위키백과:Wikipedia Signpost/2007-05-14/Committed identity위키백과 표지판/2007-05-14/규격 지정

Wikipedia:


지름길

사용자 지정 ID를 통해 계정 가로채기 방지

2007년 5월 14일 대처131에 의해

지난주 5개의 관리자 계정이 비밀번호에 금이 가서 해킹당했다는 보고에 따라 망고쥬이스(다른 여러 명의 도움을 받아)는 자신을 원래 계정 소유자로 식별해 피랍된 계정에 대한 통제권을 되찾기 위해 편집자들이 이용할 수 있는 방법을 제안했다. 이번 글에는 300여 명의 이용자가 이 방법을 이용해 신원을 확인했다.

뭔데?

템플릿:사용자 커밋된 ID는 나중에 편집자들이 템플릿이 배치된 날에 자신의 계정을 관리했던 사람임을 증명할 수 있는 방법을 제공한다. 이것은 비밀 문자열에 대한 공개 약속을 사용자 페이지에 넣어, 그들의 계정이 손상될 가능성이 희박한 경우, 납치자에 의해 비밀번호가 변경되었더라도, 그들이 다른 누군가에게 사용자 이름 뒤에 있는 진짜 사람이라는 것을 확신시킬 수 있도록 하는 것이다.

작동 방식

편집자는 비밀 문자열을 선택한다. 이것은 단어와 숫자의 그룹 또는 계정 소유자에게만 알려진 구절이다. 비밀 문자열은 어떤 길이든 될 수 있다. 좋은 문자열은 최소한 15자를 포함할 것이며 전화번호나 개인 이메일 주소(백과사전 계정과 관련된 주소가 아님)와 같이 계정 소유자만이 알 수 있는 고유한 정보를 포함한다. 그런 다음 SHA-2(SHA-512, SHA-384, ...) 또는 SHA-3와 같은 암호 해시함수를 통해 비밀 문자열을 처리하여 고유한 해시 값이나 커밋을 생성한다. 약속은 편집자의 사용자 공간 어딘가에 배치된다. 계정이 손상되거나 가로채는 경우 편집자는 신뢰할 수 있는 관리자 또는 개발자에게 비밀 문자열을 제공하며, 편집자는 비밀 문자열이 약속 값과 일치하는지 검증한다. 해시함수는 "일방향"이기 때문에 주어진 해시값과 일치하는 문자열 값을 찾기 위해 거꾸로 계산하는 것은 불가능하며, 같은 해시값(해시충돌)을 가지는 랜덤 문자열의 확률은 무시할 수 있다. 따라서 주어진 가치를 만들어내는 끈을 아는 것은 그 끈을 주는 사람이 원래 그것을 출판한 사람이라는 매우 강력한 증거다. 일단 문자열이 확인되면 개발자는 비밀번호를 재설정해 원래 계정 소유자가 다시 통제력을 되찾을 수 있게 된다.

또는 사용자는 PGP 키패어를 만들어 공개 키를 사용자 페이지에 배치한 다음 개인 키를 사용하여 도전자가 서명하고자 하는 메시지에 서명함으로써 자신의 신원을 증명할 수 있다. 그러나 이를 위해서는 더 많은 기술적 역량이 필요하며, 개인 키 파일이 잘 보호되도록 하는 것이 필요하다(물론 암호문자로 암호화할 수는 있지만, 그것은 더 이상 단순한 메시지가 아니다).

예: 사용자:도널드덕1은 조카들의 이름과 생년월일을 담은 '비밀 문자열'을 선택한다. 그의 현은, 

1937년 10월 17일 헤위, 듀이, 루이.


하지만, 만약 도날드덕1이 위키피디아에 그의 가족을 언급했다면, 이것은 너무 쉽게 추측될 수 있을 것이다. 유용한 변화는 다음과 같은 것이다. 


허웨이 10월 듀이 17 루이 1937. 에그 샐러드는 살인이야!


사이트를 사용하여 SHA-512 해시 값이 생성됨 


b43f3e39e39ede3f5012144badfc64687a2f516dd5d5d1205d89e00c15f8609adfd085fd388d1008d4ab0040edecf62671db8258e7d3ad42


사용자:DonaldDuck1이 템플릿:다음과 같은 사용자 커밋된 ID:

{{user committed ID b43f3e39ede317144badfc64687a2f516dd5d1205d89e0015f8609adfbd038f8d185e4ab0040edecf62671db6258e7d3ad42 SHA-512}}}}}}}

다음과 같은 경우:

Committed identity: b43f3e39de3f501217144badfc64687a2f516d5d1205d89e51c003715f8609adfbd085afcac3839f7d1008d185e4ab0040edecf62671dbf66a825823e7d3ad42 is a SHA-512 commitment to this user's real-life identity.

도날드덕1의 계정이 손상되거나 납치되는 경우, 그는 이 문자열을 위키미디어 재단 사무소에 이메일로 보낼 수 있다. 만약 문자열의 해시 값이 이전에 자신의 사용자 페이지에 게시된 해시 값과 일치한다면, 그는 자신이 올바른 계정 소유자임을 증명할 것이다.

노트

  • 비밀의 끈을 잃지 마라.
  • 템플릿이 SHA-512로 기본 설정되지만, 모든 암호화 해시함수를 사용할 수 있다. 대체 방법에 대한 자세한 내용은 이 웹 사이트를 참조하십시오.
  • 당신의 비밀스러운 끈은 당신이 자신에 대해 공개적으로 밝힌 것에 근거하여 쉽게 추측할 수 있어서는 안 된다. 예를 들어, 위키피디아에서 실명을 사용한다면, 주소나 전화번호는 추측할 수 있는 것일 수 있으므로, 문자열의 일부를 추측할 수 없는 비밀로 만들어야 한다.
  • 이것은 당신의 계정에 강력한 비밀번호를 사용하는 대신 사용할 수 없다. 애초에 당신의 계좌를 절대 도둑맞지 않는 것이 좋다.


자원

이번 주에도: 손상된 계정Committed ID학술 저널 취재 — WikiWorld특징관리자중재