• 정보보호학회논문지
• /
• 제15권5호
• /
• pp.73-92
• /
• 2005

Joux의 3자 키 교환 프로토콜은 키 합의 분야에서 가장 뛰어난 업적 가운데 하나이다. 하지만 Joux 프로토콜은 인증 기능을 제공하지 않아 man-in-the-middle 공격에 취약하다. 비록 Joux 프로토콜에 대하여 인증서 기반 그리고 ID 기반 인증기법이 제안되었지만, 아직 1 라운드에 실행되는 안전성이 증명 가능한 패스워드 기반 3자 키 교환 프로토콜은 제안된 바 없다. 본 논문에서는 Joux 프로토콜에 EC-PAK의 패스워드 인증 기법을 적용하여 안전성이 증명 가능한 1 라운드 3자 키 교환 프로토콜을 제안하였다. 그리고 렌덤 오라클 모델을 사용하여 프로토콜의 안전성도 증명하였다.

• 융합보안논문지
• /
• 제20권3호
• /
• pp.29-37
• /
• 2020

ID/Password 기반 인증기술은 간편하면서 일정한 보안수준을 제공하기에 대부분의 시스템에서 사용되고 있으나, 이미 무수히 많은 개인정보 노출사고가 있었으며, 무엇보다 한번 노출된 패스워드를 회수하기 어렵다. 이에, 다양한 two-factor 인증기법들이 도입되었으나, 이들은 많은 비용이 필요하며, 무엇보다 사용자의 불편함을 초래하게 된다. 본 논문에서는 기존과 같이 단 한번의 ID/Password 인증과정에서 사용자마다 고유한 Key-Stroke를 동시에 인증하여 비용대비 효과적이면서, 사용자의 불편함을 초래하지 않고, ID/Password 노출 시에도 Key Stroke Dynamics 패턴이 달라 실패하여 높은 보안성을 보장할 수 있는 기술을 제안한다. 본 논문의 제안 모델은 시스템으로 구축하여 효과성을 확인하였다.

• 디지털융복합연구
• /
• 제12권5호
• /
• pp.231-238
• /
• 2014

텍스트 기반 패스워드 인증의 문제점을 해결하기 위해서 이미지를 사용하는 그래픽 패스워드가 발전 하였다. 기본적으로 그래픽 패스워드는 화면에 보이는 이미지 위의 정확한 점의 위치를 순서대로 선택(클릭)하여 인증을 처리하는 방식이다. 이러한 기존의 그래픽 패스워드 방식은 화면상의 정확한 지점을 선택하여 클릭하지 못하면 인식에 실패한다. 본 논문에서는 이러한 단점을 개선한 신 개념의 그래픽 패스워드 방식인 PassPositions를 소개한다. PassPositions는 지금까지의 그래픽 패스워드 방식에서 사용하지 않았던 상대위치를 패스워드 생성에 사용한 신개념의 그래픽 패스워드 기법이다. PassPositions는 유니버설 디자인에 기반을 둔 그래픽 패스워드 기법으로 사용자의 신체적 조건에 관계없이 모두가 편리하게 사용할 수 있다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.17-30
• /
• 2008

본 논문에서는 두 사용자들 사이에 패스워드를 공유하고 있지 않은 환경에서 세션 키(session key)를 공유할 수 있는 패스워드 기반 키 교환 프로토콜을 제안한다. 제안 프로토콜에서 두 사용자들은 서버에 자신의 패스워드를 등록한 후, 서버의 도움을 밭아 동일한 세션 키를 공유하게 된다. 제안 프로토콜은 랜덤오라클(random oracle)을 사용하지 않고 전방향 안전성(forward secrecy)을 만족하는 프로토콜로써, 기존 랜덤오라클을 사용하는 프로토콜과 비교했을 때 효율성 면에서 큰 차이가 없다. 제안 프로토콜에서는 인간이 기억하기 쉬운 패스워드만을 사용하고 프로토콜을 수행하는데 필요한 다른 모든 정보는 공개된 정보이다.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.757-767
• /
• 2016

패스워드 인증은 가장 대표적인 사용자 인증 기법이며 그 중에서 특히 문자 기반 패스워드가 가장 많이 사용되고 있다. 그러나 사용자들이 선택하는 패스워드가 갖는 취약성으로 인하여 사용자로 하여금 강한 패스워드 생성을 유도하기 위해 많은 웹사이트에서는 패스워드 강도를 측정하는 패스워드 미터를 제공하고 있다. 하지만 여기에는 패스워드 미터결과가 일관되지 않고, 정확하지 않은 강도로 피드백하는 문제가 있다. 이에 본 논문에서는 패스워드 미터의 문제점에 대해 알아보며 패스워드 미터의 개선 방향을 제시하고자 한다.

