• 한국정보과학회논문지:소프트웨어및응용
• /
• 제31권9호
• /
• pp.1218-1225
• /
• 2004

S/KEY 시스템은 공격자의 패스워드 재공격을 방지하기 위해 제안되었다. 하지만 S/KEY 시스템은 공격자가 자신이 가지고 있는 사전에서 패스프레이즈(passphrase)를 유추해 낼 경우, 결국 인증을 하는데 필요한 일회용 패스워드를 알아낼 수 있는 취약점을 가지고 있다. 이 논문에서는 passphrase에 대한 사전공격을 방지하기 위해 EKE(Encrypted Key Exchange) 프로토콜을 적용한 새로운 S/KEY 시스템을 제시한다. 그리고 새로 제안된 S/KEY 시스템의 안전성을 검증하기 위해 Casper와 CSP로 프로토콜을 명세하고, FDR 모델 체커를 이용하여 그 안전성을 검증하였다.

• 한국통신학회논문지
• /
• 제42권2호
• /
• pp.349-357
• /
• 2017

많은 웹 사이트들이 사용자가 패스워드를 분실하거나 온라인 결제를 진행하는 등의 상황에서 SMS(Short Message Service) 기반의 사용자 인증을 채택하고 있다. SMS 기반 인증에서 인증 서버는 텍스트를 평문으로 전송하기 때문에 공격자가 그 텍스트를 도청하거나 가로채면 다른 사람(피해자)인 것처럼 인증을 받을 수 있다. 본 논문에서는 사용자가 스마트폰을 지금, 어느 위치에서 소유하고 있는지를 인증하는 챌린지-응답(challenge-response) 형태의 인증 방식을 제안한다. 제안 방식은 서버가 보낸 챌린지, 사용자의 현재 위치정보, 스마트폰에 저장된 비밀 값을 모두 사용하여 응답을 생성한다. 그 결과로, 단순히 사용자가 받은 SMS 메시지를 어떤 가공도 없이 그대로 서버로 되돌리는 SMS 기반 인증에 비해, 제안 방식은 훨씬 더 안전하다. 제안 방식은 기존 SMS 기반 인증의 텍스트에 해당하는 응답의 입력과 더불어, 인증 과정의 시작을 위해 추가로 패스프레이즈(passphrase)의 입력을 요구하나, 추가 입력의 부담은 향상되는 보안성을 고려할 때 대부분의 사용자들이 감내할 수 있는 수준이라 판단한다.

• 한국통신학회논문지
• /
• 제39B권6호
• /
• pp.333-340
• /
• 2014

많은 인터넷 사용자들은 다수의 인증 정보를 기억해야 하는 불편함 때문에, 보안상의 취약점에도 불구하고 동일하거나 매우 유사한 패스워드 및 ID를 여러 사이트에서 재사용하려는 성향을 보인다. 본 논문에서는 안전한 휴대 저장장치로 스마트카드를 활용하여, 랜덤하게 생성한 다수의 (ID, 패스워드) 쌍들을 사용자가 기억할 필요 없이 안전하게 저장 및 검색, 갱신할 수 있는 기법을 제안한다. 제안 기법은 사이트의 (ID, 패스워드) 쌍 정보를 스마트 카드의 메모리 및 별도의 원격 서버에 분할하여 보관하기 때문에, 스마트카드의 분실 또는 도난에도 안전하다. 또한 제안 기법에는 원격 서버의 정보를 삭제하는 기능이 포함되어 있어서, 스마트카드 분실 및 메모리의 해킹이 의심되는 상황에서도 공격자가 스마트카드 소유자의 어떠한 (ID, 패스워드) 쌍도 구해내지 못하도록 막을 수 있다. 제안 기법을 적용할 경우 사용자는 (ID, 패스워드) 정보를 얻기 위해 접근을 원하는 사이트 정보와 패스프레이즈를 스마트카드에 입력해야 하나, 이 정도의 추가 부담은 ID와 패스워드를 자유롭게 선택할 수 있음에도 그것들을 전혀 기억할 필요가 없다는 장점을 고려할 때 감내할 수준이내라고 판단한다.