반응형
반응형

OTP (일회성 비밀번호)에서 OTID (일회성 ID)로

일회성 비밀번호 또는 짧은 OTP는 일반적으로 매우 간단한 이유로 기존 비밀번호보다 더 안전한 것으로 간주됩니다. 비밀번호는 한 번만 사용할 수 있습니다. 다음에 사용자가 OTP로 보호되는 포털, 웹 앱 또는 모바일 앱에 로그인하려면 이전에 사용한 비밀번호가 더 이상 작동하지 않으므로 새로 생성 된 비밀번호를 사용해야합니다.

그것은 단순한 (너무 단순한 것일 수도 있습니다) 설명입니다. 물론 일회성 비밀번호의 실제 애플리케이션은 일반적으로 그보다 훨씬 복잡합니다. 일회성 비밀번호를 생성하지만 사용하지 않는 사용자를 고려해야합니다. 인증 프로세스를 완료하기 전에 비밀번호를 잊어 버렸거나 변경했을 수 있습니다. 시스템 관리자는 이러한 "잊어 버린 OTP"가 영원히 살 수 없다는 것을 알고 있습니다. 악의적 인 공격자가 아직 사용하지 않았기 때문에 여전히 유효하다면 악의적 인 공격자에 의해 나중에 획득되어 사용될 수 있기 때문에 악의적이지만 유효한 OTP를 로밍 할 여유가 없습니다.

따라서 대부분의 OTP 표준은 시간 기반입니다. 생성 된 OTP는 지정된 시간 (일반적으로 30 초-2 분) 내에 사용해야합니다. 그렇지 않으면 만료되어 더 이상 작동하지 않습니다. 이것이 IT 커뮤니티  HOTP 표준을 따뜻하게 수신 한 후 TOTP 표준이 개발 된 이유 입니다.

그러나 모든 일회성 비밀번호 알고리즘 및 표준은 "비밀번호 문제"만 해결하므로 소위 청구 된 신원 을 보호하기 위해 전혀 아무것도하지 않습니다 . 설명하겠습니다…

모든 OTP 기반 인증 체계에서 사용자는 먼저 청구 된 신원 을 제공해야 합니다. 일반적으로 이것은 username 을 제공하여 수행됩니다 . 포털 (또는 웹 앱 또는 모바일 앱)이 사용자가 누구인지 주장한 후에 만 ​​해당 사용자를 OTP로 인증하려고 시도합니다. 그 배후의 아이디어는 원격 서비스가 사용자에게 “당신이 정말로 당신이 누구라고 주장하는지 확인하도록하겠습니다”라고 말하는  입니다.

일회용 암호 (OTP)를 사용하는 일반적인 인증 흐름
또한 일반적인 OTP 인증 흐름 (간단한 사용자 경험)

독자가 반드시 주목해야 할 것은 위의 두 이미지에 묘사 된 두 가지 일반적인 체계에서 사용자는 자신의 주장 된 신원 (사용자 이름)을 인증하려는 서비스에 보냅니다 . 그리고 그것은 제 생각에 이미 잠재적 인 공격자에게 너무 많은 정보를 제공하고 있습니다.

OTP를 사용하는 더 좋은 방법은 사용자 이름이나 모든 형식을 포함하여 인증 정보를 완전히 숨기는 방법을 찾는 것입니다 주장 된 정체성 사용자가 사용해야합니다.

Xiid OTID (일회성 ID)를 입력하십시오 . UML 차트는 다음과 같습니다.

OTID 인증 흐름, OTP와 유사하지만 사용자 이름이 네트워크를 통해 전송되지 않습니다

가장 먼저 알아야 할 것은 사용자 경험이 가장 쉽고 효과적인 OTP 버전과 매우 유사하다는 것입니다. 그러나 주목할만한 차이점이 있습니다. Xiid OTID의 경우 주장 된 ID (일반적으로 사용자 이름)가 네트워크를 통해 전송되지 않으며 OTID 코드 만 전송됩니다.이 코드는 잠재적 공격자에게 유용한 정보가 포함되지 않은 일회성 코드입니다. .

