사용자 인증을 위해 개인의 신분을 확인하는 방법
- 그사람이 기억하고 있는 것
- 그 사람이 가지고 있는 것(카드, 민증 등)
- 그 사람의 생체적인 특징(지문, 홍채 등)
- 그 사람의 무의식적인 행동 양식
패스워드
- 기억하고 있는 것에 의한 개인 식별의 대표적인 예
제 3자에게 나 임을 입증하는 것.
인터넷 초창기의 Client-Server 간의 인증
인터넷 초창기 모델의 단점
1. 패스워드 전송중 노출
- ID, PASSWD를 네트워크를 통해 전송을 하면, 제 3자에게 노출 될 위험이있음.
- wireshark같은 것으로 네트워크 트래픽을 보면 FTP 같은 건 ID PASSWD 확인 가능.
대응방안: 암호화를 통해 가로채키를 하더라도 ID,PASSWD를 추출할수 없게 만들어야 함.
2. 서버 인증 정보 공격
- 서버의 루트 권한을 획득하여, DB에 저장된 모든 사용자들의 ID, PASSWD 탈취 가능.
대응방안: ID, PASSWD를 서버에서 암호화해서 저장하거나, 해시해서 저장해주어야함.
3. 패스워드 재전송 공격
- ID, 혹은 PASSWD를 가로채기한 다음, 시간이 지나 가로채기한 ID,PASSWD로 로그인하는 것.
대응방안: 클라이언트는 매번 똑같은 인증 데이터를 서버로 보내기 떄문에 재전송 공격에 대응하기 위해선 매번 다른 인
증 데이터를 보내줘야함. ID,PASSWD외에도 매 세션마다 다른 값(난수값 혹은 TimeStamp)을 추가적으로 보내
주어야 함.
'Cyrpto > ECSEC' 카테고리의 다른 글
| [전자상거래] 전자상거래와 보안기술의 필요성 (0) | 2021.10.18 |
|---|---|
| [암호학] 디지털서명 (0) | 2021.10.18 |
| [암호학] 메시지 인증 (0) | 2021.10.17 |
| [암호화] 공개키 암호화와 전자서명 (0) | 2021.10.16 |
| [암호학] 대칭키 암호 (0) | 2021.10.15 |
