국민은행도 오픈뱅킹!

https://my.kbstar.com/index_web.html

첫술에 배부를순 없지만 잘됬으면 좋겠네요

[quote="tuberosity":2ybpkwum]https://my.kbstar.com/index_web.html

1. 리눅스 + 크롬 조합은 아직도 무리

2. 우분투 10.10은 지원 안됨
   (그래도 12까지 지원안되는 페도라보다는 낫네요)

결국 우리은행으로 아주 옮기지는 않을것같네요 ㅎㅎ[/quote:2ybpkwum]

1. 국민은행 가니까 크롬되던데요?
2. 아래 내가 쓴글보면 우분투10.10에서 내가 직접 공인인증서 로그인까지 했어요.

[quote="1111":2rua0ap3][quote="tuberosity":2rua0ap3]https://my.kbstar.com/index_web.html

1. 리눅스 + 크롬 조합은 아직도 무리

2. 우분투 10.10은 지원 안됨
   (그래도 12까지 지원안되는 페도라보다는 낫네요)

결국 우리은행으로 아주 옮기지는 않을것같네요 ㅎㅎ[/quote:2rua0ap3]

1. 국민은행 가니까 크롬되던데요?
2. 아래 내가 쓴글보면 우분투10.10에서 내가 직접 공인인증서 로그인까지 했어요.[/quote:2rua0ap3]
   정말요??

전 리스트만 보고 한말이라

실제로는 된다는
말씀이세요?

[quote="duck":2rua0ap3]기존에 IE로 하던것때문에 그런지 모르겠는데

크롬으로 로그인해보려했더니

로그인하는데 위 페이지에 멈추더니 아래 내용이 보이네요.
일단 따옴표 사이의 값은 모두 @@@@@로 표시했습니다.
(뭐가 뭔지 모르니…그래도 에러코드는 남겨둔… )
근데 인증서로 로그인했는데 주민번호와 인뱅 로그인 아이디까지 다 표시되더군요.
인증서 시리얼넘버도 표시되고…
덕분에 제가 KB에서의 실적등급이 얼마인지도 알아내게되었네요. -_-;
(대출받을때 물어보니 중상이라고하더니 구라친듯…왠지 낮은 등급같은 느낌이예요)

[code:2rua0ap3]{"message":{"common":{"errorCode":"F0000"},"body":{"userInfo":{"최종로그인업무구분":"","사용자비밀번호오류횟수":"@@@@@","전화승인유형구분내용":"@@@@@","인터넷출금계좌구분":"@@@@@","뱅킹구분":"@@@@@","인증서시리얼번호":"@@@@@","로그인방법":"@@@@@","인증서오류구분":"","개인화식별이미지등록여부":"@@@@@","최종로그인일시":"@@@@@","로그인여부":"@@@@@","OTP유형구분내용":"@@@@@","뱅킹거래매체구분":"@@@@@","고객분류구분":"@@@@@","이체한도변경구분":"@@@@@","고객명":"@@@@@","업무서비스유형구분내용":"@@@@@","신규년월일":"@@@@@","서비스사용구분":"@@@@@","서비스유형구분":"@@@@@","주민사업자번호":"@@@@@","이용중지여부":"@@@@@","고객중복식별번호":"","이중로그인방지적용여부":"@@@@@","고객실적등급구분":"@@@@@","입금지정구분":"@@@@@","인터넷뱅킹로그인ID":"@@@@@","로그인처리매체구분":"@@@@@","신보안모듈여부":"@@@@@","사용자비밀번호해제오류횟수":"@@@@@","보안카드유형구분내용":"@@@@@","로그인매체구분":"@@@@@","고객정보번호":"@@@@@","고객별시간제한여부":"@@@@@","개인사업자번호":"","로그인매체식별번호":"","그룹회사코드":"@@@@@"}}}}[/code:2rua0ap3][/quote:2rua0ap3]

정확히 무슨 말씀이시죠? 스크린샷은 좀 무리일것같기는한데… 보안 문제 같으시면 하루빨리 국민은행측에 연락해보시는 것이 좋을것같습니다.

우와. 정말 멋집니다. 살앙해요 국민은행~

오픈 우리뱅킹의 블로그 처럼

국민은행은 한발 더나아간 페이스북 페이지가 있습니다!

응원, 고언, 조언을 다 나눠주시기 바랍니다.

