• Review of KIISC
• /
• v.28 no.1
• /
• pp.36-42
• /
• 2018

사용자는 비밀번호를 외워야하는 불편함을 줄이고 로그인 과정을 편리하게 이용하기 위해 패스워드 매니저를 사용한다. 패스워드 매니저는 크게 브라우저 기반의 패스워드 매니저와 웹 기반의 패스워드 매니저로 나눌 수 있다. 브라우저 기반의 패스워드 매니저의 경우 로컬에 사용자의 계정 정보와 암호화 키를 저장하기 때문에, 비밀번호 복구 프로그램을 사용하거나 간단한 코드를 이용하여 사용자의 계정 정보를 평문 형태로 추출할 수 있다. 로컬에 저장하는 브라우저 기반의 패스워드 매니저와 달리 웹 기반 패스워드 매니저는 웹을 기반으로 실행된다. 웹 기반 패스워드 매니저는 암호화 키를 웹 서버에 저장하기 때문에, 로컬 기반의 패스워드 매니저에 비해 키 노출 우려가 적다. 하지만 웹 기반이기 때문에 공격자가 웹 취약점을 이용하면 사용자의 정보가 누출될 위험성이 있다. 본 논문에서는 사용자의 편의성을 개선하고자 사용되는 패스워드 매니저를 브라우저에서 사용되는 브라우저 기반 패스워드 매니저와 웹에서 사용되는 웹 기반 패스워드 매니저로 분류하고 각 패스워드 매니저가 사용자의 계정 정보를 저장 및 관리하는 방법을 분석하고, 해당 패스워드 매니저들에서 발생 가능한 취약점에 대해 조사하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11c
• /
• pp.2351-2354
• /
• 2002

전자상거래의 인구는 매년 급속히 증가하고 있으며, 또한 전자상거래의 대다수 쇼핑몰 사이트가 패스워드를 기반으로 사용자를 인증하고 있다. 그런데 사용자는 이런 패스워드 기반 사이트를 방문하면서 보안과 안전을 고려하지 않고 패스워드를 만들어서 사용하고 있다. 이러한 패스워드는 사용자의 프라이버시의 침해와 개인정보가 노출이 되는 문제를 안고 있다. 이러한 문제점을 관리적 측면에서 패스워드를 해독하여 해독하기 쉬운 일반적이고 평이한 패스워드를 사용자는 mail를 통해 알려서 패스워드의 위험성을 주지시키도록 한다. 사용자의 패스워드를 알기 위해서는 암호해독 기법이 필요 하는데 이 해독기법을 빠르고 정확하게 하기 위해서 분산화 된 동적 작업배분방법을 이용한 병렬처리 패스워드 해독 기법을 제안하여 구현하였다. 본 연구에서는 이러한 암호해독을 하여 진자상거래에서 사용자가 사용한 패스워드를 안전하게 관리할 수 있도록 하고, 사용자의 프라이버시를 효과적으로 보호 할 수 있는 모델을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.512-514
• /
• 2003

본 논문은 신뢰할 수 없는 네트워크를 통해서 사용자를 인증하거나 키를 교환하는 것에 적합한 패스워드 기반 프로토콜을 제안한다. 기존의 패스워드 기반의 프로토콜들은 클라이언트와 서버 사이에 인증기관(CA)을 통하여 사용자를 인증하는 반면, 본 논문에서는 사용자와 서버가 독립적으로 키 교환 및 인증을 하는 패스워드 기반 프로토콜을 제안한다. 충분하지 않은 패스워드의 랜덤성과 짧은 길이로 인하여 패스워드를 사용해 인증 및 키 교환을 하는 것은 많은 주의를 요한다. 그러므로 Diffie-Hellman 키 교환 방식에 기반한 SRP 프로토콜과 ECDSA의 서명 기법을 적용하여 안전성이 높은 프로토콜을 제안한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.215-218
• /
• 2002

패스워드 기반 키분배 프로토콜의 가장 중요한 요구사항 중 하나는 사전공격과 같은 패스워드 추측 공격에 대하여 안전하여야 한다. 그러나 지금까지 제안된 패스워드 추측 공격에 대한 안전성은 비밀 서버를 가정하고 있다. 즉, 검증자 기반 방식이더라도 서버에 저장되어 있는 패스워드 검증자가 비밀리에 보관되어야 한다는 단점이 있다. 본 논문에서는 새로운 방식의 다중 서버를 이용한 패스워드 기반 키분배 방식을 제안한다. 딜리는 사용자에 대한 인증 및 검증자를 각 서버에 전송하는 일을 담당한다. 사용자는 특정 서버와 단독으로 세션키를 교환하지만, 서버는 세션키를 생성하기 위해서는 그룹 내에 있는 모든 서버와 비밀 복원 과정을 거처야만 하는 새로운 방식이다. 사용자와 키분배를 수행하는 특정한 서버는 그룹 내에 있는 다른 서버와 비밀 복원 과정을 거처야만 키분배 과정을 수행할 수 있으므로, 특정 서버의 패스워드 파일이 노출되어 패스워드 검증자가 공격자에게 노출되더라도 비밀 분산 과정을 수행하지 못하는 공격자는 패스워드 추측에 필요한 정보를 획득할 수 없다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.393-398
• /
• 2003

