• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 춘계학술대회
• /
• pp.117-119
• /
• 2021

본 논문에서는 개인 인증 체계의 유형별 장단점을 살펴보고 개인 인증 시스템의 발전 방향을 제시한다. 현재 흔히 사용하고 있는 개인 인증 시스템은 텍스트 기반의 패스워드 시스템이다. 하지만 현재 대부분의 텍스트 기반 패스워드 시스템은 사용성이나 보안성이 취약하다. 이러한 문제점을 해결하기 위해 텍스트 기반 패스워드 시스템을 대체할 수 있는 개인 인증 체계가 요구되고 있다. 본 논문에서는 최근 개발된 그래픽 패스워드 시스템을 예로 들어 텍스트 기반 패스워드 시스템을 대체할 수 있는 조건과 가능성을 찾아보고 개인 인증 체계의 발전 방향을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권3호
• /
• pp.97-104
• /
• 2015

본 논문은 MS-SQL 데이터베이스의 환경과 OLE 원격 접속 기능, C++ 환경을 바탕으로 MS-SQL 데이터베이스 암호정책과 사용자 계정 패스워드 접속 시도, 패스워드 없는 사용자 계정, 패스워드를 일정 기간 이상 변경하지 않은 경우 등에 대한 점검을 통해서 보안취약점 기능을 설계한다. MS-SQL 데이터베이스와 C++의 연동을 위해서는 OLE DB 기능을 사용한다. OLE DB 연동을 통해 계정마다 암호정책 강제 적용의 유무를 확인하고, 계정별 패스워드 접속 실패 유무, 패스워드 없는 사용자, 패스워드를 일정 기간 이상 변경하지 않은 경우 등을 종합적으로 판단하여 보안취약점 유무를 판단한다. MS-SQL 데이터베이스 패스워드 기능과 관련하여 여러 가지 기능들을 판단해서 보안취약점을 점검할 수 있도록 한다. 본 논문에서 제시하는 기능을 활용하여 MS-SQL 데이터베이스 보안을 강화하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권12호
• /
• pp.6188-6204
• /
• 2017

Over the years, more password-based authentication key agreement schemes using chaotic maps were susceptible to attack by off-line password guess attack. This work approaches this problem by a new method--new theorem of chaotic maps: $T_{a+b}(X)+T_{a-b}(X)=2T_a(X)T_b(X)$,(a>b). In fact, this method can be used to design two-party, three-party, even in N-party intelligently. For the sake of brevity and readability, only a two-party instance: a novel Two-party Password-Authenticated Key Agreement Protocol is proposed for resisting password guess attack in this work. Compared with the related literatures recently, our proposed scheme can be not only own high efficiency and unique functionality, but is also robust to various attacks and achieves perfect forward secrecy. For capturing improved ratio of security and efficiency intuitively, the paper firstly proposes a new parameter called security/efficiency ratio(S/E Ratio). The higher the value of the S/E Ratio, the better it is. Finally, we give the security proof and the efficiency analysis of our proposed scheme.

• 한국멀티미디어학회논문지
• /
• 제19권1호
• /
• pp.41-50
• /
• 2016

Moblie device based financial services are vulnerable to social engineering attacks because of the display screen of mobile devices. In other words, in the case of shoulder surfing, attackers can easily look over a user's shoulder and expose his/her password. To resolve this problem, a colour-based secure keyboard solution has been proposed. However, it is inconvenient for genuine users to verify their password using this method. Furthermore, password colours can be exposed because of fixed keyboard colours. Therefore, we propose a secure mobile authentication method to provide advanced functionality and strong privacy. Our authentication method is robust to social engineering attacks, especially keylogger and shoulder surfing attacks. According to the evaluation results, our method offers increased security and improved usability compared with existing methods.

• 정보보호학회논문지
• /
• 제13권1호
• /
• pp.87-97
• /
• 2003

본 논문에서는 사용자가 서버를 신뢰하지 않아도 되는 인증프로토콜을 설계하기 위하여 인증서버에 위탁되는 인증정보에 대한 두 가지 안전성인 “계산 불가능 안전성”과 “분산 안전성”을 정의한다 또한 분산 안전성에 기반 하여 서버를 신뢰하지 않아도 되는 패스워드 기반 인증프로토콜인 MAP(Multiplex Server Authentication Protocol)을 제시하고, 이러한 MAP을 이용한 SSSO(Secure Single Sign On)가 서버를 신뢰하여야 하는 인증프로토콜을 이용한 SSO(Single Sign On)의 문제점을 해결함을 보인다.

• 한국통신학회논문지
• /
• 제34권9B호
• /
• pp.931-938
• /
• 2009

Recently, Holbl et al. proposed an improvement to Peyravian-Jeffries's password-based authentication protocol to overcome some security flaws. However, Munilla et al. showed that Holbl et al.'s improvement is still vulnerable to off-line password guessing attack. In this paper, we provide a secure password-based authentication protocol which gets rid of the security flaws of Holbl et al.'s protocol.