[quote="tuberosity":11aqjlf8]2. 우분투 10.10은 지원 안됨
(그래도 12까지 지원안되는 페도라보다는 낫네요)[/quote:11aqjlf8]
방금 확인해보니까 10.10 지원한다고 올라와있습니다.
공인인증서 재발급 받으려고 플러그인 설치하는게 싫어서 확인은 안해봤지만
id로 로그인하는 것은 원활하게 동작하고 있습니다.

[quote="duck":2bonwo77]기존에 IE로 하던것때문에 그런지 모르겠는데

크롬으로 로그인해보려했더니

로그인하는데 위 페이지에 멈추더니 아래 내용이 보이네요.
일단 따옴표 사이의 값은 모두 @@@@@로 표시했습니다.
(뭐가 뭔지 모르니…그래도 에러코드는 남겨둔… )
근데 인증서로 로그인했는데 주민번호와 인뱅 로그인 아이디까지 다 표시되더군요.
인증서 시리얼넘버도 표시되고…
덕분에 제가 KB에서의 실적등급이 얼마인지도 알아내게되었네요. -_-;
(대출받을때 물어보니 중상이라고하더니 구라친듯…왠지 낮은 등급같은 느낌이예요)

[code:2bonwo77]{"message":{"common":{"errorCode":"F0000"},"body":{"userInfo":{"최종로그인업무구분":"","사용자비밀번호오류횟수":"@@@@@","전화승인유형구분내용":"@@@@@","인터넷출금계좌구분":"@@@@@","뱅킹구분":"@@@@@","인증서시리얼번호":"@@@@@","로그인방법":"@@@@@","인증서오류구분":"","개인화식별이미지등록여부":"@@@@@","최종로그인일시":"@@@@@","로그인여부":"@@@@@","OTP유형구분내용":"@@@@@","뱅킹거래매체구분":"@@@@@","고객분류구분":"@@@@@","이체한도변경구분":"@@@@@","고객명":"@@@@@","업무서비스유형구분내용":"@@@@@","신규년월일":"@@@@@","서비스사용구분":"@@@@@","서비스유형구분":"@@@@@","주민사업자번호":"@@@@@","이용중지여부":"@@@@@","고객중복식별번호":"","이중로그인방지적용여부":"@@@@@","고객실적등급구분":"@@@@@","입금지정구분":"@@@@@","인터넷뱅킹로그인ID":"@@@@@","로그인처리매체구분":"@@@@@","신보안모듈여부":"@@@@@","사용자비밀번호해제오류횟수":"@@@@@","보안카드유형구분내용":"@@@@@","로그인매체구분":"@@@@@","고객정보번호":"@@@@@","고객별시간제한여부":"@@@@@","개인사업자번호":"","로그인매체식별번호":"","그룹회사코드":"@@@@@"}}}}[/code:2bonwo77][/quote:2bonwo77]

먼가 JSON코드같아 보이는데. 중요한 정보처럼 보이는것도 있는데 저런 정보를 클라이언트측에 뿌려주다니. 보안상 별로 좋을것 같진 않은데요.

[quote="duck":3gdlb3ow]기존에 IE로 하던것때문에 그런지 모르겠는데

크롬으로 로그인해보려했더니

로그인하는데 위 페이지에 멈추더니 아래 내용이 보이네요.
일단 따옴표 사이의 값은 모두 @@@@@로 표시했습니다.
(뭐가 뭔지 모르니…그래도 에러코드는 남겨둔… )
근데 인증서로 로그인했는데 주민번호와 인뱅 로그인 아이디까지 다 표시되더군요.
인증서 시리얼넘버도 표시되고…
덕분에 제가 KB에서의 실적등급이 얼마인지도 알아내게되었네요. -_-;
(대출받을때 물어보니 중상이라고하더니 구라친듯…왠지 낮은 등급같은 느낌이예요)

[code:3gdlb3ow]{"message":{"common":{"errorCode":"F0000"},"body":{"userInfo":{"최종로그인업무구분":"","사용자비밀번호오류횟수":"@@@@@","전화승인유형구분내용":"@@@@@","인터넷출금계좌구분":"@@@@@","뱅킹구분":"@@@@@","인증서시리얼번호":"@@@@@","로그인방법":"@@@@@","인증서오류구분":"","개인화식별이미지등록여부":"@@@@@","최종로그인일시":"@@@@@","로그인여부":"@@@@@","OTP유형구분내용":"@@@@@","뱅킹거래매체구분":"@@@@@","고객분류구분":"@@@@@","이체한도변경구분":"@@@@@","고객명":"@@@@@","업무서비스유형구분내용":"@@@@@","신규년월일":"@@@@@","서비스사용구분":"@@@@@","서비스유형구분":"@@@@@","주민사업자번호":"@@@@@","이용중지여부":"@@@@@","고객중복식별번호":"","이중로그인방지적용여부":"@@@@@","고객실적등급구분":"@@@@@","입금지정구분":"@@@@@","인터넷뱅킹로그인ID":"@@@@@","로그인처리매체구분":"@@@@@","신보안모듈여부":"@@@@@","사용자비밀번호해제오류횟수":"@@@@@","보안카드유형구분내용":"@@@@@","로그인매체구분":"@@@@@","고객정보번호":"@@@@@","고객별시간제한여부":"@@@@@","개인사업자번호":"","로그인매체식별번호":"","그룹회사코드":"@@@@@"}}}}[/code:3gdlb3ow][/quote:3gdlb3ow]

