[접근통제] 소유 기반 인증(What You Have)

어제 공부하려고 사지방 컴퓨터 키는데 로그인이 안 돼서 20분 날렸다.

홧김에 그냥 정보보안 산업기사 공부를 스킵하고 Dreamhack이라는 사이트에서 리눅스 공부를 했다!

다시 열심히 자격증 공부를 시작해보겠다....

 

이틀 전에는 사용자 인증과 그 유형 중 하나인 지식 기반 인증에 대해 공부했다. 오늘은 소유 기반 인증에 대해 공부해보겠다.

 

 

소유 기반 인증(What you have)

: 말 그대로 사용자가 가지고 있는(소유하고 있는) 것을 사용하여 본인을 인증하는 것이다.

→ 다른 사람이 쉽게 도용할 수 있으므로 다른 인증 유형과 함께 사용된다.

 

· 장점 

① 일반적이다

② 신뢰성과 편리성이 입증된 기술이다

③ 비용 측면에서 경제적이다

 

· 단점

① 소유물이 없을 경우에 인증이 어렵다

② 도용 및 복제가 가능하다

③ 자산 관리 기능이 요구된다

 

 

- 소유 기반 인증의 예시

 

ⅰ) 메모리 카드(토큰)

: 아주 작은 보조 기억 장치 - 정보를 저장하지만 처리할 수는 없다

 

ⅱ) 스마트카드

: 정보를 저장하면서 동시에 처리할 수 있는 카드 (마이크로 프로세스, 카드 운영체제, 보안 모듈, 메모리 등으로 구성)

→ 장비보호 기능이 있어야 함

 

ⅲ) 일회용 패스워드(OTP, One-Time Password)

: 사용자 비밀번호화 OTP 생성용 입력값을 입력하여 일회용 패스워드를 생성하는 방법

 

· 특징

① 일정시간마다 비밀번호를 변경

② 휴대폰으로 인증 → 편리성 및 안전성 제공

 

· OTP 생성 및 인증 방식

 

① 질의응답 방식(Challenge-Response)

: 서버가 사용자에게 특정 질문을 하고 사용자가 그 답을 함으로써 인증하는 방법

 

· 장점

- 구조가 비교적 간단

- OTP 생성 매체와 인증서버 간 동기화 필요 X

 

· 단점

- 사용자가 질의 값을 직접 입력해야 함 → 번거로움

- 인증 서버에서 같은 질의 값이 나오면 안 됨

 

 

② 시간 동기화 방식(Time-sync)

: 현재 시간을 기준으로 일회용 비밀번호 생성

 

· 장점

- 사용이 간편함

- 호환성이 높음

 

· 단점

- OTP 생성 매체와 인증서버의 시간 정보 동기화 필요

- 일정 시간 인증을 받지 못하면 새로운 OTP 생성까지 기다려야함

 

 

③ 이벤트 동기화 방식(Event-sync)

: 계수기의 카운트를 기준으로 일회용 비밀번호 생성

 

· 장점 

- 사용이 간편함

- 호환성이 높음

 

· 단점

- OTP 생성 매체와 인증서버의 계수기 값 동기화 필요

 

 

④ S/KEY 방식

: 해시 체인 방식을 통해 이전 결과값에서 해시값을 구함

→ 서버에 비밀번호 저장 X

 

 

 

.

.

.

.

.

 

오늘 정보보안 산기 공부는 여기까지 하고 인보전 2급 공부하러 가보겠다.