Category

  1. 오에스매니아


보안/해킹
스폰서링크
이중 인증 방식, 이제 보안에 있어 없어서 안 될 존재
싱글 사인 온, TOTP, 토큰 인증 방식도 함께 사용돼

2FAVODY.jpg

[보안뉴스 홍나경 기자] 이중 인증 방식은 다중 인증 방식 중 가장 간단한 형태를 가지고 있다. 이중 인증 방식 같은 경우, 이제는 구식이고 안전하지 않은 방식으로 여겨지고 있는 ‘기존 로그인 방식(아이디와 비밀번호로만 로그인이 가능 한 것)’에 추가로 인증 단계를 하나 더 넣은 것이다.

야후, 링크드인과 같은 다양한 사이트에서 유출된 로그인 크리덴셜의 수를 생각해 본다면 이렇게 추가 인증 단계를 넣는 것이 사람들의 개인정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이라는 걸 알 수 있다. 이중 인증 방식은 해커가 다른 기기 또는 지역에서 사용자의 계정으로 접속하는 것을 효과적으로 막아준다.

최근엔 사용자가 인증 코드를 휴대폰 문자 메시지로 받고, 그 코드를 입력해 인증하는 방식이 널리 사용되고 있다. 그 외에는 다음과 같은 방법들이 인기를 끌고 있다.

- PIN 번호 또는 TAN 번호(입출금, 송금 시 필요한 코드)
- 이메일 계정 인증
- 최초 가입 시 설정해놓은 본인확인 질문
- 물리 키(카드리더기, USB 키 등)
- 생체 인식(지문 인식, 홍채 인식)
- 바코드를 인식할 수 있는 모바일 기기 또는 QR 코드와 사용자 임시 인증 코드 측정기
(예 : 구글 오센티케이터(Google Authenticator),오씨(Authy) 등)

이외에도 현재 사용자가 점점 늘어나는 인증 방식들로는 다음과 같은 것들이 있다.

1. 싱글 사인 온(SSO: Single Sign On)
이중 인식 방식보다 더 간단한 보안 방식으로는 싱글 사인 온이 있다. 싱글 사인 온으로 한 사이트에서 인증을 하면 다른 사이트에서 인증을 되풀이 할 필요가 없어진다. 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문이다. 그러나 싱글 사인 온 소프트웨어는 단독으로 쓰기에는 안정성이 좋지 않기 때문에 주로 다중 인증 방식과 함께 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태로 되면 관련된 다른 사이트들도 접속이 되지 않는다는 점도 고려해야 할 듯 하다.

2. 현재시간 기반 일회용 패스워드(TOTP: Time-based One-time Password)
OTP는 one-time password, 즉 단 한 번만 생성되는 암호를 가지고 인증하는 방식이다. 여기에 시간이라는 변수를 더한 TOTP, 즉 Time-based OTP는 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드와 같은 타임 스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 기존 OTP에 시간 변수를 더한 것.

그래서 사용자와 서버의 임시 코드가 일치하면 사용자는 사이트에 접근할 수 있게 된다. 주로 시스템에서 1분 정도의 시간을 주는 편이며 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이가 나서는 안된다. TOTP 생성 기기 분실의 취약점이 있어 단독으로 사용되지 않는 편이다.

3. 토큰 인증(Token Authentication)
토큰 인증이라고 하면 보통 하드웨어형 토큰을 생각하는데, 다른 형태의 토큰도 존재한다. 하지만 현재 이 방식은 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것을 추천하지 않는다.

글 : 멀웨어바이츠(Malwarebytes)
[국제부 홍나경 기자(hnk726@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




추천한 회원

프리네
profile 시간은 너무 없고 할 일도 너무 없다
엮인글 :

놀이터 인기 글

연 예 호불호 ㅊㅈ 패션 newfile 2017-10-21 10:52 까치
걸그룹 승연 newfile 2017-10-21 10:42 까치
존슨 [동서양] 길거리 일반인 1 newfile 2017-10-21 07:57 익명
존슨 서양녀 newfile 2017-10-21 03:26 익명
존슨 셀카 newfile 2017-10-20 22:17 익명

shaula 

2017.01.18 13:59:16
*.116.43.184

막상 내가하자니 귀찮은게 함정...ㅠㅠ

Bobono 

2017.01.18 21:57:36
*.252.163.164

유용한 정보 고맙습니다.

profile

프리네 

2017.01.20 03:30:47
*.212.248.12

아이디만으로도 머리 포개질것 같은데....

무무심 

2017.01.20 17:52:14
*.249.221.133

정보 감사합니다

profile

건강하고행복하게 

2017.01.20 20:03:06
*.202.45.195

로그인도 홍채인식 으로....정보 고마워요

profile

쪼쪼 

2017.02.15 15:38:14
*.232.176.56

유용한 정보 감사합니다.

profile

glencheck 

2017.02.23 18:32:55
*.178.153.214

좋은 정보 감사합니다

sonagisky 

2017.03.07 17:08:12
*.81.72.135

유익한 정보 감사합니다. ^^*


나울PC 정치 베스트
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [7] Op 16.10.16 82
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [25] 크로커스 17.1.31 579
138 일반 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? file [15] Op 17.1.27 323
137 바이러스 슈퍼마리오 런, 악성코드 런? [11] Op 17.1.27 193
136 보안 소식 '북한민주화' 한글문서, 열람 시 악성코드 감염 [10] 크로커스 17.1.26 196
135 보안 소식 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 [12] 크로커스 17.1.25 232
134 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 [17] 크로커스 17.1.20 247
133 보안 소식 로그인 하기 전에 주소 확인 하셨나요? [17] 크로커스 17.1.19 261
132 보안 소식 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! [15] 크로커스 17.1.18 156
» 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 [8] 크로커스 17.1.18 262
130 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” [7] 크로커스 17.1.18 111
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [13] 크로커스 17.1.10 647
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file [11] 따봉 17.1.5 280
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 [7] 크로커스 17.1.5 266
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file [7] 따봉 17.1.4 49
125 보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 file [6] 따봉 17.1.4 52
124 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file [6] 따봉 17.1.4 32
123 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file [7] 따봉 17.1.4 50
122 보안 소식 새해맞이 보안 강화 결심이 작심삼일로 그치지 않으려면 file [5] 따봉 17.1.4 11
121 보안 소식 씁쓸하고 치밀하新 해커들: 2017년 보안 위협 전망 file [5] 따봉 17.1.4 21
120 보안 소식 비트코인 지갑 제조사 킵키, 사이버 공격 당해 file [6] 따봉 17.1.4 26