OTID 형식 예 : 12K8–33FA-GH7R-92VA

Xiid의 특허 출원중인 OTID 기술 덕분에 인증을 담당하는 실제 서비스 만이 OTID가 속한 특정 사용자를 추론하거나 계산할 수 있으며, OTID에 포함 된 일회성 정보를 확인하여 현재 알려진 서비스에 대한 사용자 액세스.

한 번의 "무의미한"(공격자 용) 일회성 코드로, 매번 변경되며, 사용자에 대한 정보 ( 클레임 된 자격 증명 포함)를 문자 그대로 제공하지 않으며 더 많은 수의 사용자에 대해 높은 수준의 복원력을 제공합니다. 인증 시스템을 대상으로하는 일반적인 공격.

그러나 당신의 주장 된 정체성 을 숨기는 것이  그렇게 중요한가 ? 생각해보십시오 : 침입자가 자신이 누구라고 주장하는지 알게되면 (사용자 이름이 전자 메일 주소 일 수도 있으므로 이미 연락 방법도 알고있을 것입니다) 이미 교육받은 암호 추측 , 암호 와 같은 공격을 시도하기에 충분한 정보가 이미 있습니다. 수확 또는 더 나쁜 사회 공학 . 그러나 침입자가“누가”로그인을 시도하고 있는지 추측 할 방법이 없다면 실제로 작업 할 의미가 없습니다.

사용자의 신원 보호를위한 또 다른 단계입니다.

 

https://medium.com/hybrid-security-superheroes/from-otp-one-time-password-to-otid-one-time-id-caabe54c1f8

 

From OTP (One-Time Password) to OTID (One-Time ID)

One-time passwords, or OTP for short, are generally considered more secure than traditional passwords, for a very simple reason: they can…

medium.com

 

 

반응형
반응형

FIDO

Fast Identity Online

"신속한 온라인 인증"을 뜻하는 'Fast IDentity Online‘의 약자로, 온라인 환경에서 ID,비밀번호 없이 생체인식 기술을 활용하여 보다 편리하고 안전하게 개인 인증을 수행하는 기술이다. 주로 지문, 홍채 등 신체적 특성의 생체정보(Biometrics)가 이용되지만, 동작 등의 행동적 특성의 생체정보 인증 등도 이용되고 있다. FIDO Specification은 비밀번호 없이 인증을 하기 위한 Universal Authentication Framework (UAF) 프로토콜과 비밀번호를 보완해서 인증을 하기 위한 Universal 2nd Factor (U2F) 프로토콜로 구성된다.

http://naver.me/G8QYjVRm

FIDO

가물에 콩 나듯 들어가는 웹사이트 비밀번호가 기억나지 않는다. 분명 회원가입은 한 것 같은데, 머릿속은 뿌옇고 비밀번호는 가물가물하다. 이건가, 저건가? 수차례 시도하다가 결국 ‘비밀번�

m.terms.naver.com



반응형
반응형

아이디어를 내는 것은
그 어떤 활동보다 민주적인 활동입니다.
특별한 허가도 인증서도 필요 없죠. 언제든,
어디서든, 특수장비나 사전 연습 없이도 낼 수
있는 게 아이디어지요. 인종, 신념, 피부색, 성,
연령에 관계없이 아이디어를 낼 수 있는
우리는 얼마나 탁월한 존재입니까!


- 존 헤가티의《지그할 때, 재그하라!》중에서 -


* 아이디어 하나가
세상을 바꾸는 시대입니다.
아이디어는 자유로운 생각에서 나옵니다.
각 개인의 생각을 제한하면 아이디어는 고갈되고
아이디어가 고갈되면 그 사회는 정체됩니다.
아이디어가 많은 사회가 탁월한 사회이고
가장 민주적인 사회입니다.



.

반응형

'생활의 발견 > 아침편지' 카테고리의 다른 글

피하고 싶은 고통  (0) 2016.11.25
하얀 새  (0) 2016.11.24
내 몸을 내가 알아야...  (0) 2016.11.22
'돈'보다 중요한 것  (0) 2016.11.21
자기 배꼽만 쳐다보지 말라  (0) 2016.11.21

+ Recent posts