SMS 기반 인증의 보안 취약점을 개선한 스마트폰 소유 및 위치 확인 기법 Smartphone Ownership and Location Checking Scheme for Fixing the Vulnerabilities of SMS-Based Authentication원문보기
많은 웹 사이트들이 사용자가 패스워드를 분실하거나 온라인 결제를 진행하는 등의 상황에서 SMS(Short Message Service) 기반의 사용자 인증을 채택하고 있다. SMS 기반 인증에서 인증 서버는 텍스트를 평문으로 전송하기 때문에 공격자가 그 텍스트를 도청하거나 가로채면 다른 사람(피해자)인 것처럼 인증을 받을 수 있다. 본 논문에서는 사용자가 스마트폰을 지금, 어느 위치에서 소유하고 있는지를 인증하는 챌린지-응답(challenge-response) 형태의 인증 방식을 제안한다. 제안 방식은 서버가 보낸 챌린지, 사용자의 현재 위치정보, 스마트폰에 저장된 비밀 값을 모두 사용하여 응답을 생성한다. 그 결과로, 단순히 사용자가 받은 SMS 메시지를 어떤 가공도 없이 그대로 서버로 되돌리는 SMS 기반 인증에 비해, 제안 방식은 훨씬 더 안전하다. 제안 방식은 기존 SMS 기반 인증의 텍스트에 해당하는 응답의 입력과 더불어, 인증 과정의 시작을 위해 추가로 패스프레이즈(passphrase)의 입력을 요구하나, 추가 입력의 부담은 향상되는 보안성을 고려할 때 대부분의 사용자들이 감내할 수 있는 수준이라 판단한다.
많은 웹 사이트들이 사용자가 패스워드를 분실하거나 온라인 결제를 진행하는 등의 상황에서 SMS(Short Message Service) 기반의 사용자 인증을 채택하고 있다. SMS 기반 인증에서 인증 서버는 텍스트를 평문으로 전송하기 때문에 공격자가 그 텍스트를 도청하거나 가로채면 다른 사람(피해자)인 것처럼 인증을 받을 수 있다. 본 논문에서는 사용자가 스마트폰을 지금, 어느 위치에서 소유하고 있는지를 인증하는 챌린지-응답(challenge-response) 형태의 인증 방식을 제안한다. 제안 방식은 서버가 보낸 챌린지, 사용자의 현재 위치정보, 스마트폰에 저장된 비밀 값을 모두 사용하여 응답을 생성한다. 그 결과로, 단순히 사용자가 받은 SMS 메시지를 어떤 가공도 없이 그대로 서버로 되돌리는 SMS 기반 인증에 비해, 제안 방식은 훨씬 더 안전하다. 제안 방식은 기존 SMS 기반 인증의 텍스트에 해당하는 응답의 입력과 더불어, 인증 과정의 시작을 위해 추가로 패스프레이즈(passphrase)의 입력을 요구하나, 추가 입력의 부담은 향상되는 보안성을 고려할 때 대부분의 사용자들이 감내할 수 있는 수준이라 판단한다.
Many Web sites adopt SMS(Short Message Service)-based user authentication when a user loses her password or approves an online payment. In SMS-based authentication, the authentication server sends a text in plaintext to a user's phone, and it allows an attacker who eavesdrops or intercepts the text ...
Many Web sites adopt SMS(Short Message Service)-based user authentication when a user loses her password or approves an online payment. In SMS-based authentication, the authentication server sends a text in plaintext to a user's phone, and it allows an attacker who eavesdrops or intercepts the text to impersonate a valid user(victim). We propose a challenge-response scheme to prove to the authentication server that a user is in a certain place at the moment with her smartphone beside her. The proposed scheme generates a response using a challenge by the server, user's current location, and a secret on the user's smartphone all together. Consequently, the scheme is much more secure than SMS-based authentication that simply asks a user to send the same text arrived on her phone back to the server. In addition to entering the response, which substitutes the SMS text, the scheme also requests a user to input a passphrase to get the authentication process started. We believe, however, the additional typing should be tolerable to most users considering the enhanced security level of the scheme.
