프로젝트에 대한 피드백을 받았다.
공통적으로 포커싱을 받았던 부분은 private key에 대한 부분이다.
private key는 사용자의 고유 식별값이므로 사용자의 자산과 연계되는 보안사항으로 취급되며 ( 커스터디 : 수탁업무 ) 이를 서비스 주최측 서버에서 관리한다면 각종 규제가 따라붙는다는 말씀을 해주셨다.
예를 들어 kaikas에 가입한다고 가정해보자.
나의 인적 사항을 기입하고 아이디 비밀번호를 생성해서 카이카스에 가입했다.
그런데 아이디 비밀번호만 입력해서 소유 중인 클레이튼을 전송할 순 없다.
전송을 하기 위해선 private key가 필요하다.
또 전송받은 것을 확인하기 위해선 public key가 필요하다.
중요한 것은 전송시 필요한 private key인데 이것은 사용자가 카이카스 계정을 생성하면 카이카스에서는 자동으로 private key를 생성해서 사용자에게 제공한다.
즉 카이카스는 private key를 서버에서 관리한다고 볼 수 있다. 생성과 동시에 자사의 db에 담아놓으니
그런데 만약 해킹을 당한다면 자산 피해가 발생할 수 있다.
때문에 안전성을 보장하기 위해 각종 규제가 붙게 된다고 한다.
그래서 많은 팀들한테 private key에 관한 얘기를 던져보셨던거 같다. 어떻게 관리하는지 아이디어를 참고하시고자
그런데 서버에서 관리를 안한다면 정확하게 어떻게 구현해야 하는걸까?
private key를 서버에서 생성하고 사용자에게 제공한 후 private key 를 db에 저장하지 않고 폐기한다면 사용자가 private key를 입력했을 때 일치하는지 확인할 길이 없다.
탈중앙화, 더 구체적으로 그 로직은 어떻게 되는걸까?
서버에서 생성한 후 ipfs에 저장하면 될까?
그리고 사용자가 검증을 할 때마다 ipfs에 저장되어 있는 값을 fetch하여 비교하면 될까?
탈중앙화를 이해하는 것은 아직 먼 거 같다 ㅋ..ㅋ
사실 private key에 관한 심도 있는 티키타카가 되기 위해선 지갑서비스 구현을 프로젝트로 진행해야 했지만 대다수의 팀들은 지갑 서비스 보다는 dapp에 충실하여 진행했다.
때문에 나도 금요일 당시에는 별 생각이 없었는데 어제 사용자가 회원가입할 때 과연 비밀번호가 필요할까요 라는 피드백을 받고 갑자기 생각나서 끄적인다.
https://www.dongascience.com/news.php?idx=55465
이제는 비밀번호 대신 생체기반 인증이 늘어나는 추세다.
그램에는 지문 인식 기능이 없지만 맥북에어에는 존재한다.
점점 더 많은 랩탑에 지문 인식 공간이 생길 것 같다.
비밀번호보다는 생체 기반 인식이 더 보안성이 높다.
지문과 홍채 등은 각 개인마다 다른 데이터를 갖기에 인위적인 난수 생성이 필요없을 것이다.
아닌가? 필여한가?? 지문을 32bit 해시로 변환한 후 여기서 암호화 작업을 진행할수도 있겠다
나도 잘 모르겠다 ㅅㅇㅅ
참 알면 알수록 더 알아야하는게 많아지는구나? ㅋㅋㅋ
