• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.691-694
• /
• 2013

최근 네트워크 기술의 급속한 발전과 함께 사람들은 인터넷을 통해 다양한 서비스를 이용할 수 있다. 이러한 인터넷 환경에서 이용되는 기존 패스워드 기반의 사용자 인증은 패스워드 테이블은 요구하게 되고 패스워드 테이블 노출로 발생할 수 있는 위협들이 존재한다. 원격 사용자 인증 방식은 원격 사용자 인증 방식은 사용자의 패스워드 테이블은 요구하지 않는 인증 방식으로 스마트카드를 이용한 원격 사용자 인증에 대한 다양한 연구들이 진행되었다. 하지만, 스마트카드를 이용한 원격 사용자 인증은 통신상의 위협뿐만이 아니라 스마트카드에 저장된 정보를 통해 패스워드 추측의 위협이 발생할 수 있다. 본 연구는 해시 기반의 검증 값을 이용하여 오프라인 상에서 스마트카드에 대한 패스워드 추측 공격으로부터 안전한 방식을 제안하였다.

• Review of KIISC
• /
• v.27 no.1
• /
• pp.31-38
• /
• 2017

오랜 기간 널리 사용되어온 패스워드 인증 기법은 여전히 대표적인 사용자 인증 수단이지만 그 사용성과 안전성 측면에서 여러모로 부정적인 부분이 많다. 일반적으로 사용자는 기억하기 쉽도록 간단한 패스워드를 선택하는 반면 서버는 추측공격에 대해 비교적 안전하도록 복잡한 패스워드의 사용을 권장한다. 취약한 패스워드의 사용은 전체 시스템의 안전에 큰 영향을 미치게 되므로 사용자가 패스워드를 선택하는 시점에 미리 패스워드의 강도 즉 안전성을 측정하여 피드백하기 워한 기법에 관한 연구가 다각적으로 이루어져 왔다. 또한 그 일부를 다양한 방법으로 시각화하여 이미 상용시스템에 적용하고 있다. 하지만 여전히 정확한 강도 측정과 안전한 패스워드의 사용성 제고를 위한 해결이 필요하며 따라서 이와 같은 패스워드 강도 측정 방법의 일반화를 위한 연구가 꾸준히 진행되고 있다. 본 논문에서는 텍스트 기반의 패스워드 강도 측정에 관한 연구동향을 살펴보고 분석한다.

• The KIPS Transactions:PartC
• /
• v.8C no.4
• /
• pp.373-378
• /
• 2001

사용자 고유번호와 패스워드 기반의 사용자 인증 메커니즘을 수행하는 네트워크 시스템 환경에서는 스니퍼 프로그램 등을 이용하여 불법 도청함으로써 쉽게 사용자 패스워드를 알아낼 수 있다. 이러한 불법적인 도청에 의한 패스워드 노출 문제를 해결하는 방법으로 일회용 패스워드, challenge-response 인증 방식이 유용하게 사용되며, 클라이언트/서버 환경에서는 별도 동기가 필요 없는 시간을 이용한 일회용 패스워드 방식이 특히 유용하게 사용될 수 있다. 그러나 시간을 이용한 일회용 패스워드 방식에서는 시간편차에 의한 인증 실패가 발생할 수 있다. 이 논문에서는 시간편차에 의한 인증이 실패할 가능이 있는 기간을 표시하는 1-비트 정보를 이용하여, 시간편차에 의한 실패가 발생하지 않는 효율적인 일회용 패스워드 알고리즘을 제안한다. 제안된 알고리즘은 기존의 시간을 이용한 일회용 패스워드 시스템에 프로토콜의 변경 없이 쉽게 구현이 가능하다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.26 no.3
• /
• pp.757-767
• /
• 2016

Password authentication is the representative user authentication method and particularly text-based passwords are most widely used. Unfortunately, most users select weak passwords and so many web sites provide a password meter that measures password strength to derive the users to select strong passwords. However, some metering results are not consistent and incorrect strength feedbacks are made. In this paper, we tackle these problems regarding password meters and present an improvement direction.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.6
• /
• pp.1251-1259
• /
• 2017

One-time password has been proposed for the purpose of addressing the security problems of the simple password system: fixed passwords and pre-shared passwords. Since it employs the consecutive hash values after a root hash value is registered at the server, the security weakness of the fixed passwords has been addressed. However, it has a shortcoming of re-registering a new root hash value when the previous hash chain's hash values are exhausted. Even though several one-time password systems not requiring re-registration have been proposed, they all have several problems in terms of constraint conditions and efficiency. In this paper, we propose the one - time password scheme based on a hash chain that generates one - time passwords using only two cryptographic hash functions at each authentication and satisfies the existing constraints without re-registration, Security requirements and efficiency.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1267-1270
• /
• 2010

