요즘 가끔씩 매스컴에 오르내리는 이야기중에 보면 해커들이 사용자 아이디와 패스워드를 빼내서 악용한다고 합니다.

SQLSERVER를 사용해서 사용자인증프로그램을 하다가 보면 패스워드를 암호화하는 방법이 없을까 하고 한번쯤 생각하게됩니다.

즉, 사용자가 가입시에 Password를 '1234'로 입력하면 실제 테이블에는 'fj*&90'식으로 암호화되서 들어가면 좋겠죠.

그런데 sqlserver에는 필드의 데이터가 자동적으로 암호화되게 할 수는 없습니다. 결국 개발자가 스스로 만들어야 한다는 이야기이지요..

예를들면, a -> K, b -> G , 1 -> 9, 7 -> 4 식으로 변환시켜 테이블에 Insert하고 회원이 로그인할 때 Password를 입력하면 다시 위의 규칙에 따라 변환시킨 후 테이블의 값과 비교하면 되겠지요...

간단히 예를 들었지만 실제는 좀 더 복잡한 알고리즘을 사용해야 할 것입니다.

참고로 공식적인 함수는 아니지만 pwdencrypt()를 써서 암호화시키고, pwdcompare()를 이용해서 비교하는 방법이 있습니다.

declare @password varbinary(256)
select @password=pwdencrypt('1234')
select @password
select pwdcompare('1234',@password)

위의 예제에서 pwdencrypt()는 원래의 패스워드를 varbinary타입으로 암호화하여주고, pwdcompare는 원래의 패스워드를 암호화한 값과 비교하여 같으면 1, 틀리면 2를 반환해 줍니다.

마지막으로 이 함수들은 sp_password에서 사용하고 있는데 'SQL SERVER 온라인 설명서'에는 나오지 않는 함수임을 알려드립니다.

출처 : http://www.webproducer.org