아무래도 로그인을 할 시점에 오류처리가 제대로 이루어지지 않아 발생한 문제 같습니다.
현재는 크롬에서 로그인 시도시에 지원하지 않는 브라우저로 뜨네요.

[quote="1111":29jrzwmk][quote="tuberosity":29jrzwmk]https://my.kbstar.com/index_web.html

1. 리눅스 + 크롬 조합은 아직도 무리

2. 우분투 10.10은 지원 안됨
   (그래도 12까지 지원안되는 페도라보다는 낫네요)

결국 우리은행으로 아주 옮기지는 않을것같네요 ㅎㅎ[/quote:29jrzwmk]

1. 국민은행 가니까 크롬되던데요?
2. 아래 내가 쓴글보면 우분투10.10에서 내가 직접 공인인증서 로그인까지 했어요.[/quote:29jrzwmk]
   우분투 10.04에서 파이어폭스에서는 공인인증서로 로그인 되지만 크롬에서 공인인증서 로그인 시도시에는 공인인증서 업무를 지원하지 않는 운영체제 또는 브라우저라고 뜨네요. 오페라에서는 my.kbstar.com 주소로 접속하면 아예 처음부터 미지원 브라우저 안내 페이지로 넘어가구요.

정말 축하할 일이군요.
저도 이 문제가 우분투 사용하는 가장 큰 걸림돌이었는데…
10.10을 사용 중인데, 방금 전에 접속하여 조회하는데 성공했습니다.
정말 경이롭다고 하고 싶네요. ^^

이것도 공인인증서 플러그인 쓰는군요.
우리은행과 별 다를 게 없어서 앞장 선 우리은행을 밀어줘야겠어요.
국민은행 계좌도 없고…
좀 새로운 걸 시도했다면 계좌 틀 생각이 있는데…

앗! 국민카드도 되네요. 국민카드 쓰는데… 좋네요.

그런데 우리은행이나 국민은행이나 비밀번호에 대소문자 구분이 없어진 것 같아요.
원래 없었나요? 스크린 키보드 쓰기 전에는 대소문자 구분해서 비밀번호를 입력했는데
스크린 키보드에서는 shift 키가 없어서 대소문자 구분없이 입력했더니
로그인이 되더라고요.
이건 은행에서 제 비밀번호를 암호화해서 저장하지 않았다는 의미 아닌가요?
비밀번호를 암호화해서 저장해서 관리자도 암호를 모르게 해야 하는 규정이 있을 텐데
은행 보안이 허술하다는 의심이 드네요.

우분투 10.10의 파이어폭스에서 방화벽은 물론이고 인증서로그인도 가능합니다.
우분투 10.10의 크롬에서 방화벽 설치는 되지만 인증서로그인은 안되네요.

KB오픈뱅킹 홈피의 설명 중 인증서로그인 가능 OS에 우분투 10.10도 추가해야 할 것 같습니다.
현재 크롬으로 인증서로그인 불가능하는다는 것은 맞는 것 같습니다.

[quote="esrevinu":1lfhivg4]이것도 공인인증서 플러그인 쓰는군요.
우리은행과 별 다를 게 없어서 앞장 선 우리은행을 밀어줘야겠어요.[/quote:1lfhivg4]
비밀번호 생성기 없어도 전화승인서비스를 신청하면 보안카드로도 계좌이체가 가능하다는 것이 우리은행과 차이인 것 같습니다.
핸폰은 항상 휴대하지만 비밀번호생성기는 보안카드보다 휴대에 부담을 느끼는 경우에 유용한 서비스일 것 같습니다.

암튼 리눅스 & 우분투… 만세!!!

[quote="푸른바람":2rhglmwj]비밀번호 생성기 없어도 전화승인서비스를 신청하면 보안카드로도 계좌이체가 가능하다는 것이 우리은행과 차이인 것 같습니다.[/quote:2rhglmwj]
오, 이거 좋네요!