Many Web sites adopt SMS(Short Message Service)-based user authentication when a user loses her password or approves an online payment. In SMS-based authentication, the authentication server sends a text in plaintext to a user's phone, and it allows an attacker who eavesdrops or intercepts the text to impersonate a valid user(victim). We propose a challenge-response scheme to prove to the authentication server that a user is in a certain place at the moment with her smartphone beside her. The proposed scheme generates a response using a challenge by the server, user's current location, and a secret on the user's smartphone all together. Consequently, the scheme is much more secure than SMS-based authentication that simply asks a user to send the same text arrived on her phone back to the server. In addition to entering the response, which substitutes the SMS text, the scheme also requests a user to input a passphrase to get the authentication process started. We believe, however, the additional typing should be tolerable to most users considering the enhanced security level of the scheme.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 SMS 기반 인증 기법의 보안상 취약 점을 분석하고, 보안성이 대폭 향상된 대체 인증 방식을 제안한다. 제안 방식은 인증 요청된 시각에, 서버에 등록된 주요 활동지역에서 인증 요청자가 스마트 폰을 소유하고 있다는 사실을 인증 서버가 확인하도록 한다.
본 논문에서는 SMS 기반 인증을 대체하는 인증 방식을 제안하고 프로토타입 구현을 통해 실현가능성을 보였다. 제안 방식이 공격자에 의해 깨지려면 다음과 같은 극단적인 가정이 필요하다.
즉, 트랜잭션의 계좌번호가 화이트 계정 목록에 포함되어있는지 검사하여 신뢰할 수 있는지 판단하고, 트랜잭션의 계좌번호가 블랙 계정 목록에 있다면 사용자에게 공격에 대해 경고하는 방식으로 유용성을 개선한다. 본 논문의 제안 방식은 SMS 기반 인증을 아예 새로운 방식으로 대체하려는 것으로, SMS 인증의 개선이 주된 목적인 이러한 연구 들과는 차이점을 가진다.
가설 설정
공격자가 사용자의 스마트폰으로 전송되는 챌린지를 탈취할 수 있는 환경을 구축한 뒤, 미리 탈취한 사용자의 개인정보로 결제를 시도하는 상황을 가정하자. 기존 SMS 기반 인증은 공격자가 결제 시도를 하면서 악성코드로 스마트폰으로 오는 문자를 빼돌림으로써 공격자가 결제 과정을 완료할 수 있다.
제안 방법
이를 위해 안드로이드의 WindowManager.LayoutParams에 있는 플래그들 중 FLAG_SECURE를 사용하여 안드로이드 운영체제 수준에서 캡쳐가 금지되도록 강제하였다. 그림 4는 캡쳐 금지 기능이 적용되어 있는 인증 앱에서 캡쳐를 시도했을 때의 화면이다.
인증 과정에 참여하는 주체는 인증서버, 사용자 PC(또는 사용자 스마트폰) 및 서버의 인증 챌린지를 수신, 처리할 사용자 스마트폰이다. 사용자는 자신의 PC(또는 스마트폰)로 인증 서버가 제공하는 홈페이지에 로그인 후 이중인증의 첫 번째 인증을 완료한 뒤, SMS 기반 인증을 대체하는 두 번째 인증을 진행한다. 이 과정은 그림 2와 같다.
서버는 사용자에게 보낸 챌린지(C), 서버에 저장된 해당 사용자의 비밀 값(S) 및 사용자가 사전에 등록한 위치정보(L)를 이용하여 위와 같은 방법으로 HMAC 을 계산을 한다. 계산 결과인 R′이 사용자 스마트폰에서 전송된 R과 일치할 때만 서버는 성공적으로 인증을 완료한다.
그결과로 공격자가 십여 개의 유출된 계정에 로그인한후 일부 대화 내용을 복원해 내었다. 이 공격은 해커들이 사전에 텔레그램 사용자의 스마트폰에 악성코드를 침투시켜 놓고, 본인인증을 할 때 발생하는 인증 SMS를 가로채서 다른 스마트폰에 사용자 계정 자체를 복사하는 방식으로 이루어졌다.
그런데 패스프레이즈(P)가 악성 코드의 일종인 키로거 (keylogger) [20] 에 의해 공격자 에게 노출되었다면, 공격자가 피해자의 스마트폰을 손에 넣는 경우에 훔친 패스프레이즈(P)를 이용하여 비밀 값(S)을 얻을 수 있다. 이를 방지하여 악성코드가 패스프레이즈(P)를 획득하기 매우 어렵게 만들기 위해, 제안 방식 구현 시, 화면 캡쳐 방지 기능과 키 입력 시 키보드 심볼들의 배치가 변경되는 보안 키보드를 포함시켰다. 물론 악성코드가 안드로이드 운영체제의 모든 제어 권한을 획득하고 메모리까지 조작 가능 하다면, 제안 방식의 보호 장치들을 모두 해제하고 공격을 가할 수 있다.
