로그인 실패 메시지 내용이 너무 광범위하지만, 보안상 이유로 제한이 있다.
고객으로부터 현재 사용하는 업무 프로그램에 대한 개선 사항을 받았습니다.
"로그인 실패하면,
아이디가 존재하지 않는지,
비밀번호가 틀렸는지에 대한 정보가 부족해서 고객들이 불편해합니다."
로그인 실패 이유에 대해서 자세히 안내했으면 좋겠다는 내용이었습니다. 하지만, 이런 불친절한 안내 메세지에 대한 이유는 다 있습니다.
로그인 실패 안내 메세지는 보안상 문제로 로그인 아이디의 존재 유무나 비밀번호 틀린 경우에 대해 알리지 않습니다.
고객의 입장에서는 불편사항을 수집해서 개발사에게 전달한 것은 알겠지만, 보안상 문제로 안내 메세지는 포괄적으로 안내하고 있다.
사이트별 로그인 실패 안내 메시지에 대한 가이드
| 네이버 로그인 실패 안내 메세지 |
|
| 비밀번호 입력하지 않을 때 | 비밀번호를 입력해 주세요. |
| 아이디 입력하지 않을 때 | 아이디 또는 전화번호를 입력해 주세요. |
| 비밀번호 틀렸을 때 | 아이디(로그인 전화번호, 로그인 전용 아이디) 또는 비밀번호가 잘못 되었습니다. 아이디와 비밀번호를 정확히 입력해 주세요. |
| 아이디 틀렸을 때 | |
| 가입하지 않은 아이디 | |
비밀번호, 아이디를 입력하지 않은 경우에는 안내가 친절합니다.
비밀번호와 아이디 틀린 경우에는 포괄적으로 안내하고 있습니다.
가입하지 않은 아이디로 로그인 했을 경우에도 포괄적으로 안내하고 있습니다.
| 다음 카카오계정 로그인 실패 안내 메세지 | |
| 비밀번호 입력하지 않을 때 | 카카오계정 비밀번호를 입력해 주세요. (영문자/숫자/특수문자) |
| 아이디 입력하지 않을 때 | 카카오계정을 입력해 주세요. |
| 비밀번호 틀렸을 때 | 카카오계정 혹은 비밀번호가 일치하지 않습니다. 입력한 내용을 다시 확인해 주세요. |
| 아이디 틀렸을 때 | |
| 가입하지 않은 아이디 | |
동일하게 5가지 로그인 실패를 유도 했는데, 안내 메세지 결과는 네이버와 비슷합니다.
| 쿠팡 로그인 실패 안내 메세지 | |
| 비밀번호 입력하지 않을 때 | 비밀번호를 입력해주세요. |
| 아이디 입력하지 않을 때 | 아이디(이메일)를 입력해주세요. |
| 비밀번호 틀렸을 때 | 이메일 또는 비밀번호를 다시 확인하세요. 쿠팡에 등록되지 않은 이메일이거나, 이메일 또는 비밀번호를 잘못 입력하셨습니다. |
| 아이디 틀렸을 때 | |
| 가입하지 않은 아이디 | |
안내 문구만 조금 다를 뿐 아이디의 존재유무나 비밀번호 오류에 대해 자세히 안내하지 않습니다.
| 코레일 로그인 실패 안내 메세지 | |
| 비밀번호 입력하지 않을 때 | 영문자,숫자,특수문자 8자리 이상으로 입력하여 주십시오. |
| 아이디 입력하지 않을 때 | 휴대폰번호를 정확하게 입력하여 주십시오. |
| 비밀번호 틀렸을 때 | 로그인 정보를 다시 확인하세요. 코레일 멤버십에 등록되지 않은 정보이거나 회원번호(이메일/휴대전화) 또는 비밀번호를 잘못 입력하셨습니다. 비밀번호는 연속 5회 틀리면 이용이 불가하니 주의 바랍니다. |
| 아이디 틀렸을 때 | |
| 가입하지 않은 아이디 | |
코레일의 경우도 안내하는 내용의 의미는 동일합니다.
로그인 실패 시 오류 메시지가 포괄적인 이유?
| 고객이 원하는 안내 메세지 |
||
| 비밀번호 입력하지 않을 때 | 비밀번호를 입력해주세요. | |
| 아이디 입력하지 않을 때 | 아이디를 입력 해주세요. | |
| 비밀번호 틀렸을 때 | 비밀번호가 정확하지 않습니다. | 보안상 문제 발생 |
| 아이디 틀렸을 때 | 아이디가 정확하지 않습니다. | |
| 가입하지 않은 아이디 | 존재하지 않는 아이디입니다. | |
고객이 원했던 내용은 위 표처럼 케이스마다 맞는 메세지를 안내하는 것이다.
아이디 존재 유무나 비밀번호 오류 정보를 제공하면, 공격자(해커)가 아이디와 비밀번호를 추측할 수 있는 정보를 제공하게 되는 셈이다.
만약, '아이디가 존재하지 않습니다.' 또는 '비밀번호가 정확하지 않습니다.' 라고 구분해서 알려준다면, 공격자는 유효한 아이디를 쉽게 추측할 수 있어요.
예를 들어, 공격자(해커)가 여러 아이디를 입력해보면서 '아아디가 존재하지 않습니다.'라는 메세지가 안 뜨는 아이디를 찾게 되면, 그 아이디가 실제 존재하는 걸 알게 되죠.
아이디를 알게 되면, 비밀번호를 무차별 대입해서 로그인 시도를 할 수 있습니다.
이런 이유로 로그인 실패에 대한 안내 메세지는 포괄적으로 안내하고, 보통 로그인 3~5번 정도 실패하면 로그인을 일시적으로 못하게 하거나, 비밀번호 초기화 유도합니다.
포괄적인 로그인 실패 메세지를 보완하기 위한 방법
아이디 찾기, 비밀번호 찾기, 비밀번호 초기화와 같이 사용자가 직접 확인 할 수 있는 방법을 유도하는 것이 좋습니다.
아이디 찾기부터해서 아이디가 없다면 회원 가입부터 해야 합니다. 아이디가 있다면 비밀번호 찾기로 넘어가면 되죠.
경우에 따라서는 내부 시스템의 경우, 아니면 일부 직원들만 사용하는 경우 그냥 안내 메세지를 실패 이유에 맞게 보여 달라고 합니다.
하지만, 저의 경험으로 보면 얼마 지나지 않아 내부 감사나 주기적으로 하는 웹취약점 점검 같은 보안 관리 업무로 인해 결국은 포괄적 안내 메시지로 변경하는 경우가 있었습니다.
그러니, 이런 요구사항을 말하는 고객을 설득하는게 더 좋을 것 같아요. 개발사는 두번 개발하지 않아도 되고, 고객은 감사나 보완관리에 지적사항으로 안 나오게 하는게 맞다고요.
'직장생활' 카테고리의 다른 글
| 엑셀 보고서 작성 시 자주 하는 실수와 가독성 높이는 팁 (0) | 2025.03.29 |
|---|---|
| 공공사업 계약 필수 인증! 직접생산확인증명 이해하기 (0) | 2025.03.20 |
| 엑셀 양식 문서 인쇄하고 싶은 만큼 페이지 나누기 (0) | 2025.03.13 |
| 이상한 이름의 폴더가 생기는 이유, 백신 프로그램이 만든 것일 수 있다. (0) | 2025.03.08 |
| 회의록 작성, 1시간 안에 끝낼 수 있는 클로바노트 사용 후기 (0) | 2025.01.12 |
댓글