[접근통제] 사용자 인증과 지식 기반 인증(Something you know)

사용자 인증 

: 정당한 가입자의 접속인지를 확인하는 절차

 

- 통신망은 공개되어있으므로 정상적으로 가입되어있는 가입자는 모두 접속이 가능하다. 이 때 비인가된 접속자가 불법 접속을 하게 된다면 정보 범죄의 발생이 가능하다

 

※ 특징 ※

● 사용자 A는 사용자 B와 협조하여 자신이 A임을 증명할 수 있다.

● 사용자 C는 본인을 사용자 A처럼 가장할 수 없다.

● 사용자 B는 제3자 사용자 D에게 A처럼 가장할 수 있다.

  ▶ 개인 식별 : 사용자 인증의 업그레이드 버전. B가 D에게 A처럼 가장할 수 없다. 

 

 

· 사용자 인증의 유형

유형	설명	예시
지식 기반 (Something You Know)	주체 본인이 머릿속에 기억하고 있는 것	패스워드, PIN
소유 기반 (Something You Have)	주체 보인이 직접 가지고 있는 것	토큰, 스마트카드
생체 기반 (Something You Are)	주체 본인의 고유한 신체적 특징	지문, 홍채
행위 기반 (Something You Do)	주체 본인의 행동	서명, 움직임
Two Factor	위 유형 중에서 두 가지를 결합하여 구현	토큰 + PIN
Multi Factor	세 가지 이상의 인증 메커니즘 사용	토큰 + PIN + 지문인식

[표 - 사용자 인증의 유형]

 

▶ 강한 인증을 위해선 두 가지 이상의 인증 기법들이 결합되어야 한다.

 

 

(1) 지식 기반 인증 (Something You Know)

: 사용자가 알고있는 지식이나 사실 등에 의존하는 인증 기법

※ 보안성 : 비밀번호의 크기와 랜덤성에 의존 ※

 

- 장점

① 다양한 분야에서 사용이 가능함

② 검증 확실성 有

③ 관리비용이 저렴함

 

- 단점

① 소유자가 패스워드를 망각 가능함 → 실제 사용자가 맞아도 인증 불가능

② 공격자가 추측 가능함

③ 사회 공학적 공격에 취약함

 

 

- 지식 기반 인증의 예시

 

ⅰ) 패스워드(Password)

: 가장 널리 사용되는 인증방법 (가장 안전성이 떨어지기도 함)

 

● 고정된 패스워드 

· 의미 : 접속 시에 반복해서 사용하는 패스워드

· 방법 1 : 단순히 표나 파일에 사용자 아이디와 패스워드를 정렬하여 저장

· 방법 2 : 패스워드의 해시를 저장 (해시함수의 일방향성 사용)

· 방법 3 : 패스워드 솔팅(salting) - 패스워드 뒤에 솔트라고 부르는 랜덤 문자열을 이어붙인 후 해시함수 적용

 

● 일회용 패스워드(OTP, one-time password)

· 의미 : 인증 목적을 위해 한 번만 사용되는 패스워드 → 한 번 사용되면 더 이상 패스워드는 유효하지 않음

· 방법 1 : 사용자와 시스템이 패스워드 목록에 대해 합의함

· 방법 2 : 사용자와 시스템은 패스워드를 순차적으로 업데이트함 - Pᵢ 를 이용하여 Pᵢ₊₁ 를 생성 

· 방법 3 : Lamport 일회용 패스워드 - hⁿ(P₀)을 계산 → hⁿ은 해시함수를 n번 적용함을 의미

 

 

· 패스워드 인증의 문제점

① 패스워드를 설정할 때 개인정보 (Ex. 전화번호, 생일 등)를 사용하면 추측이 쉬움

② 크래킹 툴과 같은 소프트웨어로 크랙하기 쉬움

③ 패스워드를 무작위로 설정하면 기억하기 어려움

 

· 패스워드의 보안 정책

① 패스워드는 최소 8자리 이상의 문자와 4가지 유형의 문자(대/소문자, 숫자, 특수문자)로 구성

② 동일한 패스워드의 재사용은 금지됨

③ 패스워드의 공유는 금지됨

④ 시스템은 로그인 실패 횟수를 제한하는 임계치를 설정해야 함

⑤ 휴면 사용자 계정은 잠금처리하고, 사용되지 않는 사용자 계정은 삭제해야함

 

· 패스워드의 안정성

▶ 패스워드의 길이(S)가 길수록, 패스워드의 사용기간(L)이 짧을수록, 사용 빈도(R)가 낮을수록 패스워드의 안전성 ↑

 

 

 

ⅱ) 시도-응답 개인 식별 프로토콜

: 대칭형 암호와 공개키 암호에 기반을 둔 인증 프로토콜

→ 사용자만이 알 수 있는 정보를 가지고 있다는 것을 간접적으로 보여줌으로써 본인을 증명함

 

● 일방향 개인 식별 프로토콜

● 상호 개인 식별 프로토콜

 

 

 

ⅲ) 영지식 개인 식별 프로토콜

: 자신의 비밀 정보를 서버에 제공하지 않고 자신의 신분을 증명하는 방식

 

 

 

ⅳ) i-PIN (Internet Personal Identification Number)

: 인터넷상에서 주민번호 대신에 본인 확인을 하는 수단 (id-password 사용)

 

· i-PIN 효과

① 주민등록번호 유출 예방

② 본인확인 강화 

 

· i-PIN 발급기관(본인확인기관)

: i-PIN을 발급해주는 기관을 본인확인기관이라고 함 (현재 3개의 민간 본인확인기관과 공공i-PIN 센터에서 발급 가능)

 

구분	i-PIN 인증	주민등록번호 실명확인
검증방법	· 주민등록번호 실명확인 + 신원확인	· 주민등록번호 + 이름 일치여부 확인
주민등록번호 저장	· 웹사이트에 저장 X	· 개별 웹사이트에 저장 O
유출 위험	· 주민등록번호 외부노출 가능성 少 · i-PIN 노출 시 폐지 및 신규발급 가능	· 주민등록번호 외부노출 가능성 多
사용 방법	· 신원확인 후 본인확인기관에서 i-PIN 발급 · i-PIN 아이디 / 비밀번호 사용	· 웹사이트에서 본인 확인 시 주민번호 사용

[표 - i-PIN & 주민등록번호 비교]

 

 

 

.

.

.

.

.

 

오늘은 사용자인증과 그 유형, 그리고 유형중에서도 지식 기반 인증 유형을 공부했다. 정보보안 산업기사 공부는 이쯤하고 인보전 2급 공부하러 가보겠다.