사용자가 스마트폰에 패스프레이즈를 입력할때 정적인 가상 키보드를 이용한다면, 터치 좌표를 수집하는 악성코드에 의해 패스프레이즈가 탈취될 수도 있다. 이에 대비하여 패스프레이즈 입력 시 화면에 나타나는 키보드는 매 키입력 직후 키 배치가 무작위로 바뀌도록 구현하였다. 그 결과 인증 앱은 안드로이드 기본 키보드 대신에 키 배치가 매번 달라지는 보안 키보드를 통하여 사용자 입력을 받는다.
사용자 폰은 우선 사전 공유 숫자, GPS 위치, 타임스탬프 정보로 토큰을 만들고 인증 서버에게 전송한다. 인증 서버는 GPS 서버에서 해당 사용자의 GPS 정보(GPS 위치, 타임스탬프)를 받아와서 토큰을 만들고, 이를 사용자가 보낸 토큰과 비교하여 검증한다. 이 방식에서는 사용자 위치정보의 현재성을 검증하기 위해 GPS 서버에 저장된 GPS 검색 기록의 타임스탬프를 이용하기 때문에, 인증 서버가 GPS 서버에 사용자의 기록을 질의하는 과정이 필요하여 인증에 소요되는 시간이 증가한다.
기존 SMS 기반 인증은 공격자가 결제 시도를 하면서 악성코드로 스마트폰으로 오는 문자를 빼돌림으로써 공격자가 결제 과정을 완료할 수 있다. 제안 방식은 공격자가 인증 챌린지를 빼돌리는데 성공하여도, 응답을 만들기 위해서는 (1) 스마트폰에 저장된 비밀 값 (S), (2) 사용자가 서버에 등록해놓은 위치정보(L)를 모두 알아야 한다. 비밀 값(S)은 스마트폰 내부 유심에 암호화되어 저장되어 있고, 외부로 평문 S 자체가 전송되는 경우는 없다.
제안 방식은 응답을 받은 그대로 서버에 전달하는 대신에 비밀 값(S)과 현재 위치 정보(L)를 포함시켜 암호화 가공을 거친 응답을 서버에 전달한다. 따라서 제안 방식은 기존 SMS 기반 인증 방식과 달리, 피해자를 대신하여 몰래 인증을 시도하는 공격 시나리오에 대하여 매우 강력한 보안성을 제공한다.
본 논문에서는 SMS 기반 인증 기법의 보안상 취약 점을 분석하고, 보안성이 대폭 향상된 대체 인증 방식을 제안한다. 제안 방식은 인증 요청된 시각에, 서버에 등록된 주요 활동지역에서 인증 요청자가 스마트 폰을 소유하고 있다는 사실을 인증 서버가 확인하도록 한다. 이를 위해 인증 요청자는 스마트폰을 통하여 인증 서버와 챌린지-응답 기반의 메시지 교환을 하며, 이 때 응답에 사용자의 현재 위치정보가 자동으로 포함된다.
제안 인증 방식의 실현가능성을 보이기 위하여 프로토타입을 구현하였다. 인증 서버 프로그램은 파이썬 (Python) 3.
3을 이용하여 구현하였으며, gradle build 옵션은 compileSdkVersion 22, minSdkVersion 19, targetSdkVersion 22로 설정하였다. 주요 구현내용은 인증 앱 최초 설치과정, 패스프 레이즈 등록과 검증, 화면 캡쳐 방지 및 보안 키보드이다.
5을 이용하여 구현하였다. 챌린지 생성을 위해, HC-256 스트림 암호화 알고리즘의 C언어로 구현된 소스코드를 동적 라이브러리 형식으로 변환 후, 파이썬 프로그램의 런 타임에 로드하여 사용하였다. HC-256 알고리즘에 입력으로 들어가는 키와 IV는 인증 서버만.
대상 데이터
제안하는 방식의 구현이 가능한 휴대폰은 3G 이동 통신 단말기부터 탑재되는 심(SIM) 카드를 가진 Android 기반 스마트폰이다. 2016년 3월 한국인터넷 진흥원 모바일인터넷이용실태조사 보고서 [18] 에 따르면 국내 스마트폰 사용자의 89.
