Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

패스워드 매니저의 보안성 분석

  • 김수린 (성균관대학교 전자전기컴퓨터공학과) ;
  • 김형식 (성균관대학교 전자전기컴퓨터공학과)
  • Published : 2018.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

사용자는 비밀번호를 외워야하는 불편함을 줄이고 로그인 과정을 편리하게 이용하기 위해 패스워드 매니저를 사용한다. 패스워드 매니저는 크게 브라우저 기반의 패스워드 매니저와 웹 기반의 패스워드 매니저로 나눌 수 있다. 브라우저 기반의 패스워드 매니저의 경우 로컬에 사용자의 계정 정보와 암호화 키를 저장하기 때문에, 비밀번호 복구 프로그램을 사용하거나 간단한 코드를 이용하여 사용자의 계정 정보를 평문 형태로 추출할 수 있다. 로컬에 저장하는 브라우저 기반의 패스워드 매니저와 달리 웹 기반 패스워드 매니저는 웹을 기반으로 실행된다. 웹 기반 패스워드 매니저는 암호화 키를 웹 서버에 저장하기 때문에, 로컬 기반의 패스워드 매니저에 비해 키 노출 우려가 적다. 하지만 웹 기반이기 때문에 공격자가 웹 취약점을 이용하면 사용자의 정보가 누출될 위험성이 있다. 본 논문에서는 사용자의 편의성을 개선하고자 사용되는 패스워드 매니저를 브라우저에서 사용되는 브라우저 기반 패스워드 매니저와 웹에서 사용되는 웹 기반 패스워드 매니저로 분류하고 각 패스워드 매니저가 사용자의 계정 정보를 저장 및 관리하는 방법을 분석하고, 해당 패스워드 매니저들에서 발생 가능한 취약점에 대해 조사하였다.

Keywords

References

  1. Gasti, Paolo, and Kasper B. Rasmussen. "On the security of password manager database formats." European Symposium on Research in Computer Security. Springer Berlin Heidelberg, 2012.
  2. Huth, Alexa, Michael Orlando, and Linda Pesante. "Password security, protection, and management." United States Computer Emergency Readiness Team (2012).
  3. w3schol Brwoser Statistic,"www.w3school.com/Brwoser/defualt.asp".
  4. DB Browser for SQLite, SQLite Database Viewer Program, "http://sqlitebrowser.org/".
  5. Nir soft사 비밀번호 복구 프로그램 WebBrowserPassView, "www.nirsoft.net".
  6. Passcape, Recovering Internet Explorer Passwords : Theory and practice, "https://www.passcape.com/index.php?section=docsys&cmd=details&id=28#65"
  7. Zhao, Rui, and Chuan Yue. "All your browser-saved passwords could belong to us: A security analysis and a cloud-based new design." Proceedings of the third ACM conference on Data and application security and privacy. ACM, 2013.
  8. Gasti, Paolo, and Kasper B. Rasmussen. "On the security of password manager database formats." European Symposium on Research in Computer Security. Springer, Berlin, Heidelberg, 2012.
  9. Boja, Catalin. "Security Survey of Internet Browsers Data Managers." arXiv preprint arXiv:1112.5760 (2011).
  10. CNET. Editor's rating of password managers. http://download.cnet.com/windows/password-managers/?&sort=editorsRating+asc.
  11. P. Magazine". Editor's rating of password managers. http://www.pcmag.com/products/28042?sort=er+desc.
  12. D. Pogue. Remember all those passwords? no need. http://nyti.ms/10ZhXgq, 2013.
  13. Content security policy: W3c editor's draft, 2013. https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html.
  14. M.Rochkind. Security,forms,anderrorhandling. InExpertPHP and MySQL, pages 191-247. Springer, 2013.
  15. E. Grosse and M. Upadhyay. "Authentication at scale." Security Privacy, IEEE, 11(1):15-22, Jan 2013. https://doi.org/10.1109/MSP.2012.162
  16. Lastpass. https://lastpass.com
  17. Roboform everywhere. http://www.roboform.com/everywhere.
  18. Li, Zhiwei, et al. "The Emperor's New Password Manager: Security Analysis of Web-based Password Managers." USENIX Security Symposium. 2014.
  19. 김수린, and 김형식. "브라우저의 비밀번호 저장 기능에 대한 보안 분석." 한국정보과학회 학술발표논문집 (2017): 1024-1026.
  20. Silver, David, et al. "Password Managers: Attacks and Defenses." USENIX Security Symposium. 2014.
  21. https://en.wikipedia.org/wiki/Cross-site_request_forgery
  22. https://en.wikipedia.org/wiki/Cross-site_scripting
  23. Zhao, Rui, and Chuan Yue. "Toward a secure and usable cloud-based password manager for web browsers." Computers & Security 46 (2014): 32-47. https://doi.org/10.1016/j.cose.2014.07.003