• 한국통신학회논문지
• /
• 제34권4B호
• /
• pp.435-441
• /
• 2009

일회용 패스워드 메커니즘은 동일한 비밀번호를 반복적으로 사용함으로써 발생할 수 있는 패스워드 재사용 문제를 해결한다. 그러나 패스워드 생성 시점에 주기적 대표성으로 인해 여전히 패스워드 재사용 문제가 존재하며, 시간 편차 및 인증 횟수 비동기화 등으로 인한 인증 실패가 발생할 수 있다. 본 논문에서는 비등기적으로 패스워드를 생성하여 사용자와 교환하고 교환한 패스워드에 대해 사용자의 개인키로 전자서명한 후 인증서와 함께 유효성 검증을 요청함으로써 부인방지를 보장한다. 위와 더불어 유효성 검증을 인증서 검증과 패스워드 검증으로 세분화하여 수행함으로써 보안성을 한층 더 강화할 수 있는 일회용 패스워드 검증 시스템을 제안하고 설계한다. 또한, 기존 메커니즘과의 비교 분석을 통해 제안하는 메커니즘이 재생공격, 부인방지, 동기화로 인한 실패 확률 등에서 우수함을 확인 할 수 있었다.

• 정보처리학회논문지C
• /
• 제11C권3호
• /
• pp.277-286
• /
• 2004

사용자의 인증기술로 패스워드를 기반으로 하는 메커니즘이 널리 사용되고 있다. 패스워드를 기반으로 하는 메커니즘은 사용자들이 기억하기 쉬운 패스워드를 선택하여 사용하는 경우가 대부분이므로 패스워드 추측 공격(password guessing attack)에 취약하다는 문제점이 있다. 이러한 패스워드 추측 공격을 방지하기 위해 많은 키 분배 프로토콜이 제안되고 있으며, 최근 Seo-Sweeny는 패스워드를 기반으로 하는 인증키 동의(SAKA Simple Authenticated Key Agreement) 프로토콜을 제안하였다. 본 논문에서는 먼저, 패스워드를 기반으로 하는 SAKA 프로토콜과 이를 개선한 방식들의 키 설정 및 키 확인 과정을 살펴보고, 각각의 프로토콜이 본 논문에서 정의한 Advanced Modification 공격에 대해 취약함을 보인다. 그리고 Advanced Modification 공격에 대해 안전한 패스워드 기반 인증 키 동의 프로토콜을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제9권3호
• /
• pp.28-38
• /
• 2009

로그인 과정에서는 사용자의 ID와 Password를 기반으로 시스템에 대한 사용권한을 확인하고 접근 권한을 부여한다. 하지만 로그인 과정에서 입력된 ID와 Password 정보는 패킷 스니핑 또는 키 로그(Key log) 프로그램 등을 이용하여 악의적인 공격자에 의해 노출될 수 있다는 취약점이 있다. 웹서버 또는 웹메일 시스템 등에 등록된 ID와 Password가 노출된다면 이는 개인 프라이버시 문제와도 연결되어 매우 심각한 문제를 야기한다. 본 연구에서는 기존의 ID/Password 기반 로그인 기법과 더불어 소프트웨어 형태의 보안카드를 핸드폰에 설치하여 유무선망을 통한 다중 인증(Multi-factor authentication) 기법을 제시한다. 제안한 소프트웨어 형태의 보안카드 기반 로그인 기법은 ID/Password와 함께 부가적으로 바이오 정보를 이용할 수 있으며 사용자의 핸드폰에 소프트 형태의 보안카드를 생성/전송/저장하게 된다. 따라서 제안한 시스템을 사용할 경우 기존의 ID 및 Password 정보에 대해 각 개인별 바이오 정보 기반 일회용 패스워드(Biometric One-Time Password) 방식으로 소프트 보안카드를 생성할 수 있으며 이를 이용하여 웹 및 인터넷 로그인 과정을 수행하기 때문에 보다 안전한 다중 인증 시스템을 구축할 수 있다.

• 한국IT서비스학회지
• /
• 제16권3호
• /
• pp.147-165
• /
• 2017

Recently, there have been numerous issues about password breaches and it is becoming important for the users to manage their passwords. In practice, the online service provider are asking the online users to change their passwords periodically. However, majority of the users are not changing their passwords regularly, and this can increase the risk of password breach. The purpose of this study is to investigate whether 'fear appeals' and 'message framing' enhance the behavior of changing passwords by the online users. Furthermore, we identify the mechanism on how the behavior of changing passwords is enabled using protection motivation theory. The results of an online experiment show that the online users who are exposed to 'fear appeals' perceived a more vulnerability and severity of password breaches, which in turn, increased the intention of changing their password. In addition, we found that perceived severity of password breaches affect fear positively. Moreover, we found that fear has significant impact on the willingness of changing passwords. Finally, Message framing plays a moderating role between fear and change intentions. That is, in a situation where 'fear appeal' is presented, it means that 'gain framing' is more effective than 'loss framing' These findings suggest that the online service providers may need to use 'fear appeals' to the online users. Security managers can address issues related to the password breaches by carefully designing 'fear appeals'.