이론/모형
인증 앱은 사용자로부터 패스프레이즈를 입력받고, 패스프레이즈(P)의 해시함수 적용 결과인 h(P)를 암호화키(K)로 사용하여, 비밀 값(S)을 대칭키 암호화한 결과인 E(S,K)를 유심(USIM)에 저장한다. 대칭키 암호화는 AES-256 알고리즘, 해시 함수는 SHA-256 알고리즘을 사용하여 구현한다.
따라서 서버의 챌린지 값은 적어도 동일 사용자에게 반복되어서는 안 된다. 이를 위해 서버는 HC-256 스트림 암호화 알고리즘 [19] 을 통해 생성된 랜덤 키스트림 (keystream)을 128-bit 단위로 자른 것을 챌린지로 사용하며, 매번 새로운 위치에서 챌린지를 취한다. HC-256은 유럽의 eSTREAM이 선택한 스트림 암호화 알고리즘들 중 하나로 256-bit의 비밀 키(key) 와 256-bit의 초기 벡터(IV)를 이용하여 뛰어난 유사랜덤 성질을 보이는 키스트림을 최대 2 128 bits 만큼 생성해 낸다.
한번 계산된 키와 IV를 이용하여 키스트림을 2 128 bits만큼 생성한 뒤에는, 달라진 현재 서버 시간 (T's)을 이용하여 다시 h(M || T's)를 계산하여 키와 IV를 갱신한 후 HC-256 알고리즘을 실행하도록 한다.
AiZomai 등 [14] 은 온라인 뱅킹 인증 솔루션의 대역 외 채널을 이용한 인증 방식이 공격에 취약하다고 주장하며, SMS 기반 인증 방식의 유용성을 개선하는 기법을 제시하였다. 해당 기법은 트랜잭션의 유효성을 검사하기 위해 화이트 계정 목록(white account list)과 블랙 계정 목록(black account list), 알려진 계정 목록(known account list)을 사용한다. 즉, 트랜잭션의 계좌번호가 화이트 계정 목록에 포함되어있는지 검사하여 신뢰할 수 있는지 판단하고, 트랜잭션의 계좌번호가 블랙 계정 목록에 있다면 사용자에게 공격에 대해 경고하는 방식으로 유용성을 개선한다.
성능/효과
따라서 제안 방식에 대한 공격을 성공시키기 위해서는 공격자가 주 인증 수단에 사용되는 피해자의 인증 정보를 탈취했거나, 주 인증 수단을 통한 사용자의 인증을 무력화시켰다는 전제가 추가적으로 필요하다. 결과적으로 제안 방식은 사용자에게 패스프레이즈 입력이라는 충분히 감당할 만한 부담을 추가로 지우면서, 기존 SMS 기반 인증에 비교하여 그 보안성을 크게 높였다는 점에서 그 의미를 찾을 수 있다.
계산 결과인 R′이 사용자 스마트폰에서 전송된 R과 일치할 때만 서버는 성공적으로 인증을 완료한다.
SMS 기반 인증은 사용자가 소유하고 있는 것(what you have)을 인증하기에 불충분하다는 한계를 가진다. 두 가지 문제점이 존재하는데, 첫째, 휴대폰의 도난이나 분실 시 취득자/도둑에 의해 해당 기기에 대한 물리적 접근이 가능해 진다는 것과 둘째, 인증 SMS를훔쳐보거나, 우회시켜 공격자에게로 전송시키는 것이 가능하다는 것이다.
제안 방식은 응답을 받은 그대로 서버에 전달하는 대신에 비밀 값(S)과 현재 위치 정보(L)를 포함시켜 암호화 가공을 거친 응답을 서버에 전달한다. 따라서 제안 방식은 기존 SMS 기반 인증 방식과 달리, 피해자를 대신하여 몰래 인증을 시도하는 공격 시나리오에 대하여 매우 강력한 보안성을 제공한다.
또한 제안 방식은 스마트폰이 악성코드에 감염되는 경우에도 매우 높은 수준의 보안성을 제공한다. 제안 방식에서 비밀 값(S)은 사용자가 기억하는 패스프레이즈(P)로부터 유도된 암호화 키로 대칭키 암호화된채 유심에 저장된다.
패스프레이즈 입력 오류가 5번 발생하면 앱의 사용을 금지시킨다. 패스프레이즈를 분실하였거나 앱 이용 불가 상태가 되면 설치된 앱을 삭제하고 재설치하도록 하여, 추측 공격에 의한 피해 가능성을 줄였다.