• Asia pacific journal of information systems
• /
• 제18권4호
• /
• pp.1-26
• /
• 2008

Rapid progress of information technology and widespread use of the personal computers have brought various conveniences in our life. But this also provoked a series of problems such as hacking, malicious programs, illegal exposure of personal information etc. Information security threats are becoming more and more serious due to enhanced connectivity of information systems. Nevertheless, users are not much aware of the severity of the problems. Using appropriate password is supposed to bring out security effects such as preventing misuses and banning illegal users. The purpose of this research is to empirically analyze a research model which includes a series of factors influencing the effectiveness of passwords. The research model incorporates the concept of risk based on information systems risk analysis framework as the core element affecting the selection of passwords by users. The perceived risk is a main factor that influences user's attitude on password security, security awareness, and intention of security behavior. To validate the research model this study relied on questionnaire survey targeted on evening class MBA students. The data was analyzed by AMOS 7.0 which is one of popular tools based on covariance-based structural equation modeling. According to the results of this study, while threat is not related to the risk, information assets and vulnerability are related to the user's awareness of risk. The relationships between the risk, users security awareness, password selection and security effectiveness are all significant. Password exposure may lead to intrusion by hackers, data exposure and destruction. The insignificant relationship between security threat and perceived risk can be explained by user's indetermination of risk exposed due to weak passwords. In other words, information systems users do not consider password exposure as a severe security threat as well as indirect loss caused by inappropriate password. Another plausible explanation is that severity of threat perceived by users may be influenced by individual difference of risk propensity. This study confirms that security vulnerability is positively related to security risk which in turn increases risk of information loss. As the security risk increases so does user's security awareness. Security policies also have positive impact on security awareness. Higher security awareness leads to selection of safer passwords. If users are aware of responsibility of security problems and how to respond to password exposure and to solve security problems of computers, users choose better passwords. All these antecedents influence the effectiveness of passwords. Several implications can be derived from this study. First, this study empirically investigated the effect of user's security awareness on security effectiveness from a point of view based on good password selection practice. Second, information security risk analysis framework is used as a core element of the research model in this study. Risk analysis framework has been used very widely in practice, but very few studies incorporated the framework in the research model and empirically investigated. Third, the research model proposed in this study also focuses on impact of security awareness of information systems users on effectiveness of password from cognitive aspect of information systems users.

• Journal of information and communication convergence engineering
• /
• 제9권4호
• /
• pp.431-434
• /
• 2011

Password-based user-authentication schemes have been widely used when users access a server to avail internet services. Multiserver password-authentication schemes enable remote users to obtain service from multiple servers without separately registering with each server. In 2008, Jia-Lun Tsai proposed an improved and efficient password-authenticated key agreement scheme for a multiserver architecture based on Chang-Lee's scheme proposed in 2004. However, we found that Tsai's scheme does not provide forward secrecy and is weak to insider impersonation and denial of service attacks. In this article, we describe the drawbacks of Tsai's scheme and provide a countermeasure to satisfy the forward secrecy property.

• 한국정보시스템학회지:정보시스템연구
• /
• 제28권2호
• /
• pp.93-107
• /
• 2019

Purpose The purpose of this study is to explain the mechanism of user behaviors in password reset context based on descriptive data from conducting interviews. Specifically, this study attempted to describe the process of changing password from the shadow work perspective. Design/methodology/approach This study has interviewed 8 participants who can freely use numerous online web-sites. This study also employed the grounded theory methodology to analyze interview manuscripts. After conducting analyzing the manuscripts, this study has extracted 46 codes in the coding steps and ultimately presented 8 categories by combining similar concepts from those codes. Findings According to the results, this study provides new viewpoints to explain unique user behavior in the password reset context by capturing the shadow work based on the results. This study further offers practical implications to numerous practitioners by finding various codes, which related to users' reaction and behavior.

• International Journal of Internet, Broadcasting and Communication
• /
• 제13권3호
• /
• pp.1-11
• /
• 2021

Development of ICT technologies leads exponential growth of various sharing economy over the last couple of years. The intuitive advantage of the sharing economy is efficient utilization of idle goods and services, but there are safety and security concerns. In this paper, we propose a onetime password based access control system to support secure accommodation sharing service and show the implementation results. To provide a secure service to both the provider and the user, the proposed system issues a onetime access password that is valid only during the sharing period reserved by the user, thereafter access returns to the accommodation owner. Especially, our system provides secure user access by merging the two elements of speaker recognition using voice and a one-time password to open and close the door lock. In this paper, we propose a secure system for accommodation sharing services as a use-case, but the proposed system can be applicable to various sharing services utilizing security-sensitive facilities.

• 정보보호학회논문지
• /
• 제14권1호
• /
• pp.59-69
• /
• 2004

패스워드 기반 인증된 그룹 키 교환 프로토콜은 (안전하지 않다고 여겨지는) 공개 네트워크 상에서 인간이 기억 가능한 패스워드를 공유한 참가자 그룹에게 멀티 캐스트 데이터 무결성과 비밀성을 위해 사용될 세션 키를 제공해준다. 본 논문에서는 패스워드 기반 인증된 그룹 키 교환 프로토콜을 제시하고 결정적 DH 문제와 계산적 DH 문제의 어려움에 근거하여 랜덤 오라클 모델과 이상적 암호화 모델에서 안전성을 증명한다. 이 프로토콜은 상수 번의 통신 라운드가 요구되며 키 공유를 위해 단지 사용자마다 O(1)번의 모둘라 지수 승을 요구한다. 따라서 매우 효율적이며 참가자 집합의 크기에 독립적이다. 또한 이 프로토콜은 전 방향 안전성을 제공한다.