많은 웹 서비스에서 편리성을 이유로 패스워드 기반 인증 시스템을 주로 사용한다. 패스워드 기반 인증 시스템은 패스워드 추측공격, 사전식 대입공격, 키 로깅 공격 등 다양한 공격에 취약한 것으로 알려져 왔다. 뿐만 아니라 대부분 웹 기반 인증 시스템은 서버가 사용자를 인증하는 단방향 인증만을 제공하므로 사용자는 현재 접속하여 비밀 정보를 남기고자하는 서버가 적합한지 검증 할 수 없다. 따라서 DNS스푸핑 공격이나 피싱, 파밍과 같은 공격에 대응하기가 어렵다. 이러한 웹 서비스의 보안 취약점을 개선하기 위해 OTP를 사용하거나 패스워드 길이를 증가시키고, 특수기호를 포함하는 패스워드를 생성하게 하는 방안들이 적용되고 있다. 그러나 OTP 장치의 구입비용 발생, 복잡한 패스워드로 인한 사용자의 편리성 저하 등 실용성의 문제가 있다. 무엇보다 단방향 인증 기반에서는 여전히 취약점이 존재한다. 이를 해결하기 위해 본 논문에서는 QR-Code를 활용한 다중채널, 다중요소 인증시스템을 제안한다. 제안하는 시스템은 상호 인증을 제공하여 피싱이나 파밍과 같은 공격에 대응할 수 있다. 또한 휴대용 스마트 기기를 OTP 생성기로 활용하여 사용자의 편리성을 보장하면서 기존 패스워드 공격들에 대응할 수 있다.
많은 웹 서비스에서 편리성을 이유로 패스워드 기반 인증 시스템을 주로 사용한다. 패스워드 기반 인증 시스템은 패스워드 추측공격, 사전식 대입공격, 키 로깅 공격 등 다양한 공격에 취약한 것으로 알려져 왔다. 뿐만 아니라 대부분 웹 기반 인증 시스템은 서버가 사용자를 인증하는 단방향 인증만을 제공하므로 사용자는 현재 접속하여 비밀 정보를 남기고자하는 서버가 적합한지 검증 할 수 없다. 따라서 DNS 스푸핑 공격이나 피싱, 파밍과 같은 공격에 대응하기가 어렵다. 이러한 웹 서비스의 보안 취약점을 개선하기 위해 OTP를 사용하거나 패스워드 길이를 증가시키고, 특수기호를 포함하는 패스워드를 생성하게 하는 방안들이 적용되고 있다. 그러나 OTP 장치의 구입비용 발생, 복잡한 패스워드로 인한 사용자의 편리성 저하 등 실용성의 문제가 있다. 무엇보다 단방향 인증 기반에서는 여전히 취약점이 존재한다. 이를 해결하기 위해 본 논문에서는 QR-Code를 활용한 다중채널, 다중요소 인증시스템을 제안한다. 제안하는 시스템은 상호 인증을 제공하여 피싱이나 파밍과 같은 공격에 대응할 수 있다. 또한 휴대용 스마트 기기를 OTP 생성기로 활용하여 사용자의 편리성을 보장하면서 기존 패스워드 공격들에 대응할 수 있다.
Password based authentication systems are most widely used for user convenience in web services. However such authentication systems are known to be vulnerable to various attacks such as password guessing attack, dictionary attack and key logging attack. Besides, many of the web systems just provide...
Password based authentication systems are most widely used for user convenience in web services. However such authentication systems are known to be vulnerable to various attacks such as password guessing attack, dictionary attack and key logging attack. Besides, many of the web systems just provide user authentication in a one-way fashion such that web clients cannot verify the authenticity of the web server to which they set access and give passwords. Therefore, it is too difficult to protect against DNS spoofing, phishing and pharming attacks. To cope with the security threats, web system adopts several enhanced schemes utilizing one time password (OTP) or long and strong passwords including special characters. However there are still practical issues. Users are required to buy OTP devices and strong passwords are less convenient to use. Above all, one-way authentication schemes generate several vulnerabilities. To solve the problems, we propose a multi-channel, multi-factor authentication scheme by utilizing QR-Code. The proposed scheme supports both user and server authentications mutually, thereby protecting against attacks such as phishing and pharming attacks. Also, the proposed scheme makes use of a portable smart device as a OTP generator so that the system is convenient and secure against traditional password attacks.