• 한국산학기술학회논문지
• /
• 제14권3호
• /
• pp.1409-1415
• /
• 2013

인터넷 통신의 발전과 함께 다양한 온라인 서비스의 이용이 크게 확대되었고, 이에 따라 사용자를 확인하기 위한 인증 기술의 중요성이 증가되고 있다. 사용자 인증기술로 가장 일반적으로 사용되고 있는 방식은 사전에 약속된 비밀번호를 활용하는 기법이다. 그러나 기존의 비밀번호 인증 방식은 인증 마다 매번 동일한 비밀번호가 사용되기 때문에 공격자에 의하여 비밀번호가 노출되면 악의적으로 이용될 수 있다. 본 논문에서는 사용자가 접속한 날짜, 시간 및 IP 주소와 같은 정보를 이용하여 접속 시 마다 새로운 비밀번호를 생성하는 변동형 비밀번호 생성 방법 및 이를 이용한 인터넷 인증 시스템을 제안하였다. 본 논문에서 제안된 방식은 비밀번호 노출에 따른 개인정보의 유출을 미연에 방지하여 인터넷 인증분야 및 보안시스템 분야에서 신뢰성 및 경쟁력을 향상시킬 수 있고, 전자문서의 확인이나 다양한 분야의 보안 시스템에도 적용할 수 있어, 사용상의 범용성을 향상 시킬 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권12호
• /
• pp.5135-5149
• /
• 2015

Communications among multi-party must be fast, cost effective and secure. Today's computing environments such as internet conference, multi-user games and many more applications involve multi-party. All participants together establish a common session key to enable multi-party and secure exchange of messages. Multi-party password-based authenticated key exchange scheme allows users to communicate securely over an insecure network by using easy-to-remember password. Kwon et al. proposed a practical three-party password-based authenticated key exchange (3-PAKE) scheme to allow two users to establish a session key through a server without pre-sharing a password between users. However, Kwon et al.'s scheme cannot meet the security requirements of key authentication, key confirmation and anonymity. In this paper, we present a novel, simple and efficient multi-party password-based authenticated key exchange (M-PAKE) scheme based on the elliptic curve cryptography for mobile environment. Our proposed scheme only requires two round-messages. Furthermore, the proposed scheme not only satisfies security requirements for PAKE scheme but also achieves efficient computation and communication.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.757-767
• /
• 2016

패스워드 인증은 가장 대표적인 사용자 인증 기법이며 그 중에서 특히 문자 기반 패스워드가 가장 많이 사용되고 있다. 그러나 사용자들이 선택하는 패스워드가 갖는 취약성으로 인하여 사용자로 하여금 강한 패스워드 생성을 유도하기 위해 많은 웹사이트에서는 패스워드 강도를 측정하는 패스워드 미터를 제공하고 있다. 하지만 여기에는 패스워드 미터결과가 일관되지 않고, 정확하지 않은 강도로 피드백하는 문제가 있다. 이에 본 논문에서는 패스워드 미터의 문제점에 대해 알아보며 패스워드 미터의 개선 방향을 제시하고자 한다.

• 한국정보통신학회논문지
• /
• 제4권1호
• /
• pp.261-266
• /
• 2000

패스워드는 컴퓨터보안의 첫 단계이다. 패스워드 보안이 허술해지면 방화벽은 사실상 무용지물이나 다름없다. 그러나 일반 사용자들은 고난이도의 패스워드 관리가 불가능하므로 이에 대한 보완이 필요하다. 본 논문에서는 클라이언트 측에서 난수를 이용하여 일회용 패스워드를 생성하는 알고리즘을 사용하였다. 이것은 사용자들이 패스워드 관리를 용이하게 할 수 있으며, 서버해킹에 대한 불안을 해소시킬 수 있다.

• 한국멀티미디어학회논문지
• /
• 제19권8호
• /
• pp.1395-1403
• /
• 2016

In recent years, researches of security threats reported that various types of social engineering attack were frequently observed. In this paper, we propose secure keypad scheme for mobile devices. In our scheme, every edge of keypad is linked each other, and it looks like a sphere. With this keypad, users input their password using pre-selected grid pointer. Because of circulation of the keypad layout, even though the attacker snatch the user password typing motion through the human eyes or motion capture devices, attacker do not estimate the original password. Moreover, without the information of grid pointer position, the attacker do not acquire original password. Therefore, our scheme is resistant to password guessing attack.

• Journal of Information Processing Systems
• /
• 제6권1호
• /
• pp.43-52
• /
• 2010

In the secure communication areas, three-party authenticated key exchange protocol is an important cryptographic technique. In this protocol, two clients will share a human-memorable password with a trusted server, in which two users can generate a secure session key. On the other hand the protocol should resist all types of password guessing attacks. Recently, STPKE' protocol has been proposed by Kim and Choi. An undetectable online password guessing attack on STPKE' protocol is presented in the current study. An alternative protocol to overcome undetectable online password guessing attacks is proposed. The results show that the proposed protocol can resist undetectable online password guessing attacks. Additionally, it achieves the same security level with reduced random numbers and without XOR operations. The computational efficiency is improved by $\approx$ 30% for problems of size $\approx$ 2048 bits. The proposed protocol is achieving better performance efficiency and withstands password guessing attacks. The results show that the proposed protocol is secure, efficient and practical.