OTP

개념
OTP(One Time Password)의 정의 - 원격 사용자 인증 시 유발되는 패스워드 재사용 공격을 차단하기 위해 사용시마다 매번 바뀌는 1회성의 사용자 인증 암호 및 체계

I. 패스워드 재사용 공격을 차단하기 위한 기술, OTP의 개요

가. OTP(One Time Password)의 정의

-. 원격 사용자 인증 시 유발되는 패스워드 재사용 공격을 차단하기 위해 사용시마다 매번 바뀌는 1회성의 사용자 인증 암호 및 체계

나. OTP(One Time Password)의 특징

-. 패스워드 재사용이 불가능하므로 추측을 통한 해킹이나 패킷 스니핑을 통한 재사용 공격이 불가능

-. 다음 번의 패스워드 예측이 불가능하므로 패턴 인식을 통한 해킹에 대해 견고

다. OTP의 등장배경

- 정적인 비밀번호 사용에 따른 불안감 해소

- 개인정보 유출에 따른 사용자 인증 강화 목적

- 전자거래 보안 강화 수단

 

II. OTP의 구성 및 원리

가. OTP의 구성

나. OTP의 원리

- OTP 생성 프로그램에 비밀키와 시컨트 카운트를 입력

- 해쉬 알고리즘으로 암호화 되고 OTP생성

- 사용자와 서버가 OTP 생성기를 가져야 함

- 해커는 네트워크에서의 스니핑으로 패스워드를 알아내더라도 계속 사용 못함

다. OTP의 구성요소

secret

암호쌍, 코드표 등 사용자와 인증시스템이 서로 공유하는 비밀번호

seed

임의의 숫자, 문자/숫자, 기호, 현재시간 등

Function f

Secret, seed를 입력 받은 질의문을 생성하는 함수로서 MD4,MD5, SHA등을 사용하여 그 특성이 y=F(x)에서 y값에 대한 x값 유추 불가(역함수 비존재)하고 하나의 y값에 대한 동일 x값 비존재

 

III. OTP 유형 비교

분류

항목

설명

비동기

방식

정의

-. OTP토큰과 OTP 인증서버 사이에 동기화되는 기준 값이 없으며, 사용자가 직접 임의의 난수값 을 OTP토큰에 입력함으로써 OTP값이 생성되는 방식

장점

-. 사용자가 인증 서버로부터 받은 질의값을 직접 입력해야 OTP값이 생성되기 때문에 전자금융사고 발생시 책임 소재 확인 가능. 보안성 높음

단점

-. 사용자 입력의 번거로움과 질의값을 별도 관리해야 하는 금융기관의 부담.

-. 동기화 방식에 비해 네트워크 부하 발생

-. ID/PWD 기반 어플리케이션과 호환이 용이하지 못함

개념도

Challenge-Response

OTP 인증 서버로부터 받은 질의 값을 사용자가 직접 OTP 토큰에 입력하고 생성된 OTP 값을 응답 값으로 전송하여 인증하는 방식

동기

방식

정의

-. OTP토큰과 인증서버 사이에 동기화되는 기준 값에 따라 OTP 값이 생성되며, 시간 동기화, 이벤트 동기화, 시간-이벤트 조합 방식 있음

장점

-. 금융기관은 질의값을 별도로 관리할 필요가 없으며, 사용자는 질의값을 OTP 기기에 직접 입력하여 응답값을 받을 필요가 없음.

-. 비동기화 방식에 비해서 네트워크 부하가 상대적으로 적음.

-. ID/PWD 기반의 범용 어플리케이션과 호환성 높음

단점

-. OTP토큰과 인증서버간에 기준값(시간,카운트횟수 등)이 동기화되어야 함

동기화

방식

시간

-. 동기화된 시간정보를 기준으로 매분 마다 OTP값 자동생성

이벤트

-. 동일한 카운트 값을 기준으로 사용자가 요청 시 OTP 생성

시간-이벤트

-. 동기화된 시간값 + 동일한 카운트 값을 기준으로 생성

개념도

 

IV. OTP 인증 프레임워크 종류

유형

설명

기본 모델

-. 사용자와 단일 서비스 제공자 간의 인증 모델로 가장 많이 사용됨

상호

운용

관리

모델

중앙집중형

-. 개인 사용자가 다수의 서비스 제공자들을 이용하는 시나리오.

-. 중앙에 단일화된 OTP 인증 시스템 구축 필요

확장 중앙집중형

-. OTP인증시스템의 장애에 대비하여 서비스 제공자 별 별도의 대체 인증서버 보유 방식

크로스 도메인 모델

-. 다수개의 중앙집중형 모델 간에 연동을 지원. 다수개의 중앙집중형 OTP 프레임워크에 가입된 사용자는 1개의 OTP 토큰을 이용 모든 서비스 제공자에게 인증 서비스를 받을 수 있음. 개념적으로는 Web2.0의 OPEN ID와 비슷함.

 

http://i2.media.daumcdn.net/svc/image/U03/news/201501/02/akn/20150102114708017.jpeg

 

댓글
nice

감사합니다

 

ㅇㅇ

감사합니다ㅇㅇ

 

ㅁㄴㅇㄻㄴㅇㄹ

감사합니다ㅇㅇ