본 논문에서는 사용자 인증에 사용되는 패스워드 검증자의 안전성을 더욱 보강한 새로운 패스워드 검증자 기반 키 분배 프로토콜을 제안한다 기존 패스워드 기반 키 분배프로토콜 방식은 네트워크 상에서 패스워드의 안전한 전송이 어려웠고, 패스워드 파일의 안전한 보호가 어렵다는 문제가 있었다. 이에 패스워드 파일을 그대로 서버에 저장하지 않고 패스워드를 사용하여 생성한 검증자(verifier)를 저장하게 함으로써 패스워드파일을 보다 안전하게 보호할 수 있게 되었으며, 서버가 사용자의 패스워드를 알지 못하더라도 검증자를 사용한 증명방식을 통해 사용자를 인증할 수 있게 되었다. 본 논문에서는 사용자와 서버의 비밀정보로 만든 새로운 형태의 검증자를 사용하고, 사용자는 다른 저장정보 없이 기억하고 있는 ID와 패스워드만을 사용하여 키 분배를 수행하는 패스워드 검증자 기반 키 분배 프로토콜을 제안한다. 제안하는 프로토콜의 안전성 분석을 위해 active impersonation과 forward secrecy, man-in-the-middle attack, off-line dictionary attack 등의 공격 모델을 적용하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.356-358
• /
• 2003

다중 사용자 환경에서 컴퓨터 시스템 보안을 위한 사용자 인증(user authentication)은 패스워드 (password), 토큰(token), 스마트 카드(smart card), 지문(fingerprint), 음성(voiceprint) 등 다양한 정보들을 통하여 시스템에 접근하는 사용자의 신원을 확인하고, 인증되지 않은 사용자의 접근을 제한한다. 이들 중 가장 보편적으로 사용되는 패스워드 기반 사용자 인증은 구현이 쉽고, 관리 비용이 적게 든다는 장점이 있다. 패스워드 기반 사용자 인증에서 패스워드의 선택은 시스템의 보안을 위하여 매우 중요하다. 따라서 시스템 관리 차원에서 사용자의 패스워드를 검사할 필요가 있다. 본 논문에서는 패스워드를 추측하기 쉬운 패스워드와 추측하기 어려운 패스워드로 분류하는 근거가 되는 여러 가지 패스워드들에 대한 특징들 중, 패스워드에 대한 언어적인 정보를 구별할 수 있는 특징을 제안한다. 또한 이를 신경망(neural network)을 사용하여 구현함으로써 보안 시스템의 특성에 따라 패스워드의 적합성 여부를 유연하게 조정할 수 있는 프로액티브 패스워드 체킹 방법을 제안한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.198-204
• /
• 2003

지금까지 제안된 패스워드를 이용하는 인증 프로토콜은 오프라인 추측 공격이나 패스워드 파일 컴프로마이즈에 대하여 안전하지 않으므로 이에 대한 연구가 요구되고 있다. 본 논문에서는 패스워드를 이용하는 인증 프로토콜인 스키마 PAP(Password based Authentication Protocol)을 적용하여 새로운 인증 프로토콜 PAPRSA를 제안하였다. PAP는 패스워드를 표현하는 많은 값들 중에서 임의로 선택한 한 값을 처리하는 것을 특징으로 한다. PAPRSA는 패스워드를 표현하는 값을 처리하기 위하여 RSA를 이용하는 PAP기반 인중 프로토콜이다. 제안된 PAPRSA는 오프라인 추측 공격과 패스워드 파일 컴프로마이즈를 포함한 공격들로부터 안전하였으며, 패스 수와 계산량을 측정한 결과 효율성 면에서 매우 우수하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.774-777
• /
• 2013

2012년 Das 등은 계층적 무선 센서 네트워크를 위한 동적 패스워드 기반 사용자 인증 스킴을 제안하였다. 그러나 Das 등이 제안한 동적 패스워드 기반 사용자 인증 스킴은 패스워드 추측 공격에 대한 취약성이 있다. 따라서 본 논문에서는 Das 등이 제안한 동적 패스워드 기반 사용자 인증 스킴을 분석하고, Das 등의 인증 스킴이 패스워드 추측 공격에 안전하지 못함을 증명한다. 또한 패스워드 길이에 따른 패스워드 추측 공격에 대한 공격시간을 분석한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.1
• /
• pp.3-10
• /
• 2008

Since a number of password-based protocols are using human memorable passwords they are vulnerable to several kinds of password guessing attacks. In this paper, we show that two password-based key exchange and authentication protocols are insecure against off-line password-guessing attacks.

• Review of KIISC
• /
• v.17 no.3
• /
• pp.26-31
• /
• 2007

공개된 네트워크 시스템 상에서의 개인 정보를 보호하기 위해 사용자 인증은 시스템 보안에 있어서 중요한 요소이다. 패스워드 기반의 인증 메커니즘은 비용과 효율성의 측면에서 널리 사용되고 있으며 최근 이중요소인증(Two-Factor Authentication)의 한 수단으로 일회용 패스워드(One-Time Password, OTP)를 도입하고 있다. 본고에서는 일회용 패스워드에 대한 인증 기술과 OTP 통합 인증 센터로 구성되는 OTP 통합 인증 시스템에 대해 검토하며 취약성에 대해 살펴보고 이에 대한 대응 방안으로 서비스 제공자의 식별자를 포함한 일회용 패스워드 생성 매체를 이용하는 사용자 인증 시스템을 구성한다. 또한 USB 토큰 형태의 일회용 패스워드 매체를 이용하여 다수의 서비스 제공자의 일회용 패스워드를 지원하는 인증 시스템을 제안한다.