osmanias 페이스북 사용자 그룹








포인트순위 Top100


보안/해킹
스폰서링크
이중 인증 방식, 이제 보안에 있어 없어서 안 될 존재
싱글 사인 온, TOTP, 토큰 인증 방식도 함께 사용돼

2FAVODY.jpg

[보안뉴스 홍나경 기자] 이중 인증 방식은 다중 인증 방식 중 가장 간단한 형태를 가지고 있다. 이중 인증 방식 같은 경우, 이제는 구식이고 안전하지 않은 방식으로 여겨지고 있는 ‘기존 로그인 방식(아이디와 비밀번호로만 로그인이 가능 한 것)’에 추가로 인증 단계를 하나 더 넣은 것이다.

야후, 링크드인과 같은 다양한 사이트에서 유출된 로그인 크리덴셜의 수를 생각해 본다면 이렇게 추가 인증 단계를 넣는 것이 사람들의 개인정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이라는 걸 알 수 있다. 이중 인증 방식은 해커가 다른 기기 또는 지역에서 사용자의 계정으로 접속하는 것을 효과적으로 막아준다.

최근엔 사용자가 인증 코드를 휴대폰 문자 메시지로 받고, 그 코드를 입력해 인증하는 방식이 널리 사용되고 있다. 그 외에는 다음과 같은 방법들이 인기를 끌고 있다.

- PIN 번호 또는 TAN 번호(입출금, 송금 시 필요한 코드)
- 이메일 계정 인증
- 최초 가입 시 설정해놓은 본인확인 질문
- 물리 키(카드리더기, USB 키 등)
- 생체 인식(지문 인식, 홍채 인식)
- 바코드를 인식할 수 있는 모바일 기기 또는 QR 코드와 사용자 임시 인증 코드 측정기
(예 : 구글 오센티케이터(Google Authenticator),오씨(Authy) 등)

이외에도 현재 사용자가 점점 늘어나는 인증 방식들로는 다음과 같은 것들이 있다.

1. 싱글 사인 온(SSO: Single Sign On)
이중 인식 방식보다 더 간단한 보안 방식으로는 싱글 사인 온이 있다. 싱글 사인 온으로 한 사이트에서 인증을 하면 다른 사이트에서 인증을 되풀이 할 필요가 없어진다. 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문이다. 그러나 싱글 사인 온 소프트웨어는 단독으로 쓰기에는 안정성이 좋지 않기 때문에 주로 다중 인증 방식과 함께 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태로 되면 관련된 다른 사이트들도 접속이 되지 않는다는 점도 고려해야 할 듯 하다.

2. 현재시간 기반 일회용 패스워드(TOTP: Time-based One-time Password)
OTP는 one-time password, 즉 단 한 번만 생성되는 암호를 가지고 인증하는 방식이다. 여기에 시간이라는 변수를 더한 TOTP, 즉 Time-based OTP는 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드와 같은 타임 스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 기존 OTP에 시간 변수를 더한 것.

그래서 사용자와 서버의 임시 코드가 일치하면 사용자는 사이트에 접근할 수 있게 된다. 주로 시스템에서 1분 정도의 시간을 주는 편이며 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이가 나서는 안된다. TOTP 생성 기기 분실의 취약점이 있어 단독으로 사용되지 않는 편이다.

3. 토큰 인증(Token Authentication)
토큰 인증이라고 하면 보통 하드웨어형 토큰을 생각하는데, 다른 형태의 토큰도 존재한다. 하지만 현재 이 방식은 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것을 추천하지 않는다.

글 : 멀웨어바이츠(Malwarebytes)
[국제부 홍나경 기자(hnk726@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




추천한 회원

프리네
profile 시간은 너무 없고 할 일도 너무 없다
엮인글 :

놀이터 인기 글


shaula 

2017.01.18 13:59:16
*.116.43.184

막상 내가하자니 귀찮은게 함정...ㅠㅠ

Bobono 

2017.01.18 21:57:36
*.252.163.164

유용한 정보 고맙습니다.

profile

프리네 

2017.01.20 03:30:47
*.212.248.12

아이디만으로도 머리 포개질것 같은데....

무무심 

2017.01.20 17:52:14
*.249.221.133

정보 감사합니다

profile

건강하고행복하게 

2017.01.20 20:03:06
*.202.45.195

로그인도 홍채인식 으로....정보 고마워요

profile

쪼쪼 

2017.02.15 15:38:14
*.232.176.56

유용한 정보 감사합니다.

profile

glencheck 

2017.02.23 18:32:55
*.178.153.214

좋은 정보 감사합니다

sonagisky 

2017.03.07 17:08:12
*.81.72.135

유익한 정보 감사합니다. ^^*


나울PC 정치 베스트
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [6] Op 16.10.16 71
145 보안 소식 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 [6] j1159 17.2.20 79
144 보안 소식 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 [10] 쪼쪼 17.2.17 133
143 보안 소식 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 [12] 크로커스 17.2.14 159
142 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 [21] 크로커스 17.2.8 601
141 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 [11] 구름 17.2.3 288
140 보안 소식 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 [16] 구름 17.2.1 279
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [19] 크로커스 17.1.31 484
138 일반 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? file [14] Op 17.1.27 259
137 바이러스 슈퍼마리오 런, 악성코드 런? [9] Op 17.1.27 139
136 보안 소식 '북한민주화' 한글문서, 열람 시 악성코드 감염 [8] 크로커스 17.1.26 112
135 보안 소식 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 [10] 크로커스 17.1.25 175
134 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 [15] 크로커스 17.1.20 205
133 보안 소식 로그인 하기 전에 주소 확인 하셨나요? [15] 크로커스 17.1.19 203
132 보안 소식 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! [14] 크로커스 17.1.18 139
» 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 [8] 크로커스 17.1.18 197
130 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” [6] 크로커스 17.1.18 86
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [12] 크로커스 17.1.10 337
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file [10] 따봉 17.1.5 252
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 [7] 크로커스 17.1.5 240
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file [7] 따봉 17.1.4 47