challenge response 방식, 이벤트 동기화 또는 시간 동기화 방식으로 구성하게 되는데, Challenge response 방식의 경우 인증할 때 마다 사용자가 challenge 를 입력해야 하는 불편함이 있으며, 이벤트 동기화의 경우도 이벤트가 서버와 기기간에 동기화가 이루어 지지 않을 경우 양쪽의 이벤트 값을 동기화 시켜야 하는 방법을 강구해야 하는 문제가 있다.
시간 동기화 방식의 경우 현재 가장 많이 사용되는 방식으로 서버와 otp기기 간에 시간이 일치하면 서로 동일한 값을 생성하여 인증을 하는 방식이다.
단 해외 사용의 경우 시간이 일치하지 않는 문제가 발생하는 경우가 있으며, 기기 자체의 시간이 점점 맞지 않는 상황이 존재해서 보정의 과정 등이 필요한 경우가 많다.
또한 OTP값을 입력하는 데 있어서 중간에 탈취하는 경우나 동일한 OTP값을 재사용하는 등의 문제로 디아블로3 유저 계정이 해킹 당한 사례가 있으며, 2011년 3월 미국 RSA사의 OTP제품인 시큐어ID가 비밀번호 생성에 쓰이는 계산식 등이 유출되어 시큐어 ID 4천만대를 리콜하는 사태가 있었으며, 그로 인하여 RSA OTP를 도입했던 국내 금융권에서 RSA OTP를 사용하지 않는 추세임.
PKI를 기반으로 private key를 사용자가 보관하며, 서버에 public key가 포함된 인증서를 등록하여 사용자 클라이언트 단에서 private key로 서명을 하여 인증을 하는 방식으로 현재 암호학 적으로 가장 안전한 방식 중에 하나 임.
단 private key 가 암호화 되어 있기는 하지만 파일로 그냥 존재하므로 해당 private key의 보호를 사용자의 IT역량에 맡겨야 하는 구조임.
그에 따라 국내에서는 PKI를 처리하는 암/복호화 프로그램 이외에도 키보드 보안 프로그램, 백신 등 2차적인 보안 프로그램 들을 추가로 계속 설치해야 하는 구조여서 거의 인증시스템의 악의 축으로 불리고 있음.
또한 사용자 한명이 private key와 public key 키쌍 하나를 여러 기관 및 업체에 등록하여 사용하는 구조여서 만약 하나의 키가 유출될 경우 가입한 모든 기관의 인증이 무력화 되는 구조를 가지고 있다. 따라서 잘못되거나 해킹된 인증서의 CRL등이 매우 중요한데 실제로 인증서를 인증하기는 하지만 CRL 또는 OCSP의 적용을 실시간으로 운영하지 않거나 하여 문제를 일으키는 경우도 종종있다.
보통 생체 인증을 할 경우 생체인증을 위한 정보를 서버에 저장하고 클라이언트 측에서 서버로 생체정보를 전달하는 경우 서버에 저장된 생체 정보의 다량 유출 시 개인정보의 유출로 이어질 수 있는 구조 이다. 또한 일반적으로 서버에서 생체 인증을 수행하는 경우
서버에 각각의 생체 인증 방식에 따라 인증을 하는 모듈 혹은 서버를 설치해야 하는 구조를 가지고 있어서 중복 투자가 필요할수 있다.
FIDO는 생체인증은 로컬(클라이언트)에서 수행하고 생체인증이 성공하면 서버와는 PKI로 인증하는 방식을 사용하도록 구성되어 있다.
또한 각각의 기관과 FIDO발급을 하는 과정에서 매번 다른 공개키 쌍을 생성해서 등록을 하므로, 키가 유출되어서 하나의 기관에서만 영향을 받는 구조를 가지고 있으며, 인증서 시스템과는 다르게 private key가 단순히 파일로 존재하는 것이 아니고 인증장치가 기술적으로 보호를 전담하게 되어 있어서 별도로 키보드 보안 프로그램이나 백신등의 설치를 할 필요가 없다.
