Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지
DOI QR코드

DOI QR Code

Two layered Secure Password Generation with Random Number Generator

난수 발생기를 이용한 이중화 구조의 안전한 비밀번호 생성 기법

  • Seo, Hwa-Jeong (Department of Computer Engineering, Pusan National University) ;
  • Kim, Ho-Won (Department of Computer Engineering, Pusan National University)
  • Received : 2013.12.22
  • Accepted : 2014.04.01
  • Published : 2014.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Rapid development of internet service is enabling internet banking services in anywhere and anytime. However, service access through internet can be exposed to adversary easily. To prevent, current service providers execute authentication process with user's identification and password. However, majority of users use short and simple password and do not periodically change their password. As a result of this, user's password could be exposed to attacker's brute force attack. In this paper, we presented enhanced password system which guarantee higher security even though users do not change their current password. The method uses additional secret information to replace real password periodically without replacement of real password.

인터넷 서비스의 발전은 사용자가 언제어디서나 업무 처리가 가능한 인터넷 뱅킹 서비스를 가능하게 하였다. 하지만 인터넷을 통한 서비스 접근은 공격자에게 쉽게 사용자의 비밀정보가 노출될 수 있는 보안 취약점을 가지고 있다. 이를 방지하기 위해 현재 서비스 제공업체에서는 초기에 사용자의 아이디와 비밀번호를 이용하여 사용자를 인증하는 절차를 수행하게 된다. 하지만 현재 많은 사용자들이 짧고 단순한 비밀번호를 사용하며 주기적으로 비밀번호를 변경하지 않아 공격자의 전수 조사 공격에 의해 사용자의 비밀번호가 쉽게 노출될 수 있는 문제점을 가진다. 본 논문에서는 사용자의 비밀번호를 그대로 사용하지만 비밀번호가 지속적으로 적합한 보안 강도를 가지도록 실제 비밀번호를 보완해 주는 기법을 제안한다. 해당 기법은 추가적인 비밀정보를 이용하여 실제 비밀번호를 대체할 수 있도록 하며 주기적으로 비밀번호를 사용자의 실제 비밀번호에 대한 변경 없이 교체할 수 있다.

Keywords

References

  1. Jegalbyungjik. "Trend of Mobile OS and Smart Phone Market," Semiconductor Insight 36, 2010.
  2. Kiyoung Kim, and Dongho Kang. "Smartphone Security for Open Mobile Environments," KIISC 19, no. 5, pp. 21-28, 2009.
  3. Korea Communications Commission, KISA, "Survey on Security of Current Trend of Public in 2012," 2012.
  4. Gary C. Kessler, "PASSWORDS - STRENGTHS AND WEAKNESSES," available at http://www.garykessler.net/ library/password.html
  5. Rydell, Johan, Mingliang Pei, and Salah Machani. "TOTP: Time-Based One-Time Password Algorithm." 2011.
  6. Daemen, Joan, and Vincent Rijmen. "AES proposal: Rijndael," 1999.
  7. Sidorenko, Andrey, and Berry Schoenmakers. "Concrete security of the Blum-Blum-Shub pseudorandom generator." In Cryptography and Coding, pp. 355-375, 2005.
  8. Gjosteen, Kristian. "Comments on Dual-EC-DRBG/NIST SP 800-90," 2006.
  9. Goldwasser, Shafi, Silvio Micali, and Charles Rackoff. "The knowledge complexity of interactive proof systems." SIAM Journal on computing 18, no. 1, pp. 186-208, 1989. https://doi.org/10.1137/0218012
  10. Changyoung Kwan, Hyunggyu Yang, Dongho Won, "Research on Zero-knowledge for Applications and Communication Verification," KIISC 2, no. 2, pp. 31-39, 1992.
  11. Wikipedia,"Zero-knowledge proof," available at http://en.wikipedia.org/wiki/Zero-knowledge_proof
  12. Ruhrmair, Ulrich, and Marten van Dijk. "Practical security analysis of PUF-based two-player protocols." In Cryptographic Hardware and Embedded Systems, pp. 251-267. 2012.
  13. "How secure is my password?," Available at https://howsecureismypassword.net
  14. EBench, "eBACS: ECRYPT Benchmarking of Cryptographic Systems," Available at http://bench.cr.yp.to/resultsstream. html

Cited by

  1. A novel secure and efficient hash function with extra padding against rainbow table attacks pp.1573-7543, 2018, https://doi.org/10.1007/s10586-017-0886-4