The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis on Vulnerability of ID/PW Management Solution and Proposal of the Evaluation Criteria

아이디/패스워드 통합 관리 제품의 취약성 분석 및 평가기준 제안

  • 한정훈 (성균관대학교 전자전기컴퓨터공학과) ;
  • 이병희 (성균관대학교 전자전기컴퓨터공학과) ;
  • 홍수민 (성균관대학교 전자전기컴퓨터공학과) ;
  • 김승현 (한국전자통신연구원 정보보호연구단) ;
  • 원동호 (성균관대학교 정보통신공학부) ;
  • 김승주 (성균관대학교 정보통신공학부)
  • Published : 2008.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

As the development of Internet technology, the number of IDs managed by each individuals has been increased. And many software development institutes have developed ID/PW management solutions to facilitate secure and convenient management of ID/PW. However, these solutions also can be vulnerable in case of administrator's password exposure. Thus, we need to derive security requirements from the vulnerability analysis of these solutions, also we need evaluation criteria for secure ID/PW management solution development. In this paper, we analyze the vulnerability of ID/PW management solution and propose the evaluation criteria for secure ID/PW management solution.

인터넷 기술의 발달에 따라 온라인 서비스를 이용하기 위해 개인이 관리해야 할 아이디의 수가 증가하였고, 사용자의 아이디와 패스워드를 안전하고 편리하게 관리할 수 있는 아이디/패스워드 통합 관리 제품이 개발되어 사용되고 있다. 하지만 이러한 제품에서 관리자 패스워드가 노출되면 사용자의 모든 정보가 노출될 수 있는 위험이 있다. 따라서 현재 상용 제품의 취약성 분석을 통해 보안요구사항을 도출하고, 안전한 아이디/패스워드 통합 관리 제품 개발의 지침으로 용될 평가기준이 필요하다. 본 논문에서는 도출된 보안요구사항을 바탕으로, 안전한 아이디/패스워드 통합 관리 제품을 위한 평가 기준을 제안한다.

Keywords

References

  1. 한국전자통신연구원 디지털ID보안연구팀, “Digital Identity 관리 기술 현황 및 전망”, 전자통신동향분석 제 22권 제 1 호, 2007
  2. 한국전자통신연구원 디지털ID보안연구팀, “인터넷 ID 관리 시스템 개요 및 비교”, 전자통신동향분석 제 22권 제 3호, 2007
  3. 한국정보보호진흥원, “웹 2.0과 ID관리기술 전망”, 기술정책 07-06, 2007
  4. OASIS SAML TC, “http://www.oasis-open.org/committees/tc_home.php?wg_ abbrev=security”
  5. Nick Ragouzis, John Hughes, Rob Philpott, and Eve Maler, “Security Assertion Markup Language(SAML) V2.0 Technical Overview”, OASIS SSTC Working Draft 10, 2006.10.9
  6. OpenID Foundation, “http://openid.net”
  7. SAML, “http://projectliberty.org/liberty/adoption”
  8. Sxipper, “http://www.sxipper.com”
  9. RoboForm, “http://www.roboform.com”
  10. 알패스, “http://www.altools.co.kr”
  11. KeePass, “http://keepass.info”
  12. Advanced Password Manager, “http://www.rayslab.com/password_manager/password_manager.html”
  13. Effective Password Manager, “http://www.intelore.com/password-manager.php”
  14. Password Keeper Expert, “http://www.softdemon.com/keeper/index.html”
  15. SecureWallet, “http://www.coolutils.com”
  16. 한정훈, 이병희, 원동호, 김승주, “아이디/패스워드 통합 관리 제품의 취약성 분석”, 한국정보보호학회 동계학술대회, pp 418-421, 2007
  17. SKIn2000, “http://www.keylogger.biz”
  18. WinHex, “http://www.x-ways.net/winhex/index-m.html”
  19. BusHound, “http://www.perisoft.net/bushound/index.htm”
  20. Secure Edit Contorls, “http://www.codeproject.com/editctrl/SecEditEx.asp”
  21. NetBus, “http://www.netbus.org/”
  22. FinalData, “http://www.finaldata.com”
  23. 한국전자통신연구원 디지털ID보안연구팀, “인터넷 ID 관리 서비스 2006년도 기술 백서”, 2006
  24. Common Criteria for Information Technology Security Evaluation, Version 3.1, CCMB, 2006

Cited by

  1. A study about the influence to the client system when using PKI-based authentication system vol.17, pp.12, 2012, https://doi.org/10.9708/jksci/2012.17.12.159