• 한국콘텐츠학회논문지
• /
• 제17권7호
• /
• pp.276-282
• /
• 2017

ID/PW(Identifier/Password) 인증방식은 다양한 보안취약성이 존재함에도 사용이 편리하고 구축비용이 저렴하여 아직까지 폭 넓게 사용하고 있으며, 유추해내기 어려운 복잡한 패스워드의 사용과 주기적인 변경을 요구하고 있다. 하지만 사용자 입장에서는 복잡한 패스워드를 기억하고 주기적으로 변경하는 것은 매우 불편한 일이다. 이에 본 논문에서는 USB(Universal Serial Bus) 메모리를 활용하여 복잡한 패스워드를 주기적으로 변경할 필요가 없는 인증시스템을 제안하였다. 사용자 인증시마다 자동으로 재생성 되도록 하고 기존의 인증데이터는 재사용이 불가능하도록 설계하였다. 이를 바탕으로 ID/PW 인증시스템을 크게 고치지 않으면서 사용이 편리하고, 인증서 / 지문인식 수준의 보안성을 제공할 수 있다.

• 산업융합연구
• /
• 제21권9호
• /
• pp.49-56
• /
• 2023

개인별 서비스를 위한 ID 기반 인증으로 ID가 식별정보로 활용되고, 패스워드가 사용자 인증에 사용된다. 안전한 사용자 인증을 위해 패스워드는 클라이언트에서 해시값으로 생성하여 서버에 전달되고 서버에 저장된 정보와 해시값을 비교하며 인증을 수행한다. 하지만 패스워드의 해시값은 패스워드에서 한 개라도 틀리면 전혀 다른 해시값이 생성되어 사용자 인증에 실패하여 패스워드에 의한 다양한 기능을 적용할 수 없다. 본 연구에서는 입력된 패스워드의 해시값을 허수를 포함하여 여러 개 생성하고 서버에 전송해서 인증을 수행한다. 또한 제안 기법에서는 여러 권한을 가진 사용자가 하나의 계정으로 다양한 권한을 부여받을 수 있도록 패스워드에 따라 권한을 차등적으로 부여할 수 있다. 제안 기법을 통해 허수 패스워드를 생성함으로써 엿보기 공격을 차단하고, 패스워드 기반으로 권한을 부여하므로 다양한 권한을 가진 사용자에게 편리성을 제공할 수 있다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.961-972
• /
• 2016

패스워드 기반 인증 기법의 안전성 강화를 위해서는 충분한 길이와 무작위 문자열 성질을 갖는 강한 패스워드의 선택과 관리가 필요하다. 하지만 이미 알려진 바와 같이 많은 사용자들은 기억하기 쉬운 약한 패스워드를 선택하는 경향이 있으며 이에 대한 관리 또한 취약하다. 본 논문에서는 국내 사용자들이 어떠한 경향으로 패스워드를 선택하며 관리하는지에 대해 연구하였다. 직접 327명 규모의 설문조사를 진행하여, 패스워드 생성과 갱신에 관한 경향을 분석하였으며 또한 패스워드의 구조와 계정관리에 관한 경향을 분석하였다. 마지막으로 서버의 패스워드 생성 규칙이 사용자 패스워드 구성에 주는 영향에 대해 분석하였다. 분석 결과 사용자들이 유의하게 선호하는 패스워드 구조, 특수문자가 있는 반면 서버의 패스워드 생성 규칙이 미치는 영향은 유의하지 않음을 발견하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권5호
• /
• pp.2674-2697
• /
• 2019

Identity authentication is a crucial line of defense for network security, and passwords are still the mainstream of identity authentication. So far trawling password attacking has been extensively studied, but the research related with personal information is always sporadic. Probabilistic context-free grammar (PCFG) and Markov chain-based models perform greatly well in trawling guessing. In this paper we propose a systematic targeted attacking model based on structure partition and string reorganization by migrating the above two models to targeted attacking, denoted as TG-SPSR. In structure partition phase, besides dividing passwords to basic structure similar to PCFG, we additionally define a trajectory-based keyboard pattern in the basic grammar and introduce index bits to accurately characterize the position of special characters. Moreover, we also construct a BiLSTM recurrent neural network classifier to characterize the behavior of password reuse and modification after defining nine kinds of modification rules. Extensive experimental results indicate that in online attacking, TG-SPSR outperforms traditional trawling attacking algorithms by average about 275%, and respectively outperforms its foremost counterparts, Personal-PCFG, TarGuess-I, by about 70% and 19%; In offline attacking, TG-SPSR outperforms traditional trawling attacking algorithms by average about 90%, outperforms Personal-PCFG and TarGuess-I by 85% and 30%, respectively.