[quote="esrevinu":2kmzqqrn]그런데 우리은행이나 국민은행이나 비밀번호에 대소문자 구분이 없어진 것 같아요.
원래 없었나요? 스크린 키보드 쓰기 전에는 대소문자 구분해서 비밀번호를 입력했는데
스크린 키보드에서는 shift 키가 없어서 대소문자 구분없이 입력했더니
로그인이 되더라고요.
이건 은행에서 제 비밀번호를 암호화해서 저장하지 않았다는 의미 아닌가요?
비밀번호를 암호화해서 저장해서 관리자도 암호를 모르게 해야 하는 규정이 있을 텐데
은행 보안이 허술하다는 의심이 드네요.[/quote:2kmzqqrn]
비밀번호를 DB에 평문으로 저장하지 않고도 대소문자 구분없는 비밀번호 구현이 가능합니다.

가입시 DB에 비밀번호를 저장할 때 먼저 대문자(또는 소문자)로 변환한 다음 암호화하여 저장하고, 로그인시에도 사용자가 입력한 비밀번호를 먼저 대문자(또는 소문자)로 변환하고 그것을 암호화하여 DB에 저장된 것과 비교하면 됩니다.

따라서, 비밀번호에 대소문자 구분이 없다고 해서 DB에 비밀번호를 평문으로 저장한다고 볼 수는 없습니다.

[quote="누리로":10mvw7et][quote="esrevinu":10mvw7et]그런데 우리은행이나 국민은행이나 비밀번호에 대소문자 구분이 없어진 것 같아요.
원래 없었나요? 스크린 키보드 쓰기 전에는 대소문자 구분해서 비밀번호를 입력했는데
스크린 키보드에서는 shift 키가 없어서 대소문자 구분없이 입력했더니
로그인이 되더라고요.
이건 은행에서 제 비밀번호를 암호화해서 저장하지 않았다는 의미 아닌가요?
비밀번호를 암호화해서 저장해서 관리자도 암호를 모르게 해야 하는 규정이 있을 텐데
은행 보안이 허술하다는 의심이 드네요.[/quote:10mvw7et]
비밀번호를 DB에 평문으로 저장하지 않고도 대소문자 구분없는 비밀번호 구현이 가능합니다.

가입시 DB에 비밀번호를 저장할 때 먼저 대문자(또는 소문자)로 변환한 다음 암호화하여 저장하고, 로그인시에도 사용자가 입력한 비밀번호를 먼저 대문자(또는 소문자)로 변환하고 그것을 암호화하여 DB에 저장된 것과 비교하면 됩니다.

따라서, 비밀번호에 대소문자 구분이 없다고 해서 DB에 비밀번호를 평문으로 저장한다고 볼 수는 없습니다.[/quote:10mvw7et]

그렇군요. 하나 배웠네요.

하지만 결국, 윈도용 키보드 보안/스크린 키보드 때문에 대소문자 구별하는 암호 사용 정책은 당분간 변하지 않겠군요.
윈도 때문에 강력한 암호를 사용하지 못해서 아쉽습니다…

[quote="누리로":1637rxks][quote="esrevinu":1637rxks]그런데 우리은행이나 국민은행이나 비밀번호에 대소문자 구분이 없어진 것 같아요.
원래 없었나요? 스크린 키보드 쓰기 전에는 대소문자 구분해서 비밀번호를 입력했는데
스크린 키보드에서는 shift 키가 없어서 대소문자 구분없이 입력했더니
로그인이 되더라고요.
이건 은행에서 제 비밀번호를 암호화해서 저장하지 않았다는 의미 아닌가요?
비밀번호를 암호화해서 저장해서 관리자도 암호를 모르게 해야 하는 규정이 있을 텐데
은행 보안이 허술하다는 의심이 드네요.[/quote:1637rxks]
비밀번호를 DB에 평문으로 저장하지 않고도 대소문자 구분없는 비밀번호 구현이 가능합니다.

가입시 DB에 비밀번호를 저장할 때 먼저 대문자(또는 소문자)로 변환한 다음 암호화하여 저장하고, 로그인시에도 사용자가 입력한 비밀번호를 먼저 대문자(또는 소문자)로 변환하고 그것을 암호화하여 DB에 저장된 것과 비교하면 됩니다.

