OTP (일회성 비밀번호)에서 OTID (일회성 ID)로

일회성 비밀번호 또는 짧은 OTP는 일반적으로 매우 간단한 이유로 기존 비밀번호보다 더 안전한 것으로 간주됩니다. 비밀번호는 한 번만 사용할 수 있습니다. 다음에 사용자가 OTP로 보호되는 포털, 웹 앱 또는 모바일 앱에 로그인하려면 이전에 사용한 비밀번호가 더 이상 작동하지 않으므로 새로 생성 된 비밀번호를 사용해야합니다.

그것은 단순한 (너무 단순한 것일 수도 있습니다) 설명입니다. 물론 일회성 비밀번호의 실제 애플리케이션은 일반적으로 그보다 훨씬 복잡합니다. 일회성 비밀번호를 생성하지만 사용하지 않는 사용자를 고려해야합니다. 인증 프로세스를 완료하기 전에 비밀번호를 잊어 버렸거나 변경했을 수 있습니다. 시스템 관리자는 이러한 "잊어 버린 OTP"가 영원히 살 수 없다는 것을 알고 있습니다. 악의적 인 공격자가 아직 사용하지 않았기 때문에 여전히 유효하다면 악의적 인 공격자에 의해 나중에 획득되어 사용될 수 있기 때문에 악의적이지만 유효한 OTP를 로밍 할 여유가 없습니다.

따라서 대부분의 OTP 표준은 시간 기반입니다. 생성 된 OTP는 지정된 시간 (일반적으로 30 초-2 분) 내에 사용해야합니다. 그렇지 않으면 만료되어 더 이상 작동하지 않습니다. 이것이 IT 커뮤니티 가 HOTP 표준을 따뜻하게 수신 한 후 TOTP 표준이 개발 된 이유 입니다.

그러나 모든 일회성 비밀번호 알고리즘 및 표준은 "비밀번호 문제"만 해결하므로 소위 청구 된 신원 을 보호하기 위해 전혀 아무것도하지 않습니다 . 설명하겠습니다…

모든 OTP 기반 인증 체계에서 사용자는 먼저 청구 된 신원 을 제공해야 합니다. 일반적으로 이것은 username 을 제공하여 수행됩니다 . 포털 (또는 웹 앱 또는 모바일 앱)이 사용자가 누구인지 주장한 후에 만 ​​해당 사용자를 OTP로 인증하려고 시도합니다. 그 배후의 아이디어는 원격 서비스가 사용자에게 “당신이 정말로 당신이 누구라고 주장하는지 확인하도록하겠습니다”라고 말하는 것 입니다.

독자가 반드시 주목해야 할 것은 위의 두 이미지에 묘사 된 두 가지 일반적인 체계에서 사용자는 자신의 주장 된 신원 (사용자 이름)을 인증하려는 서비스에 보냅니다 . 그리고 그것은 제 생각에 이미 잠재적 인 공격자에게 너무 많은 정보를 제공하고 있습니다.

OTP를 사용하는 더 좋은 방법은 사용자 이름이나 모든 형식을 포함하여 인증 정보를 완전히 숨기는 방법을 찾는 것입니다 주장 된 정체성 사용자가 사용해야합니다.

Xiid OTID (일회성 ID)를 입력하십시오 . UML 차트는 다음과 같습니다.

가장 먼저 알아야 할 것은 사용자 경험이 가장 쉽고 효과적인 OTP 버전과 매우 유사하다는 것입니다. 그러나 주목할만한 차이점이 있습니다. Xiid OTID의 경우 주장 된 ID (일반적으로 사용자 이름)가 네트워크를 통해 전송되지 않으며 OTID 코드 만 전송됩니다.이 코드는 잠재적 공격자에게 유용한 정보가 포함되지 않은 일회성 코드입니다. .

OTID 형식 예 : 12K8–33FA-GH7R-92VA

Xiid의 특허 출원중인 OTID 기술 덕분에 인증을 담당하는 실제 서비스 만이 OTID가 속한 특정 사용자를 추론하거나 계산할 수 있으며, OTID에 포함 된 일회성 정보를 확인하여 현재 알려진 서비스에 대한 사용자 액세스.

