사용자 편의를 위해 암호 대충 맞으면 로그인 시켜주는 페이스북. 암호가 틀렸다고 나오면 정말 당황하게 되는데요. 많은 경우 캡스락이 눌려있어서 대소문자를 반대로 입력하거나 하는 실수인데요. 그래서 캡스락이 켜있다고 알려주는 친절한 실수방지 UI도 있고요. 그런데 페이스북은 더 나아가서 그냥 그런 정도의 암호 입력 실수라면 관대하게 넘어간다고 하네요. 그리고 그런 방식이 보안에 취약한 것도 아니고요. 암호를 대충 넣어도 로그인이 되면 당연히 보안에 취약하지 않겠나 생각하겠지만 암호를 모르는 상태에서 무차별대입 공격을 하는 경우는 어차피 로그에서 걸러낼 수 있으니까 이런 실수는 암호를 알고 있어야만 가능하다고 판단하는 거죠. 방법은 단순히 기존 암호와 입력한 암호가 얼마나 비슷한지 비교하면 될텐데요. 암호는 단방향 암호화 되어 있어 입력값과 비교할 수 없습니다. 아마 입력한 암호에 실수 할 수 있을 만한 경우의 수를 다 만들어 본 후에 다시 암호화해 기록된 암호와 맞는지 확인하는 것 같습니다. 요즘 암호를 설정할 때 숫자, 대소문자, 특수 기호 등을 섞어쓰도록 복잡한 암호 규칙을 강제하고 부합하지 않는 암호는 설정조차 할 수 없도록 한 사이트들이 많은데요. 그게 보안에 도움이 되지 않다는게 밝혀졌습니다. 오히려 다른 사이트에 사용하는 암호 규칙을 사용하지 못해서 매번 암호를 잊어버리거나 어디 적어두도록 해서 오히려 보안에 해가 됩니다. 대부분 이런 사이트들은 자신의 보안이 취약한 것을 사용자의 문제로 전가하려는 곳이 많습니다.