후속연구
제안 방식은 기존 SMS 기반 인증과 마찬가지로, 피해자가 주 인증 수단으로 이미 인증을 받은 상태이거나, 주 인증 수단의 사용이 불가능한 상황에서의 보조 인증 수단으로 주로 사용된다. 따라서 제안 방식에 대한 공격을 성공시키기 위해서는 공격자가 주 인증 수단에 사용되는 피해자의 인증 정보를 탈취했거나, 주 인증 수단을 통한 사용자의 인증을 무력화시켰다는 전제가 추가적으로 필요하다. 결과적으로 제안 방식은 사용자에게 패스프레이즈 입력이라는 충분히 감당할 만한 부담을 추가로 지우면서, 기존 SMS 기반 인증에 비교하여 그 보안성을 크게 높였다는 점에서 그 의미를 찾을 수 있다.
Ahmed 등 [12] 은 중첩(convolution)과 뒤섞기(shuffling)를 사용하고, 정적 암호화 키를 사용한 RC4 알고리즘을 사용하여 문자를 암호화하였다. 또한 추가 연구 [13] 로, 새로 제안한 해시 함수와 공유키를 사용하여 동적 암호화 키를 생성하는 방식을 제안하였다. 이 방식에서는 문자 송신자가 중첩과 뒤섞기를 적용하고 해시 함수와 타임스탬프, 공유키를 이용하여 동적으로 암호화 키를 생성한 뒤, 문자 내용을 암호화하고 타임스탬프를 더하여 문자를 전송한다.
사용자가 입력한 패스프 레이즈를 해시한 값, 즉 h(P)를 암호화 키(K)로암호화하여 유심에 저장된 E(S, K)를 복호화한 결과인 S를 응답 생성에 사용한다. 만약 사용자가 잘못된 패스프레이즈를 입력한다면 복호화 과정에서 문제가 발생하거나, 서버와는 다른 S 값이 생성되어 응답을 만드는데 사용될 것이다. Y의 마지막 36-bit를 취하여 이를 R로 삼고, R을 6-bit 단위로 나누어 각각을 base64로 인코딩한 결과의 6개의 문자(숫자, 영대문자, 영소문자, +, @)를 캡챠(CAPTCHA) 형태로 화면에 출력 한다.
해당 기법은 트랜잭션의 유효성을 검사하기 위해 화이트 계정 목록(white account list)과 블랙 계정 목록(black account list), 알려진 계정 목록(known account list)을 사용한다. 즉, 트랜잭션의 계좌번호가 화이트 계정 목록에 포함되어있는지 검사하여 신뢰할 수 있는지 판단하고, 트랜잭션의 계좌번호가 블랙 계정 목록에 있다면 사용자에게 공격에 대해 경고하는 방식으로 유용성을 개선한다. 본 논문의 제안 방식은 SMS 기반 인증을 아예 새로운 방식으로 대체하려는 것으로, SMS 인증의 개선이 주된 목적인 이러한 연구 들과는 차이점을 가진다.
질의응답
핵심어
질문
논문에서 추출한 답변
SMS 기반 인증의 취약점이 드러난 사건은 무엇인가?
SMS 기반 인증은 널리 사용되고 있음에도 불구하고, 여러 공격에 그 취약함이 드러났다. 2012년 12월에 인증 메시지를 탈취하는 목적의 악성코드 ‘체스트 (chest)’ [2] 가 발견되고, 2016년 8월에는 SMS 인증의 취약점을 악용하여 모바일 메신저인 텔레그램 (Telegram) 사용자의 개인정보를 탈취하는 사건 [3] 이발생하는 등, SMS 기반 인증은 결코 안전한 인증 수단이라 볼 수 없다. 이에 국내에서는 2014년부터 은행 권에서 SMS 기반 인증을 사용 중단하기 시작했고 [4] , 2016년 8월 미국 NIST(National Institute of Standards and Technology)는 정부 서비스 제공자들 에게 SMS 기반 인증을 사용하지 말 것을 권고했다 [5] .
온라인에서 비밀번호를 기반으로 하는 인증 기술의 강점은 무엇인가?
온라인에서 사용자를 인증하기 위한 여러 기술 중에서 유지비용과 사용편의성 측면에서 강점을 가진 비밀번호를 기반으로 하는 인증 기술이 가장 널리 쓰이고 있다. 하지만 사용자들은 같은 비밀번호를 여러 사이트에 사용하는 경향이 있기 때문에 한 사이트의 패스워드가 유출되면 다른 사이트들의 안전성도 위협 받는다.
본 연구에서 제시한 챌린지-응답(challenge-response) 형태의 인증 방식은 어떻게 진행되는가?
