OTP
태그 :
- 개념
- OTP(One Time Password)의 정의 - 원격 사용자 인증 시 유발되는 패스워드 재사용 공격을 차단하기 위해 사용시마다 매번 바뀌는 1회성의 사용자 인증 암호 및 체계
I. 패스워드 재사용 공격을 차단하기 위한 기술, OTP의 개요
가. OTP(One Time Password)의 정의
-. 원격 사용자 인증 시 유발되는 패스워드 재사용 공격을 차단하기 위해 사용시마다 매번 바뀌는 1회성의 사용자 인증 암호 및 체계
나. OTP(One Time Password)의 특징
-. 패스워드 재사용이 불가능하므로 추측을 통한 해킹이나 패킷 스니핑을 통한 재사용 공격이 불가능
-. 다음 번의 패스워드 예측이 불가능하므로 패턴 인식을 통한 해킹에 대해 견고
다. OTP의 등장배경
- 정적인 비밀번호 사용에 따른 불안감 해소
- 개인정보 유출에 따른 사용자 인증 강화 목적
- 전자거래 보안 강화 수단
II. OTP의 구성 및 원리
가. OTP의 구성
나. OTP의 원리
- OTP 생성 프로그램에 비밀키와 시컨트 카운트를 입력
- 해쉬 알고리즘으로 암호화 되고 OTP생성
- 사용자와 서버가 OTP 생성기를 가져야 함
- 해커는 네트워크에서의 스니핑으로 패스워드를 알아내더라도 계속 사용 못함
다. OTP의 구성요소
secret |
암호쌍, 코드표 등 사용자와 인증시스템이 서로 공유하는 비밀번호 |
seed |
임의의 숫자, 문자/숫자, 기호, 현재시간 등 |
Function f |
Secret, seed를 입력 받은 질의문을 생성하는 함수로서 MD4,MD5, SHA등을 사용하여 그 특성이 y=F(x)에서 y값에 대한 x값 유추 불가(역함수 비존재)하고 하나의 y값에 대한 동일 x값 비존재 |
III. OTP 유형 비교
분류 |
항목 |
설명 |
|
비동기 방식 |
정의 |
-. OTP토큰과 OTP 인증서버 사이에 동기화되는 기준 값이 없으며, 사용자가 직접 임의의 난수값 을 OTP토큰에 입력함으로써 OTP값이 생성되는 방식 |
|
장점 |
-. 사용자가 인증 서버로부터 받은 질의값을 직접 입력해야 OTP값이 생성되기 때문에 전자금융사고 발생시 책임 소재 확인 가능. 보안성 높음 |
||
단점 |
-. 사용자 입력의 번거로움과 질의값을 별도 관리해야 하는 금융기관의 부담. -. 동기화 방식에 비해 네트워크 부하 발생 -. ID/PWD 기반 어플리케이션과 호환이 용이하지 못함 |
||
개념도 |
|||
Challenge-Response |
OTP 인증 서버로부터 받은 질의 값을 사용자가 직접 OTP 토큰에 입력하고 생성된 OTP 값을 응답 값으로 전송하여 인증하는 방식 |
||
동기 방식 |
정의 |
-. OTP토큰과 인증서버 사이에 동기화되는 기준 값에 따라 OTP 값이 생성되며, 시간 동기화, 이벤트 동기화, 시간-이벤트 조합 방식 있음 |
|
장점 |
-. 금융기관은 질의값을 별도로 관리할 필요가 없으며, 사용자는 질의값을 OTP 기기에 직접 입력하여 응답값을 받을 필요가 없음. -. 비동기화 방식에 비해서 네트워크 부하가 상대적으로 적음. -. ID/PWD 기반의 범용 어플리케이션과 호환성 높음 |
||
단점 |
-. OTP토큰과 인증서버간에 기준값(시간,카운트횟수 등)이 동기화되어야 함 |
||
동기화 방식 |
시간 |
-. 동기화된 시간정보를 기준으로 매분 마다 OTP값 자동생성 |
|
이벤트 |
-. 동일한 카운트 값을 기준으로 사용자가 요청 시 OTP 생성 |
||
시간-이벤트 |
-. 동기화된 시간값 + 동일한 카운트 값을 기준으로 생성 |
||
개념도 |
IV. OTP 인증 프레임워크 종류
유형 |
설명 |
|
기본 모델 |
-. 사용자와 단일 서비스 제공자 간의 인증 모델로 가장 많이 사용됨 |
|
상호 운용 관리 모델 |
중앙집중형 |
-. 개인 사용자가 다수의 서비스 제공자들을 이용하는 시나리오. -. 중앙에 단일화된 OTP 인증 시스템 구축 필요 |
확장 중앙집중형 |
-. OTP인증시스템의 장애에 대비하여 서비스 제공자 별 별도의 대체 인증서버 보유 방식 |
|
크로스 도메인 모델 |
-. 다수개의 중앙집중형 모델 간에 연동을 지원. 다수개의 중앙집중형 OTP 프레임워크에 가입된 사용자는 1개의 OTP 토큰을 이용 모든 서비스 제공자에게 인증 서비스를 받을 수 있음. 개념적으로는 Web2.0의 OPEN ID와 비슷함. |