#인증방법 #OTP #인증서 #생체인증 #FIDO방식 #FIDO인증장점 #인증방법비교분석 #이데아텍
challenge response 방식, 이벤트 동기화 또는 시간 동기화 방식으로 구성하게 되는데, Challenge response 방식의 경우 인증할 때 마다 사용자가 challenge 를 입력해야 하는 불편함이 있으며, 이벤트 동기화의 경우도 이벤트가 서버와 기기간에 동기화가 이루어 지지 않을 경우 양쪽의 이벤트 값을 동기화 시켜야 하는 방법을 강구해야 하는 문제가 있다.
시간 동기화 방식의 경우 현재 가장 많이 사용되는 방식으로 서버와 otp기기 간에 시간이 일치하면 서로 동일한 값을 생성하여 인증을 하는 방식이다.
단 해외 사용의 경우 시간이 일치하지 않는 문제가 발생하는 경우가 있으며, 기기 자체의 시간이 점점 맞지 않는 상황이 존재해서 보정의 과정 등이 필요한 경우가 많다.
또한 OTP값을 입력하는 데 있어서 중간에 탈취하는 경우나 동일한 OTP값을 재사용하는 등의 문제로 디아블로3 유저 계정이 해킹 당한 사례가 있으며, 2011년 3월 미국 RSA사의 OTP제품인 시큐어ID가 비밀번호 생성에 쓰이는 계산식 등이 유출되어 시큐어 ID 4천만대를 리콜하는 사태가 있었으며, 그로 인하여 RSA OTP를 도입했던 국내 금융권에서 RSA OTP를 사용하지 않는 추세임.
PKI를 기반으로 private key를 사용자가 보관하며, 서버에 public key가 포함된 인증서를 등록하여 사용자 클라이언트 단에서 private key로 서명을 하여 인증을 하는 방식으로 현재 암호학 적으로 가장 안전한 방식 중에 하나 임.
단 private key 가 암호화 되어 있기는 하지만 파일로 그냥 존재하므로 해당 private key의 보호를 사용자의 IT역량에 맡겨야 하는 구조임.
그에 따라 국내에서는 PKI를 처리하는 암/복호화 프로그램 이외에도 키보드 보안 프로그램, 백신 등 2차적인 보안 프로그램 들을 추가로 계속 설치해야 하는 구조여서 거의 인증시스템의 악의 축으로 불리고 있음.
또한 사용자 한명이 private key와 public key 키쌍 하나를 여러 기관 및 업체에 등록하여 사용하는 구조여서 만약 하나의 키가 유출될 경우 가입한 모든 기관의 인증이 무력화 되는 구조를 가지고 있다. 따라서 잘못되거나 해킹된 인증서의 CRL등이 매우 중요한데 실제로 인증서를 인증하기는 하지만 CRL 또는 OCSP의 적용을 실시간으로 운영하지 않거나 하여 문제를 일으키는 경우도 종종있다.
보통 생체 인증을 할 경우 생체인증을 위한 정보를 서버에 저장하고 클라이언트 측에서 서버로 생체정보를 전달하는 경우 서버에 저장된 생체 정보의 다량 유출 시 개인정보의 유출로 이어질 수 있는 구조 이다. 또한 일반적으로 서버에서 생체 인증을 수행하는 경우
서버에 각각의 생체 인증 방식에 따라 인증을 하는 모듈 혹은 서버를 설치해야 하는 구조를 가지고 있어서 중복 투자가 필요할수 있다.
FIDO는 생체인증은 로컬(클라이언트)에서 수행하고 생체인증이 성공하면 서버와는 PKI로 인증하는 방식을 사용하도록 구성되어 있다.
또한 각각의 기관과 FIDO발급을 하는 과정에서 매번 다른 공개키 쌍을 생성해서 등록을 하므로, 키가 유출되어서 하나의 기관에서만 영향을 받는 구조를 가지고 있으며, 인증서 시스템과는 다르게 private key가 단순히 파일로 존재하는 것이 아니고 인증장치가 기술적으로 보호를 전담하게 되어 있어서 별도로 키보드 보안 프로그램이나 백신등의 설치를 할 필요가 없다.
#인증방법 #OTP #인증서 #생체인증 #FIDO방식 #FIDO인증장점 #인증방법비교분석 #이데아텍