안녕하세요. 박세계입니다.
비밀번호 관리 시리즈 세번째 '스팀잇 비밀번호 안심하고 입력해도 되는 사이트'입니다. 지난글 링크는 아래 목차에서 확인 가능합니다.
본 시리즈에서는 '비밀번호, 키, 개인키'를 같은 의미로 보고 혼용할 것을 미리 밝힙니다. 명확한 구분이 필요할 경우만 명시하겠습니다.
[시리즈 목차]
- 스팀잇 비밀번호 관리
- 비밀번호 종류
- 비밀번호 유출시 대처
- 비밀번호 안심하고 입력해도 되는 사이트
- 스팀잇 공식 사이트
- SteemConnect
2-1. 사이트 용도
2-2. 인증 예
2-3. 인증 취소
2-4. 믿어도 되는 표면적인 이유
2-5. 믿어도 되는 실질적인 이유 - GitHub.io
- 암호화폐 비밀번호 관리 (세부 목차 미정)
- 일상 비밀번호 관리 (세부 목차 미정)
스팀잇 비밀번호를 안심하고 입력해도 되는 사이트를 공유합니다. 이외 모든 사이트는 잠재적으로 자의적/타의적 위험요소가 있다고 보시면 됩니다.
- 자의적 위험: 개발자를 믿고 비밀번호를 입력하고, 개발자가 그걸 고스란히 저장했는데, 원래는 믿을만한 개발자가 아니었던 상황.
- 타의적 위험: 그럴리는 없지만 개발자가 완벽하게 정직한 사람이었는데, 관리 소홀로 비밀번호가 노출되는 상황.
1. 스팀잇 공식 사이트
누가봐도 안심해도 되는 사이트입니다. 별다른 설명을 더하지 않겠습니다.
2. SteemConnect
https://app.steemconnect.com로 시작하는 웹 페이지에서도 안심하고 스팀잇 비밀번호를 입력할 수 있습니다.
아래 설명에서 앱(App)은 모바일 앱이 아닌 웹 사이트를 뜻합니다. 완벽하게 같은 의미는 아니지만 사용자 입장에서는 큰 차이가 없습니다. 혼용해서 사용할 것을 미리 밝힙니다.
2-1. 사이트 용도
용도는 입장에 따라 둘로 나뉩니다. 본 글은 일반 사용자 입장을 중점적으로 다루겠습니다.
- 개발자: 스팀잇 계정 인증이 필요한 앱 생성/관리 (차후 별도 글에서 다룰 예정)
- 일반 사용자: 안심하고 인증
2-2. 인증 예
busy.org 적용 예를 살펴보겠습니다.
우측 상단
Log in
클릭
권한 확인
인증 후 어떤 권한을 앱(@busy.app)에 허가하는지 미리 확인 가능합니다. 주소가 https://app.steemconnect.com로 시작되는 걸 볼 수 있습니다.
아이디/비밀번호(키) 입력
로그인 완료
2-3. 인증 취소
인증을 언제라도 취소할 수 있습니다. 즉, 해당 앱과의 연결고리를 언제든 끊을 수 있습니다.
https://app.steemconnect.com/dashboard 로그인
이렇게 매우 심심한 페이지를 볼 수 있습니다.
Authorized Apps
클릭 후 보여지는 페이지입니다.Revoke
클릭 시 인증이 취소되어 해당 앱과의 연결고리가 끊어집니다.
2-4. 믿어도 되는 표면적인 이유
Steemit과 공식 파트너쉽을 맺은 Busy 팀에서 만들었습니다. 즉, 공식 사이트라고 봐야 합니다. 파트너쉽 관련 세부사항은 다음 번역글 참조 바랍니다.
2-5. 믿어도 되는 실질적인 이유
비밀번호가 외부 사이트로 절대 넘어가지 않으며, https://app.steemconnect.com 에서 모든 처리를 마친 후 토큰(access_token)을 발급해주고 이걸 앱에서 사용하는 식입니다. 해당 토큰을 통해, 인증시 사용자가 허락한 권한에 해당하는 행위만 앱에서 사용 가능합니다.
'2-3. 인증 취소'에도 명시했듯 사용자가 언제든 인증을 취소할 수 있습니다. 즉, 언제든 사용자 마음대로 토큰을 무력화 시킬 수 있습니다.
사용자는 제한된 기능만 허용해주고 원하면 언제든 취소할 수 있어 안심 할 수 있으며, 개발자도 비밀번호를 통째로 전달받아 별도로 관리해야 하는 부담을 없앨 수 있어 좋습니다.
3. GitHub.io
100%는 아니지만 그나마 약간은 안심하고 이용 할 수 있는 사이트가 있습니다. https://xxx.github.io 로 시작하는 사이트가 그것입니다.
@nhj12311 님과 @asbear 님이 제작하신 다음 사이트들이 좋은 예가 될 수 있습니다.
믿을만한 분들이지만 그렇다고 비밀번호를 무작정 넘겨주는 일은 당연히 없어야 합니다. 타의적 위험 또한 도사리고 있기 때문입니다. 저는 저도 안믿습니다.
위 사이트들을 어느 정도 믿어도 좋은 이유는 다음과 같습니다.
- https://xxx.github.io에서 보여지는 페이지는, 개발 코드 공유 사이트인 GitHub에 올라간 코드를 그대로 보여주는 것임.
- 경로는 특정 규칙을 따르는데 개발자가 임의대로 변경 할 수 없음.
(규칙: https://github.com/아이디/아이디.github.io/tree/master/하위경로) - 적용예
- 경로는 특정 규칙을 따르는데 개발자가 임의대로 변경 할 수 없음.
- 정적 파일인 HTML/CSS/JavaScript 밖에 제공하지 못하기 때문에, 숨어있는 서버코드의 개입이 불가능. 즉, 브라우저에서 소스보기 하면 나오는 코드가 전부임.
엄밀히 따지면 실시간으로 보여주는 건 아니고 소스 코드가 Jekyll을 통해 변환되어 github.io 에서 보여지는 것인데, 이로인해 가끔 변환 실패시 소스 코드와 웹 페이지의 동기가 맞지 않는 경우가 존재. 하지만, 여전히 HTML/CSS/JavaScript가 코드의 전부이기 때문에 문제 소지는 적음.
- 추가로, 위 사이트들에서 액티브(ACTIVE) 키를 요구하는 경우가 있는데, 별도로 저장하지 않으며 스팀잇 공식 라이브러리인 SteemJS를 통해서만 처리하기에 암튼 안심해도 됨.
요약하면, 소스 코드가 100% 공개되어 그대로 보여지는 사이트이기 때문에, 개발자가 악의적인 코드를 넣을 가능성이 상대적으로 적습니다. 그렇다고 100% 믿어서는 당연히 안됩니다. 모두가 코드를 확인할 수 있는것도 아니고, 확인할 수 있다 해도 진짜로 매번 확인하며 사용할 수는 없기 때문입니다.
개인적으로 '믿을만한 개발자'도 온전히 믿지 않으며, 'github.io에 올라간 사이트'도 온전히 믿지 않습니다. 하지만, '좀 많이 믿을만한 개발자 + github.io에 올라간 사이트' 조합의 경우는 믿고 사용하는 편입니다. 판단에 도움이 되었으면 합니다.
다음에는 스팀잇을 벗어나 더 큰 개념인 '암호화폐 비밀번호 관리' 시리즈로 찾아뵙겠습니다.
읽어주셔서 감사합니다.