디바이스에 pin code를 인증 하는 방식과
서버에 pin code를 인증하는 방식에서 어느쪽이 좋을까요?
디바이스에&nbsp; pin code를 암호화 하여 저장한다고 해도 결국 메모리 변조나 앱변조 방법으로 우회가 가능하고
서버에서 인증하는 방법은 response를 변조하여 우회가 가능합니다.
pin code를 https통신 으로 서버에서 인증하는 방식일때&nbsp;
파라메터의 pin code가 암호화 하지 않고 보낼때 취약점으로 잡아야 할까요?&nbsp;
저는 취약점은 아니라고 보고 있습니다.
일반적으로 웹 취약점 진단시 https통신에서 아이디 / 패스워드 인증할때도 패스워드를 암호화 하지 않아도 취약점으로 잡지 않기때문입니다.

안녕하세요. 보안프로젝트 김태영입니다.

진단하는 서비스에서 HTTPS 통신으로 아이디/패스워드 인증할 때 패스워드를 암호화하지 않아도 취약점으로 잡지 않으셨다면, PIN code도 이와 동일하게 판단하시면 될 것 같습니다.

감사합니다.

인프런 커뮤니티 질문&답변

pin code 인증에 대해서