로그인시 패스워드 노출문제 [2]

Xshell을 사용할때 보통 자주 로그인하는 서버의
Session을 만들어 로그인하고는 하는데,
오늘 로그인하면서 보니 세션실행하고
passwd 입력 직전에 엔터키를 치면 패스워드가
그대로 노출되는 문제가 있음을 발견했습니다.

세션파일에는 패스워드가 암호화되어 있어서
안심했는데, 이렇게 되면 세션파일 가지고
충분히 패스워드를 알아낼 수 있을거 같네요.

해당 취약점에 대한 조치부탁드립니다.

제품명 : Xshell 3.0

안녕하십니까?
넷사랑컴퓨터 기술지원입니다.

Telnet 프로토콜의 경우 오고가는 데이터 뿐만 아니라 인증 과정의 아이디와 패스워드도 평범한 텍스트입니다. 계정관리나 데이터 보안에서 취약할 수밖에 없습니다. 그래서 최근에는 데이터 보안이나 인증 과정에서의 보안에 강한 SSH를 사용하는 추세입니다.

Telnet 프로토콜에서 이런 문제가 있어서 일부 터미널 에뮬레이터 프로그램은 패스워드를 아예 저장하지 못하도록 하거나 심지어는 로그인 아이디마저도 저장하지 못하도록 하기도 합니다.

SSH의 경우 프로토콜상에 인증 처리를 위한 부분이 따로 존재하나 Telnet의 경우는 그렇지 않고 모두 사용자 인증 과정부터 오가는 텍스트의 분석으로 이루어집니다.

이 문제를 해결하기 위해서는 약간의 아이디어가 필요할 듯합니다. 이 문제를 해결할 수 있는 방법을 확인 중에 있습니다. 보다 합리적인 방향으로 문제를 해결하도록 하겠습니다.

감사합니다.

2009년 9월 29일에 배포한 Xshell 3.0 빌드 0261 버전은 이 문제를 해결한 버전입니다.

감사합니다.