Password based authentication systems are most widely used for user convenience in web services. However such authentication systems are known to be vulnerable to various attacks such as password guessing attack, dictionary attack and key logging attack. Besides, many of the web systems just provide user authentication in a one-way fashion such that web clients cannot verify the authenticity of the web server to which they set access and give passwords. Therefore, it is too difficult to protect against DNS spoofing, phishing and pharming attacks. To cope with the security threats, web system adopts several enhanced schemes utilizing one time password (OTP) or long and strong passwords including special characters. However there are still practical issues. Users are required to buy OTP devices and strong passwords are less convenient to use. Above all, one-way authentication schemes generate several vulnerabilities. To solve the problems, we propose a multi-channel, multi-factor authentication scheme by utilizing QR-Code. The proposed scheme supports both user and server authentications mutually, thereby protecting against attacks such as phishing and pharming attacks. Also, the proposed scheme makes use of a portable smart device as a OTP generator so that the system is convenient and secure against traditional password attacks.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
기술들이 제안되고 있다. 그리고 1회용 패스워드(즉, OTP: One Time Password)를 인증에 이용하여 패스워드가 가진 한계점을 해결하고자 하였다[8]. 하지만 사용자가 OTP 발생 장치를 항상 소지해야 하는 조건, OTP 장치의 구입비용 발생, 각각의 웹 서비스를 이용하기위해 각 웹서비스 마다 등록해야 하는 불편함은 패스워드를 이용한 현 인증 시스템을 대신하는데 많은 제약이 되고 있다.
본 논문에서는 QR-Code를 이용한 두 가지 요소, 스마트 기기를 이용한 두 가지 채널 인증 시스템을 제안하였다. 본 논문의 제안 시스템에서는 랜덤 넌스를 통해 일회용 패스워드를 생성하여 인증에 활용하였다.
상기 제시한 취약성을 해결하기 위해 본 논문에서는 스마트 기기와 QR-Code를 활용한 두 가지 채널(Two-Channel), 두 가지 요소(Two-Factor) 인증 시스템을 제안한다. 특히, 제안하는 시스템은 서버와 사용자 간 상호 인증을 제공하므로 피싱, 파밍과 같은 공격에 대응할 수 있다.
제안 방법
다음 표 3에서는 본 논문의 제안 시스템과 아이디, 패스워드 기반 인증 시스템, 기존 사용되고 있던 OTP를 이용한 인증 시스템을 각 보안 공격에 대해 공격 가능 여부를 비교 하였다.
본 논문의 제안 시스템에서 생성하는 패스워드는 OTP 특성을 가지므로 키 로깅 공격에 대응 할 수 있다. 또한 사용자의 OTP 정보만을 의존하는 인증 시스템의 한계를 해결하고자 서버의 인증값(사이트키) 역시 OTP의 개념을 적용했다. 즉, 접속 시 마다 변경되는 서버의 인증 값을 검증하여 서버인증을 진행 하므로 다양한 공격에 대응 할 수 있다.
본 논문에서는 QR-Code를 이용한 두 가지 요소, 스마트 기기를 이용한 두 가지 채널 인증 시스템을 제안하였다. 본 논문의 제안 시스템에서는 랜덤 넌스를 통해 일회용 패스워드를 생성하여 인증에 활용하였다. 일회용 패스워드 생성에 휴대가 편리한 스마트 기기를 이용하므로 별도의 OTP 생성기를 소지 하지 않아도 되며, OTP 생성기 구입을 위한 추가 비용이 들지 않는다.
본 장에서는 웹 서비스 이용 시, QR-Code와 스마트 기기를 이용한 두 가지 요소, 두 가지 채널 인증을 통해 사용자와 서버가 상호 인증할 수 있는 인증 시스템을 제안한다.
사용자는 본인의 스마트 폰을 이용하여 웹 브라우저에 출력된 QR-Code를 촬영한다.
웹 브라우저에 출력된 IP 주소 정보를 입력한 후, QR-Code를 촬영한다. 스마트 폰은 디코딩을 통해 얻어진 r1과 사전에 안전하게 저장된 사용자의 패스워드 H(pw)를 HMAC의 메시지 값과 키 값으로 각각 사용한다.
