아래에서 질문에 대한 답변을 하나씩 설명드리겠습니다.
1. saltRounds의 의미
saltRounds는 bcrypt에서 솔트를 생성할 때 사용되는 반복 횟수를 나타냅니다. 이는 비밀번호 해시의 강도를 결정하는 중요한 요소입니다. saltRounds가 높을수록 해시를 계산하는 데 더 많은 시간이 걸리며, 그만큼 더 안전하게 비밀번호를 보호할 수 있습니다.
예시:
saltRounds = 10: bcrypt가 솔트를 생성할 때 2^10(1024)번의 해시 작업을 반복합니다.saltRounds = 12: 2^12(4096)번의 해시 작업을 반복합니다.
saltRounds 값을 높게 설정할수록 해시 계산이 느려지지만, 이는 brute-force 공격(무차별 대입 공격)을 방어하는 데 유리합니다. 일반적으로 10에서 12 정도의 값이 적절합니다.
2. await bcrypt.compare(password, HashedPassword)에서 솔트 값을 활용하지 않는 이유
bcrypt.compare() 함수는 비밀번호를 검증할 때 솔트를 직접적으로 입력하지 않지만, 실제로는 솔트가 해시된 비밀번호에 내장되어 있습니다.
어떻게 동작하나요?
- bcrypt로 비밀번호를 해시할 때, 생성된 솔트는 해시된 비밀번호와 함께 저장됩니다.
- 해시된 결과에는 비밀번호의 솔트 값과 해시 값이 함께 포함되며, 따라서
bcrypt.compare() 함수는 해시된 비밀번호를 분석하여 솔트를 추출하고, 입력된 비밀번호에 그 솔트를 사용해 동일한 해시 작업을 수행한 후 결과를 비교합니다.
따라서 별도로 솔트를 저장할 필요는 없지만, 경우에 따라 솔트를 저장하는 것이 데이터를 이중으로 확인하거나 데이터 이동 시 참조하는데 유용할 수 있습니다.
3. bcrypt로 해싱된 비밀번호를 복호화할 수 있나요?
아니요, bcrypt는 단방향 해시 함수이기 때문에 해싱된 비밀번호를 복호화(decrypt)할 수 없습니다.
이유:
- 해시 함수는 단방향 함수로 설계되어 있으며, 입력된 데이터를 고정된 길이의 해시 값으로 변환합니다.
- bcrypt는 특히 비밀번호 해시에 특화된 알고리즘으로, 비밀번호를 해시한 후에는 원래의 비밀번호를 복구할 수 없습니다.
- 복호화는 불가능하며, 해시된 값이 같은지를 비교하여 입력된 비밀번호가 올바른지 확인할 수 있을 뿐입니다.
즉, 비밀번호는 원본 데이터를 알아내는 것이 아닌, 입력된 비밀번호를 같은 방식으로 해시하여 저장된 해시 값과 비교하는 방식으로만 확인할 수 있습니다.
요약
saltRounds: bcrypt에서 비밀번호 해싱을 위해 솔트 값을 생성할 때 사용하는 반복 횟수로, 이 값이 높을수록 더 강력한 해시가 생성되지만 속도는 느려집니다.bcrypt.compare()에서 솔트 값은 해시된 비밀번호 내부에 포함되어 있어, 별도로 입력하지 않아도 비밀번호 검증이 가능합니다.- bcrypt 해시는 단방향 해시 함수이기 때문에 복호화할 수 없으며, 단지 입력된 비밀번호와 해시된 비밀번호가 같은지 비교하는 방식으로만 검증할 수 있습니다.
bcrypt는 매우 안전한 비밀번호 해싱 알고리즘이며, 복호화가 불가능하기 때문에 비밀번호 보호에 적합한 방식입니다.