본 논문에서는 SMS 기반 인증 기법의 보안상 취약 점을 분석하고, 보안성이 대폭 향상된 대체 인증 방식을 제안한다. 제안 방식은 인증 요청된 시각에, 서버에 등록된 주요 활동지역에서 인증 요청자가 스마트 폰을 소유하고 있다는 사실을 인증 서버가 확인하도록 한다. 이를 위해 인증 요청자는 스마트폰을 통하여 인증 서버와 챌린지-응답 기반의 메시지 교환을 하며, 이 때 응답에 사용자의 현재 위치정보가 자동으로 포함된다. 스마트폰에서 구동되는 인증 프로그램은 사용 자의 올바른 패스프레이즈(passphrase) 입력 시에만 동작하기 때문에 스마트폰 분실 시의 악용 가능성도 낮다.
참고문헌 (20)
B. Schneier, "Two-Factor Authentication: Too Little, Too Late," Commun. ACM, vol. 48, no. 4, p. 136, Apr. 2005.
AhnLab, Alert Smartphone malware to small sum settlement(2013), Retrieved January 11, 2013, from http://blog.ahnlab.com/ahnlab/1680.
BBC, Telegram denies Iranian mass breach(2016), Retrieved August 3, 2016, from http://www.bbc.com/news/36964075.
D. J. Seo and T. S. Kim, "Influence of personal information security vulnerabilities and perceived usefulness on bank customers' willingness to stay," J. KICS, vol. 40, no. 8, pp. 1577-1587, Aug. 2015.
NIST(National Institute of Standards and Technology), DRAFT NIST Special Publication 800-63B Digital Authentication Guideline(2016), Retrieved May 18, 2016, from https://pages.nist.gov/800-63-3/sp800-63b.html.
D. Strobel, "IMSI Catcher," Chair for Commun. Secur., Jul. 2007.
R. Bott and J. Frick, Method for identifying the user of a mobile telephone or for eavesdropping on outgoing calls, Patent EP1051053 A3, 2001.
D. W. Park and J. M. Seo, "A study of information leakage prevention through certified authentication in phishing, vishing, SMiShing attacks," J. The Korea Soc. Comput. Inf., vol. 12, no. 2, pp. 171-180, Jun. 2007.
H. H. Kim and M. J. Choi, "Android malware detection using auto-regressive movingaverage model," J. KICS, vol. 40, no. 8, pp. 1551-1559, Aug. 2015.
A. Varghese and D. Mathews, "Securing SMS-based approach for two factor authentication," J. Comput. and Commun. Technol., vol. 3, no. 3, pp. 25-28, Mar. 2014.
S. S. Ji, "The improved scheme of two factor authentication using SMS," J. Korea Ind. Inf. Syst. Res., vol. 17, no. 6, pp. 25-30, Dec. 2012.
S. T. Ahmed and L. E. George, "Secure messaging system over GSM based on third party support," IJEIT, vol. 4, no. 2, pp. 27-32, 2014.
S. T. Ahmed and L. E. George, "Secure SMS based on internet service," Int. J. Comput. Sci. Mob. Comput., vol. 3, no. 10, pp. 164-171, 2014.
M. AiZomai, A. Josang, A. McCullagh, and E. Foo, "Strengthening SMS-Based authentication through usability," Int. Symp. Parall. and Distrib. Process. with Appl., pp. 683-688, 2008.
J. Y. Park, J. I. Kim, M. S. Shin, and N. H. Kang, "QR-code based mutual authentication system for web service," J. KICS, vol. 39B, no. 04, pp. 207-215, Apr. 2014.
S. H. Lee, H. Kim, and D. H. Lee, "Two-factor authentication scheme based on mobile messenger with improved usability," J. Secur. Eng., vol. 10, no. 5, pp. 549-566, Oct. 2013.
U. A. Abdurrahman, M. Kaiiali, and J. Muhammad, "A new mobile-based multifactor authentication scheme using pre-shared number, GPS location and time stamp," ICECCO, pp. 293-296, 2013.
KISA, 2015 Survey on the Mobile Internet Usage Executive Report, p. 138, 2016.
H. Wu, "A new stream cipher HC-256," Int. Wksp Fast Softw. Encryption, pp. 226-244, 2004.
F. Mohsen and M. Shehab, "Android keylogging threat," 9th IEEE Int. Conf. Collaborative Computing: Netw., Appl. and Worksharing, pp. 545-552, 2013.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.