일부 사이트는 한번 사용한 비번은 사용 못하게 되어 있습니다.)

    OTP가 적용이 안된 사이트부터 비밀번호 변경하고 OTP 도입된 사이트 변경 순으로
    하게 된다면 사용자 입장에서는 급해지는 마음은 어느 정도는 덜거라 생각합니다.

    그리고 현재 적용된 해외 아이피 차단 및 로그인 기기 체크는 해봐야 무용 지물입니다.

    프록시등 우회 ip로 접속한다면 그냥 뚫리고 인증 메일도 해킹을 당하면 바로 해킹될 수 있습니다.

    그렇다고 일정 비밀번호 틀리면 블럭 거는 건 사용자 입장에서는 큰 불편을 줄 수 있습니다.
    - 모 사이트가 이런 방식 때문에 매번 인증해야 하는 불편함이 있습니다.

    실제로 한국에서 제공하고 있는 프록시 우회 사이트 아이피가
    중국이나 일본등 대부분 해킹의 용도로 사용되고 있습니다.

    OTP 도입은 반드시 되어야 한다고 봅니다.
    다만 자사 OTP의 경우 알고리즘 해킹으로 OTP가 무용지물이 되기 전에
    수시 보안 업데이트로 OTP 관리가 필요합니다

    구글 OTP의 경우 수시로 보안 업데이트를 하며 사용자 고유 코드는
    임의로 앱을 제거하지 않는 한 삭제 되지 않으며 실수로 앱 삭제 혹은
    휴대폰 분실 또는 파손으로 인한 휴대폰 변경등으로 OTP 복구 코드도 제공합니다.

    아무튼 OTP 도입이 꼭 적용되길 바래 봅니다.

  3. 안녕하세요, 티스토리입니다.

    갑작스러운 인증 요구에 당황하셨으리라 생각합니다. 끊임없이 발생하는 보안사고와 해킹시도에 티스토리는 사용자의 계정을 지키기 위해서 강력한 보안장치를 마련할 수 밖에 없었음을 양해해주시기 바랍니다.

    이메일 수신이 안되는 분들은 더 당황하셨을 것 같은데요. 고객센터를 통해 문의하시면 몇가지 정보를 확인한 후에 로그인할 수 있도록 안내해드리고 있으니 당황하지 마시고 고객센터로 문의해주세요.

    - 고객센터 : http://cs.daum.net/faq/173.html

    그리고 로그인 아이디로 사용하는 이메일은 티스토리가 여러분을 인증할 수 있는 유일한 통로이니 반드시 수신가능한 이메일을 사용해주시길 다시 한번 부탁드립니다. 이메일 수신이 안되면 계정에 문제가 발생한 경우 해결하기가 몹시 곤란합니다.

    - 이메일 변경하기 : https://www.tistory.com/member/modify/loginId

    더 안전한 티스토리를 만들기 위해서 계속해서 노력하겠습니다. 감사합니다.

  4. 추가 인증 요구는 개인정보 보호를 위해 필요합니다. 불편하더라도 내 정보 지키는 일이라고 생각하면 아쉬울 것 없습니다. 티스토리의 방침에 찬성합니다.

  5. 모바일과 pc 두 기기만 인증받아 사용하고 있었는데 어제 처음으로 다른 기기에서 로그인해보았습니다.
    로그인시도 -> 등록한 메일로 보내진 번호로 인증 필요 -> 메일 로그인시도 -> 다음메일이라 메일 로그인에도 핸드폰으로 번호인증필요 -> 본인핸드폰으로 번호 확인 후 인증 -> 메일 로그인 완료 -> 티스토리 로그인 인증 완료
    이런 절차를 거치게 되는데, 길어야 1분도 안걸리고 다른 기기에서 사용하는 경우는 드물것이다보니 보안이 되어서 좋은 것 같네요. 물론 otp방식이 더 좋을 것 같긴하지만 다음메일 로그인이 이미
    otp방식이라 문제없을 듯 합니다.

  6. 비밀댓글입니다

  7. 네이버 웨일 사용중입니다. 최초에 이 설정이 도입된 후 인증을 완료 했습니다.
    이후 웨일 업데이트 이후 또 추가 인증하라고 뜹니다. 확인 부탁드리고 이 기능으로 강력한 보안이 된다는 취지는 이해 합니다만 너무 불편합니다. 예고도 없이 이렇게 바뀌니까 황당하네요. ON/OFF기능 추가 부탁드립니다.

    그리고 솔직히 보안 뚫리는게 유저탓인가요? 암호화 제대로 못한 회사 탓이지.