따라서 공격자는 사용자가 최종 입력하는 ACode_user 값을 가로채 웹 서버로부터 올바른 사용자로 인증 받을 수 있다. 이와 같은 중간자 공격에 대응하기 위해 QR-Code 촬영 시, 웹 브라우저에 출력 되는 IP 주소 정보를 또 다른 인증 채널인 스마트 폰과 인증 서버 간 통신 시 함께 전송 (P#, REP_U, r2, TRid, IP)한다. 인증 서버는 웹 서버에 IP 주소와 함께 인증 정보를 제공하여 최종 로그인 과정에서 해당 브라우저의 IP 주소를 검증하여 IP 주소가 일치하지 않거나 두 개의 IP 주소에서 로그인 시도 시 인증과정을 종료한다.
HMAC의 결과 값으로 얻어진 REP_U는 인증서버에서 사용자를 인증하는 값으로 사용 한다 (수식 (2)). 이후 서버를 인증하기 위해 128 bit 랜덤 넌스 r2를 생성한 후, 사용자의 휴대폰 번호 P#, REP-U, r2와 트랜잭션 아이디 TRid, 입력된 IP 주소 정보를 병합하여 인증서버에 전송 한다 (수식(3)).
. 제안 방식에서는 중간자 공격 대응 및 서버와 사용자의 상호인증을 위해 서버의 개인키로 서명이 된 QR-Code를 이용하여 인증을 진행한다. 하지만 사용자는 서명 인증을 위해 별도의 어플리케이션으로 서버의 인증서를 다운받아야 하는 불편함이 있다.
제안 하는 시스템의 안전성을 분석하기 위해 인증시 발생할 수 있는 대표적인 공격인 파밍 공격, 재전송 공격, 키 로깅 공격에 대해 분석한다. 표 2는 보안 분석에 사용되어 지는 파라미터들을 나타낸다.
성능/효과
본 논문의 제안 시스템에서 생성하는 패스워드는 OTP 특성을 가지므로 키 로깅 공격에 대응 할 수 있다. 또한 사용자의 OTP 정보만을 의존하는 인증 시스템의 한계를 해결하고자 서버의 인증값(사이트키) 역시 OTP의 개념을 적용했다.
본 제안 시스템의 인증과정 중, 최종 인증 값 입력 단계에서 인증 값(ID, ACode_user)를 웹 브라우저에 직접 입력하여 전송하는 과정에서 공격자가 입력 되는 모든 정보를 가지고 있다가 일정시간 이후 인증 값을 재사용하는 재전송 공격을 할 수 있다.
제안 시스템은 사용자의 기억에 의존하지 않는 패스워드를 적용할 수 있으므로 모든 서비스 단위로 복잡하고 긴 패스워드 사용이 가능하다. 따라서 기존 패스워드 기반 방식에서 문제로 지적되었던 패스워드 노출 시 2차 피해가 발생한다는 취약점에도 대응할 수 있다.
참고문헌 (12)
J. Park and N. Kang, "Entity authentication scheme for secure WEB of things applications," J. KICS, vol. 38B, no. 05, pp. 394-400, May 2013.
A. O. Freier, P. Karlton, and P. C. Kocher, "The SSL protocol: Version 3.0," Netscape Draft302, Nov. 1996.
T. Dierks and E. Rescorla, The transport layer security (TLS) protocol version 1.2, IETF Standard RFC 5246, Aug. 2008.
S. E. Shechter, R. Dhamija, A. Ozment, and I. Fischer, "The emperor's new security indicators," in Proc. IEEE Security and Privacy, pp. 51-65, Berkeley, California, May 2007.
S. Michael, "Replacing username/password with software-only two-factor authentication," Cryptology ePrint Archive, Report 2012/148, 2012.
K. Liao, W. Lee, M. Sung, and T. Lin, "A one-time password scheme with QR-Code based on mobile phone," INC, IMS and IDC, pp. 2069-2071, Seoul, Korea, Aug. 2009.
L., Men and U. Blumenthal, "Manageable one-time password for consumer applications," in Conf. Consumer Electronics (ICCE), pp. 1-2, Las Vegas, NV, Jan. 2007.
J. Youll, "Fraud vulnerabilities in SiteKey security at bank of america," Review draft to Bank of America/RSA, Jul. 2006.
B. Dodson, D. Sengupta, D. Boneh, and M. Lam, "Secure, consumer-friendly web authentication and payments with a phone," MobiCASE, pp. 17-38, Santa Clara, CA, USA, Oct. 2010.
J. Lee, H. You, C. Cho, and M. Jun, "A design secure QR-Login user authentication protocol and assurance methods for the safety of critical data using smart device," J. KICS, vol. 37C, no. 10, pp. 949-964, Oct. 2012.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.