현재 타블렛PC, 전자칠판, 디지털 키오스크 단말, 은행 ATM기기 등에서 키보드 및 버튼이 아닌 터치패널을 이용해 사용자가 더욱 직관적인 입력을 할 수 있도록 지원하고 있다. 나아가 이러한 터치패널은 하나의 접점만 인식하는 것이 아닌 현재 기술로 여러 개의 접점을 인식하는 멀티터치 방식을 채택하고 있다. 본 논문에서는 이러한 멀티터치 환경에서의 다중 입력을 통한 사용자 인증 방식에 대한 아이디어를 소개하고자 한다. 멀티터치 환경에서의 비밀 번호 입력으로 이전의 싱글터치 기반에서 1글자씩 입력되던 비밀번호가 멀티터치 기반에서는 2개 이상의 글자로 입력될 수 있다. 멀티터치 기반의 패스워드 입력은 단순히 [ 1, 2, 3, 4 ] 로 입력되던 패스워드를 [ (1,3), 2, (3,4), (1,2,3) ] 와 같은 방식으로 설정함으로써 사용자 패스워드의 암호화 강도를 높이고 패스워드 노출 위험을 줄이려 하였다. 본 연구는 나아가 멀티터치 기반에서 사용자 패스워드를 넘어 개인 인증을 위한 보안 기술 연구의 초석으로 활용 될 것이다.

• Journal of Industrial Convergence
• /
• v.21 no.9
• /
• pp.49-56
• /
• 2023

ID is used as identifying information and password as user authentication for ID-based authentication. In order to have a secure user authentication, the password is generated as a hash value on the client and sent to the server, where it is compared with the stored information and authentication is performed. However, if even one character is incorrect, the different hash value is generated, authentication will be failed and cannot be performed and various functions cannot be applied to the password. In this study, we generate several hash value including imaginary number of entered password and transmit to server and perform authentcation. we propose a technique can grants the right differentially to give various rights to the user who have many rights by one account. This can defend shoulder surfing attack by imaginary password and provide convenience to users who have various rights by granting right based on password.

• Review of KIISC
• /
• v.12 no.4
• /
• pp.46-55
• /
• 2002

패스워드는 단순성, 편리성으로 인해 개인의 전자 거래 등에 있어 많이 사용되는 비밀 정보이다. 그러나 상대적으로 짧은 데이터의 사용이나 추축가능성 등의 보안상 취약한 부분도 내포하고 있다. 이에 대한 개선책으로 사전 공격이나 전수 조사 등의 공격 방법 등에 적용 가능한 프로토콜이 발표되었다. 본 논문에서는 패스워드 기반의 키 분배 프로토콜에 대한 기술에 대해 살펴보고자 한다.

• Journal of the Korea Society of Computer and Information
• /
• v.16 no.2
• /
• pp.173-181
• /
• 2011

User authentication and key exchange protocols are the most important cryptographic applications. For user authentication, most protocols are based on the users' secret passwords. However, protocols based on the users' secret passwords are vulnerable to the password guessing attack. In 1992, Bellovin and Merritt proposed an EKE(Encrypted Key Exchange) protocol for user authentication and key exchage that is secure against password guessing attack. After that, many enhanced and secure EKE protocols are proposed so far. In 2006, Lo pointed out that Yeh et al.'s password-based authenticated key exchange protocol has a security weakness and proposed an improved protocol. However, Cao and Lin showed that his protocol is also vulnerable to off-line password guessing attack. In this paper, we show his protocol is vulnerable to on-line password guessing attack using new attack method, and propose an improvement of password authenticated key exchange protocol for imbalanced wireless networks secure against password guessing attack.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.53-55
• /
• 2015

최근 사용자 인증을 요구하는 시스템들은 사용자의 개인정보를 안전하게 지키기 위해 패스워드를 주기적으로 변경하거나 영문자, 숫자 그리고 특수문자를 혼합한 복잡한 구조를 사용한다. 그러나 패스워드를 관리하는 사용자들은 기억에 의존하고 있으며, 쉽게 기억하기 위해 단순한 패스워드 사용을 선호한다. 따라서 본 연구에서는 사용자의 개인정보를 안전하게 지키기 위해 사용자 인증에 필요한 패스워드를 주기적으로 변경하고, 복잡한 구조를 갖도록 패턴 기반의 동적 패스워드 생성 기법을 제안한다.