  8. 이거 멉니까?.. 갑자기 안되고.... 집하고 일터에서 왔다갔다하며 가끔 글이나 아이디어 쓰는데..
    갑자기 글을 좀 쓰려고 집에서 로긴하는데.. 로긴 안되고.....
    문제의 핵심은...
    그렇다고 뭘 어떻게 하라고 하는지 설명도 제대로 없고...쓰지않는 한메일계정은 휴면처리 되어 있고.. 한참 동안 왔다갔다만 하고 있네요. 아주 아주 열받네요...뭘 쓰란말인지 쓰지말란 말인지... 그동안 비번도 조합이 어려워서 바꾸면 까먹을까봐 버티고 있었는데..

    이걸 쓰는 이유가 아무데나서 접근성이 편해서.. 이걸 쓰는거지.. 기기등록하고 쓰려면 그냥 핸펀이나 놋북 들고다니면서 거기에 쓰고 말지... 이거 머하는 짓인겨

  9. 업데이트는 하루아침에 했는데, 고객센터에 보낸 메일 답변은 다음달쯤에 올까요?^^

  10. 분명 새로운 기기도 아니고 새로운 브라우저를 사용하는것도 아닌데 자꾸 새로운 기기라면서 거의 매번 로그인 할때마다 인증메일을 확인하라고 하네요. 이거좀 해결 해 주새요.

  11. 사파리에서 하려니 뭐가 된다 안된다... 사용자 입장에서 좀 더 생각해서 만들었으면 좋았을텐데... ㅉㅉㅉ

  12. 겨우겨우 고객센터에 문의해서 이메일 주소 바꿨네요. 하마터면 아예 블로그를 그냥 포기할뻔;;

  13. 보안에 신경쓰는 모습은 좋지만..
    저같은 경우는 항상 같은 PC에서 로그인 하는것이 아니라서 조금 번거롭네요

  14. 통째로 해킹 당한 적도 있는데..신고해도 앵무새 답변만 하더니..

  15. 카카오 합병후 여러서비스가 종료되면서 루머가 돌던데
    티스토리 서비스 종료하지 말아주세요 제발 ㅜㅜ~

  16. 로그인 인증 무한루프로
    메일로 인증받고 비번바꿔도 로그인할수가 없습니다.
    블로그 포기하게 만들지 말고 인증과정을 절차부터 제대로 하는게 더낫겠네요

  17. 보안에 신경쓰는건 좋은데 인증한 기기에서도 몇번이나 다시 인증하게 만드네요, 유저 편의성은 버린 느낌입니다.

  18. 이게 뭐지.... 비활성화 안되면 티스토리 버리고 다른곳으로 가야지

  19. 난 내가 이상한줄 알았더니 아니었네 ..
    같은 기기에서도 몇번씩이나 인증하고 ..
    난 집보다 게임방갈때 로그인을 많이해서
    할때마다 인증해야 되는데 ... 너무 귀찮..
    인증 시스템 해지시켜 버림 ㅋ
    또 이 시스템 불편하신분 저처럼 해지하세요
    관리자들어가면 해지기능 있습니다 ㅋ
    그리고 예전에 다른 아이디 쓸때 해킹 당했다고
    문의 보내도 처리는 안되고 앵무새 답변만 보내더니
    갑자기 보안에 신경쓰는척 하니까
    당황 스럽네요 ㅋㅋㅋ
    그냥 하던대로 해요 .. ㅋㅋㅋ
    가끔 게임하고 블로그 하는 맛에
    인터넷 하는데 .. 블로그 하기가 불편해지면
    옮길수 밖에 없어요 .. 솔직히 티스토리를 하는 이유가
    어디서나 할수 있고 .. 간편하기 때문인데
    그게 안되면 굳이 티스토리를 할필요가 없죠 ..

  20. 엣지에서 로그인 하면 사진 업로드 하려면 플레쉬 최신 버전 설치하라고 나오고

    요즘 플레쉬 누가쓰나요?

    다시 익스로 로그인 하려고 하니깐 다시 인증 하라고 하고

    이게 뭐하는 건지 참...

  21. 안드 인터넷창에서 기기 인증하라고해서 인증하고 메일에 있는 로그인하기 눌렀더니 또 인증하라네. 총 4번 똑같은 짓 하다가 마지막에 기기 인증하라는 창 닫고 인증메일로 들어가 로그인하니까 이제탸 로그인됨. 참....누구 똥개 훈련 시키는 것도 아니고 ㅡㅡ*



티스토리 툴바