[java] 패스워드 인코딩과 해싱

07 Dec 2023

java

패스워드 보안은 웹 애플리케이션 개발에서 매우 중요합니다. 사용자의 패스워드를 안전하게 저장하기 위해서는 패스워드 인코딩과 해싱을 사용해야 합니다. 이 글에서는 Java에서 패스워드를 안전하게 다루는 방법에 대해 알아보겠습니다.

1. 패스워드 인코딩

패스워드 인코딩은 패스워드를 암호화하는 과정입니다. 이 과정에서 사용하는 알고리즘 중에는 MD5, SHA-1, SHA-256 등이 있습니다. 하지만 이러한 알고리즘들은 현재 보안에 취약한 알고리즘들이므로 사용을 권장하지 않습니다.

Java에서는 java.security.MessageDigest 클래스를 사용하여 패스워드를 인코딩할 수 있습니다. 다음은 SHA-256 알고리즘을 사용하여 패스워드를 인코딩하는 예제 코드입니다.

import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class PasswordEncoder {
    public static String encodePassword(String password) {
        try {
            MessageDigest digest = MessageDigest.getInstance("SHA-256");
            byte[] encodedHash = digest.digest(password.getBytes(StandardCharsets.UTF_8));
            StringBuilder hexString = new StringBuilder();
            for (byte b : encodedHash) {
                String hex = Integer.toHexString(0xff & b);
                if (hex.length() == 1) hexString.append('0');
                hexString.append(hex);
            }
            return hexString.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
    }
}

위 코드에서 encodePassword 메소드는 입력으로 받은 패스워드를 SHA-256 알고리즘을 사용하여 인코딩합니다. 이후 HEX 형식으로 변환하여 반환합니다.

2. 패스워드 해싱

패스워드 해싱은 패스워드를 인코딩하는 것과는 다르게 일반적으로 더 안전한 방법입니다. 해싱은 단방향 암호화 알고리즘을 사용하여 패스워드를 암호화하는 과정입니다. 암호화된 패스워드를 복호화하여 원본 패스워드를 얻을 수 없으므로 보안성이 높아집니다.

Java에서는 java.security.MessageDigest 클래스를 사용하여 패스워드를 해싱할 수 있습니다. 다음은 SHA-256 알고리즘을 사용하여 패스워드를 해싱하는 예제 코드입니다.

import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class PasswordHasher {
    public static String hashPassword(String password) {
        try {
            MessageDigest digest = MessageDigest.getInstance("SHA-256");
            byte[] encodedHash = digest.digest(password.getBytes(StandardCharsets.UTF_8));
            StringBuilder hexString = new StringBuilder();
            for (byte b : encodedHash) {
                String hex = Integer.toHexString(0xff & b);
                if (hex.length() == 1) hexString.append('0');
                hexString.append(hex);
            }
            return hexString.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
    }
}

위 코드에서 hashPassword 메소드는 입력으로 받은 패스워드를 SHA-256 알고리즘을 사용하여 해싱합니다. 마찬가지로 HEX 형식으로 변환하여 반환합니다.

3. 보안 강화

패스워드 인코딩과 해싱은 기본적인 보안 수준을 제공하지만, 추가적인 보안을 위해 몇 가지 강화 방법을 적용할 수 있습니다.

솔트(Salt): 패스워드를 해싱할 때 랜덤한 문자열을 추가로 사용하여 보안성을 강화합니다. 이렇게 생성된 솔트를 함께 저장하여 같은 패스워드라도 다른 값으로 해싱되도록 합니다.
스토레이지 암호화: 저장되는 패스워드를 추가적인 암호화 알고리즘을 사용하여 저장합니다. 예를 들어 AES 알고리즘을 사용하여 패스워드를 암호화할 수 있습니다.
비밀번호 정책: 사용자가 약한 패스워드를 사용하지 못하도록 강제할 수 있도록 비밀번호 정책을 설정해야 합니다.

이러한 추가적인 보안 강화 방법들을 적용하면 패스워드 보안을 더욱 강화할 수 있습니다.

참고자료

Java MessageDigest documentation

이 글은 개인정보 보안을 위해 패스워드를 안전하게 처리하기 위한 기술에 대해 설명한 것으로, 실제 구현에서는 보안 전문가의 조언과 가이드를 따라야 합니다.