따라서, 비밀번호에 대소문자 구분이 없다고 해서 DB에 비밀번호를 평문으로 저장한다고 볼 수는 없습니다.[/quote:1637rxks]

실제 그런 건가요, 아니면 그런 방법이 있다는 건가요?
만약 대소문자 구분이 없이 DB에 저장된다면 이전에
제가 비밀번호를 대소문자 구분을 하지 않고 입력했을 시(즉,
제가 대소문자 구분해서 지정한 암호와 달랐을 경우) 로그인이 되었어야 하는데
지금은 확인해 볼 방법이 없네요.
그리고 비밀번호를 대소문자 구분해서 받았는데 DB에는 더 간단하고 보안도 강한 대소문자 구분해서
저장하는 방법을 두고 대문자든, 소문자든 변환해서 저장하는 게 더 이상하네요.
그래서 아직 의심을 거둘 수 없네요.
또 대소문자 구분이 없다면 보안 강도가 좀 약할 것 같네요.

[quote="esrevinu":1z4z7hxy][quote="누리로":1z4z7hxy][quote="esrevinu":1z4z7hxy]그런데 우리은행이나 국민은행이나 비밀번호에 대소문자 구분이 없어진 것 같아요.
원래 없었나요? 스크린 키보드 쓰기 전에는 대소문자 구분해서 비밀번호를 입력했는데
스크린 키보드에서는 shift 키가 없어서 대소문자 구분없이 입력했더니
로그인이 되더라고요.
이건 은행에서 제 비밀번호를 암호화해서 저장하지 않았다는 의미 아닌가요?
비밀번호를 암호화해서 저장해서 관리자도 암호를 모르게 해야 하는 규정이 있을 텐데
은행 보안이 허술하다는 의심이 드네요.[/quote:1z4z7hxy]
비밀번호를 DB에 평문으로 저장하지 않고도 대소문자 구분없는 비밀번호 구현이 가능합니다.

가입시 DB에 비밀번호를 저장할 때 먼저 대문자(또는 소문자)로 변환한 다음 암호화하여 저장하고, 로그인시에도 사용자가 입력한 비밀번호를 먼저 대문자(또는 소문자)로 변환하고 그것을 암호화하여 DB에 저장된 것과 비교하면 됩니다.

따라서, 비밀번호에 대소문자 구분이 없다고 해서 DB에 비밀번호를 평문으로 저장한다고 볼 수는 없습니다.[/quote:1z4z7hxy]

실제 그런 건가요, 아니면 그런 방법이 있다는 건가요?
만약 대소문자 구분이 없이 DB에 저장된다면 이전에
제가 비밀번호를 대소문자 구분을 하지 않고 입력했을 시(즉,
제가 대소문자 구분해서 지정한 암호와 달랐을 경우) 로그인이 되었어야 하는데
지금은 확인해 볼 방법이 없네요.
그리고 비밀번호를 대소문자 구분해서 받았는데 DB에는 더 간단하고 보안도 강한 대소문자 구분해서
저장하는 방법을 두고 대문자든, 소문자든 변환해서 저장하는 게 더 이상하네요.
그래서 아직 의심을 거둘 수 없네요.
또 대소문자 구분이 없다면 보안 강도가 좀 약할 것 같네요.[/quote:1z4z7hxy]

제가 알고 있는 지식으로는,
패스워드 문자열에 대하여 sum 값을 얻어서 이를 DB에 저장하고
사용자가 로그인할 때 패스워드를 입력하면 sum 값을 얻어서 DB에 저장된 sum 값과 비교하는 것으로 알고 있습니다.

1. 만약 과거에 대소문자 구분할 경우(이하 sha1sum 을 사용한다고 가정)
   aBcD(고객만 알고 있음) 3a86fefe9752e9478583fcaf153e9b463cff1db5 (은행 측 DB 저장)
   sum 값으로 패스워드를 알아낼 수 없음.

1.1. 현재에 대소문자 구분하지 않을 경우
1.1.1 고객이 입력한 패스워드 aBcD 를 소문자(또는 대문자)로 변환 후 sum 값 비교
abcd 에 대한 sha1sum 값 81fe8bfe87576c3ecb22426f8e57847382917acf
이 sum 값이 3a86fefe9752e9478583fcaf153e9b463cff1db5 와 다르기 때문에 패스워드 불일치

1.1.2. 고객이 입력한 패스워드 aBcD 를 과거 DB에 저장된 sum 값(3a86fefe9752e9478583fcaf153e9b463cff1db5)과 비교 후,
일치하는 경우에 한하여 패스워드(aBcD)를 소문자 abcd(또는 대문자)로 변환 후
새로운 sum 값 DB에 저장, 변환했다고 체크

이런 방법이 있기는 한데, 사실 찜찜하네요.