스팀잇 비밀번호 관리 (비밀번호 안심하고 입력해도 되는 사이트) #1-3

안녕하세요. 박세계입니다.

비밀번호 관리 시리즈 세번째 '스팀잇 비밀번호 안심하고 입력해도 되는 사이트'입니다. 지난글 링크는 아래 목차에서 확인 가능합니다.

본 시리즈에서는 '비밀번호, 키, 개인키'를 같은 의미로 보고 혼용할 것을 미리 밝힙니다. 명확한 구분이 필요할 경우만 명시하겠습니다.

[시리즈 목차]

  1. 스팀잇 비밀번호 관리
    1. 비밀번호 종류
    2. 비밀번호 유출시 대처
    3. 비밀번호 안심하고 입력해도 되는 사이트
      1. 스팀잇 공식 사이트
      2. SteemConnect
        2-1. 사이트 용도
        2-2. 인증 예
        2-3. 인증 취소
        2-4. 믿어도 되는 표면적인 이유
        2-5. 믿어도 되는 실질적인 이유
      3. GitHub.io
  2. 암호화폐 비밀번호 관리 (세부 목차 미정)
  3. 일상 비밀번호 관리 (세부 목차 미정)

password-2781614_960_720 (1).jpg

스팀잇 비밀번호를 안심하고 입력해도 되는 사이트를 공유합니다. 이외 모든 사이트는 잠재적으로 자의적/타의적 위험요소가 있다고 보시면 됩니다.

  • 자의적 위험: 개발자를 믿고 비밀번호를 입력하고, 개발자가 그걸 고스란히 저장했는데, 원래는 믿을만한 개발자가 아니었던 상황.
  • 타의적 위험: 그럴리는 없지만 개발자가 완벽하게 정직한 사람이었는데, 관리 소홀로 비밀번호가 노출되는 상황.

1. 스팀잇 공식 사이트

https://steemit.com

누가봐도 안심해도 되는 사이트입니다. 별다른 설명을 더하지 않겠습니다.

2. SteemConnect

https://app.steemconnect.com로 시작하는 웹 페이지에서도 안심하고 스팀잇 비밀번호를 입력할 수 있습니다.

아래 설명에서 앱(App)은 모바일 앱이 아닌 웹 사이트를 뜻합니다. 완벽하게 같은 의미는 아니지만 사용자 입장에서는 큰 차이가 없습니다. 혼용해서 사용할 것을 미리 밝힙니다.

2-1. 사이트 용도

용도는 입장에 따라 둘로 나뉩니다. 본 글은 일반 사용자 입장을 중점적으로 다루겠습니다.

  • 개발자: 스팀잇 계정 인증이 필요한 앱 생성/관리 (차후 별도 글에서 다룰 예정)
  • 일반 사용자: 안심하고 인증

2-2. 인증 예

busy.org 적용 예를 살펴보겠습니다.

  1. 우측 상단 Log in 클릭
    Busy.png

  2. 권한 확인

    인증 후 어떤 권한을 앱(@busy.app)에 허가하는지 미리 확인 가능합니다. 주소가 https://app.steemconnect.com로 시작되는 걸 볼 수 있습니다.

    busy-auth.png

  3. 아이디/비밀번호(키) 입력
    SteemConnect.png

  4. 로그인 완료
    logged-in (1).png

2-3. 인증 취소

인증을 언제라도 취소할 수 있습니다. 즉, 해당 앱과의 연결고리를 언제든 끊을 수 있습니다.

  1. https://app.steemconnect.com/dashboard 로그인

    이렇게 매우 심심한 페이지를 볼 수 있습니다.

    SteemConnect (1) (1).png

  2. Authorized Apps 클릭 후 보여지는 페이지입니다.

    Revoke 클릭 시 인증이 취소되어 해당 앱과의 연결고리가 끊어집니다.

    SteemConnect (2) (1).png

2-4. 믿어도 되는 표면적인 이유

Steemit과 공식 파트너쉽을 맺은 Busy 팀에서 만들었습니다. 즉, 공식 사이트라고 봐야 합니다. 파트너쉽 관련 세부사항은 다음 번역글 참조 바랍니다.

2-5. 믿어도 되는 실질적인 이유

비밀번호가 외부 사이트로 절대 넘어가지 않으며, https://app.steemconnect.com 에서 모든 처리를 마친 후 토큰(access_token)을 발급해주고 이걸 앱에서 사용하는 식입니다. 해당 토큰을 통해, 인증시 사용자가 허락한 권한에 해당하는 행위만 앱에서 사용 가능합니다.

'2-3. 인증 취소'에도 명시했듯 사용자가 언제든 인증을 취소할 수 있습니다. 즉, 언제든 사용자 마음대로 토큰을 무력화 시킬 수 있습니다.

사용자는 제한된 기능만 허용해주고 원하면 언제든 취소할 수 있어 안심 할 수 있으며, 개발자도 비밀번호를 통째로 전달받아 별도로 관리해야 하는 부담을 없앨 수 있어 좋습니다.

3. GitHub.io

100%는 아니지만 그나마 약간은 안심하고 이용 할 수 있는 사이트가 있습니다. https://xxx.github.io 로 시작하는 사이트가 그것입니다.

@nhj12311 님과 @asbear 님이 제작하신 다음 사이트들이 좋은 예가 될 수 있습니다.

믿을만한 분들이지만 그렇다고 비밀번호를 무작정 넘겨주는 일은 당연히 없어야 합니다. 타의적 위험 또한 도사리고 있기 때문입니다. 저는 저도 안믿습니다.

위 사이트들을 어느 정도 믿어도 좋은 이유는 다음과 같습니다.

요약하면, 소스 코드가 100% 공개되어 그대로 보여지는 사이트이기 때문에, 개발자가 악의적인 코드를 넣을 가능성이 상대적으로 적습니다. 그렇다고 100% 믿어서는 당연히 안됩니다. 모두가 코드를 확인할 수 있는것도 아니고, 확인할 수 있다 해도 진짜로 매번 확인하며 사용할 수는 없기 때문입니다.

개인적으로 '믿을만한 개발자'도 온전히 믿지 않으며, 'github.io에 올라간 사이트'도 온전히 믿지 않습니다. 하지만, '좀 많이 믿을만한 개발자 + github.io에 올라간 사이트' 조합의 경우는 믿고 사용하는 편입니다. 판단에 도움이 되었으면 합니다.


다음에는 스팀잇을 벗어나 더 큰 개념인 '암호화폐 비밀번호 관리' 시리즈로 찾아뵙겠습니다.

읽어주셔서 감사합니다.

H2
H3
H4
3 columns
2 columns
1 column
20 Comments