한 번의 "무의미한"(공격자 용) 일회성 코드로, 매번 변경되며, 사용자에 대한 정보 ( 클레임 된 자격 증명 포함)를 문자 그대로 제공하지 않으며 더 많은 수의 사용자에 대해 높은 수준의 복원력을 제공합니다. 인증 시스템을 대상으로하는 일반적인 공격.

그러나 당신의 주장 된 정체성 을 숨기는 것이 왜 그렇게 중요한가 ? 생각해보십시오 : 침입자가 자신이 누구라고 주장하는지 알게되면 (사용자 이름이 전자 메일 주소 일 수도 있으므로 이미 연락 방법도 알고있을 것입니다) 이미 교육받은 암호 추측 , 암호 와 같은 공격을 시도하기에 충분한 정보가 이미 있습니다. 수확 또는 더 나쁜 사회 공학 . 그러나 침입자가“누가”로그인을 시도하고 있는지 추측 할 방법이 없다면 실제로 작업 할 의미가 없습니다.

사용자의 신원 보호를위한 또 다른 단계입니다.

https://medium.com/hybrid-security-superheroes/from-otp-one-time-password-to-otid-one-time-id-caabe54c1f8

개발자 로드맵 : roadmap.sh

데브옵스(DevOps)는 소프트웨어의 개발(Development)과 운영(Operations)의 합성어로서, 소프트웨어 개발자와 정보기술 전문가 간의 소통, 협업 및 통합을 강조하는 개발 환경이나 문화를 말한다. 데브옵스는 소프트웨어 개발조직과 운영조직간의 상호 의존적 대응이며 조직이 소프트웨어 제품과 서비스를 빠른 시간에 개발 및 배포하는 것을 목적으로 한다.

프런트 엔드(Front-end)는 UI(User-Interface)를 가지고 동작하며 백엔드(Back-end)는 UI없이 프로세스 형태로만 존재한다. 프론트엔드와 백엔드는 프로그램 인터페이스와 서비스의 최초 사용자와 관련된 특성을 나타내는데 사용되는 용어이다. 여기서 “사용자”란 사람 또는 프로그램이 될 수 있다. 프론트엔드 응용프로그램은 사용자들과 직접 상호작용을 하는 프로그램이다.

코딩도장 - 코딩도장은 프로그래밍 문제풀이를 통해서 코딩 실력을 수련(Practice)하는 곳입니다.

http://codingdojang.com/

wizvera Veraport

TSA 정의
TSA (Time-Stamping Authority)는 타임스탬프를 발행하는 기관을 말하며,
대부분의 공인인증기관에서 서비스 하고 있습니다.
(시점 확인 서비스 기관 라고도 함)
타임스탬프는 전자서명의 일부로 전자문서에 대해 제3의 신뢰할 수 있는 기관(TPP: Trusted Third Party)에서 발급함으로써, 서명한 시점을 증명할 수 있는 기술입니다.
따라서 전자문서가 특정 시점 존재하였고 그 이후에 변경되지 않았음을 증명해 주는 목적으로 사용되고 있습니다.

http://naver.me/GYiiYZ61

같은 암호를 반복해 사용하다가 위험에 노출되는 사고를 줄이기 위해 고안해 냈다. 은행의 인터넷 뱅킹 안전성을 높이는 도구로 쓰이면서 활성화했다. 거래할 때마다 OTP 생성기로 일회용 암호를 만들어 쓴다. 2012년 8월 말까지 1년 9개월여 만에 OTP가 659만 개나 발급됐다.
2013년부터 은행 · 증권사 · 저축은행 등 금융기업별로 제각각이었던 OTP 발급 방식도 인터넷을 통해 손쉽게 등록할 수 있게 돼 이용이 더욱 늘어날 전망이다. 기업용 OTP 쓰임새도 늘어나는 추세다. 회사 밖에서 그룹웨어 같은 내부 정보망에 접속할 때 OTP를 쓰는 곳이 많아졌다. 특히 클라우드 컴퓨팅 체계가 대중화하면서 OTP 수요는 꾸준히 늘어날 것으로 보인다.