• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.17-27
• /
• 2020

웹사이트 로그인 정보 및 결제 정보들을 편리하게 관리하기 위해 패스워드 매니저를 이용하는 사용자가 증가하고 있다. 패스워드 매니저는 사용자의 웹사이트 로그인 정보 및 결제 정보들을 서버상에 암호화하여 저장하고, 사용자는 서버에 접속하여 패스워드 정보들을 수신하여 사용한다. 따라서, 공격자가 패스워드 매니저와 서버와의 통신 메시지를 스니핑하여 메시지 내용을 해독할 수 있거나, 또는 공격자가 사용자의 메모리 정보를 탈취하여 메시지 내용을 해독할 수 있으면, 사용자의 모든 패스워드 정보가 노출되는 심각한 문제가 발생한다. 본 논문에서는 주요 패스워드 매니저들의 클라이언트-서버 통신 및 암호 방법을 분석하고, 클라이언트-서버 통신에 심각한 취약점이 있음을 보인다.

• 정보보호학회논문지
• /
• 제11권5호
• /
• pp.97-104
• /
• 2001

본 논문에서는 사용자의 패스워드를 복구할 수 있는 패스워드 기반 키 분배 방식(RPKEP)을 제안하고자 한다. RPKEP는 패스워드 사용자, 사용자와 비밀 키 정보를 공유하는 서버, 사용자의 패스워드 복구를 도와주는 패스워드 복구 에이전트(PRA : Recovery Agency)로 구성된다. 제안하는 방식은 패스워드 기반 키 분배 방식의 안전성에서 가장 중요한 요소로 인식되고 있는 오프라인 사전 공격(off-line dictionary attack)에 대해 안전하고 서버가 저장하고 있는 사용자 비밀 정보가 노출되어도 사용자의 안전성은 유지된다는 장점이 있다. 또한, 패스워드 복구 과정에서 D. Chaum의 은닉 서명(Blind Signature) 방식을 응용하여 사용자의 패스워드 복구를 도와주는 PRA 조차 사용자 패스워드에 대한 어떤 정보도 알 수 없도록 하였다.

• 정보보호학회논문지
• /
• 제13권1호
• /
• pp.87-97
• /
• 2003

본 논문에서는 사용자가 서버를 신뢰하지 않아도 되는 인증프로토콜을 설계하기 위하여 인증서버에 위탁되는 인증정보에 대한 두 가지 안전성인 “계산 불가능 안전성”과 “분산 안전성”을 정의한다 또한 분산 안전성에 기반 하여 서버를 신뢰하지 않아도 되는 패스워드 기반 인증프로토콜인 MAP(Multiplex Server Authentication Protocol)을 제시하고, 이러한 MAP을 이용한 SSSO(Secure Single Sign On)가 서버를 신뢰하여야 하는 인증프로토콜을 이용한 SSO(Single Sign On)의 문제점을 해결함을 보인다.

• 전자공학회논문지
• /
• 제49권9호
• /
• pp.215-224
• /
• 2012

사용자 인증을 위해 패스워드를 사용하는 것은 구성이 간단하고 인증 과정에서 걸리는 시간이 비교적 짧기 때문에 사용성이 높은 암호시스템이다. PC, 스마트 폰, 태블릿 PC등 다양한 입력 디바이스에서의 활용성이 높은 반면 패스워드를 입력하는 과정에서 공격자에게 패스워드가 노출될 물리적인 위험이 존재하는데 이것을 일컬어 Shoulder Surfing 공격이라 한다. 패스워드의 형태는 과거보다 조금 더 복잡해진 문자형 패스워드를 비롯해 최근에는 이미지를 이용하거나 시나리오를 활용하는 등 사용자의 의도가 반영된 패스워드가 개발되고 있다. 다양한 패스워드가 개발되면서 사용자 중심으로의 사용가능성과 보편성에 대한 평가 기준에 대한 연구가 부진 하다. 본 논문 에서는 간단한 이미지를 이용한 패스워드 시스템과 자판 변환이 가미된 입력 시스템을 구현한 후 해당 입력 시스템의 사용가능성을 통계적인 방법을 이용하여 검증해보고자 하였다.

• 한국IT서비스학회지
• /
• 제16권3호
• /
• pp.147-165
• /
• 2017

Recently, there have been numerous issues about password breaches and it is becoming important for the users to manage their passwords. In practice, the online service provider are asking the online users to change their passwords periodically. However, majority of the users are not changing their passwords regularly, and this can increase the risk of password breach. The purpose of this study is to investigate whether 'fear appeals' and 'message framing' enhance the behavior of changing passwords by the online users. Furthermore, we identify the mechanism on how the behavior of changing passwords is enabled using protection motivation theory. The results of an online experiment show that the online users who are exposed to 'fear appeals' perceived a more vulnerability and severity of password breaches, which in turn, increased the intention of changing their password. In addition, we found that perceived severity of password breaches affect fear positively. Moreover, we found that fear has significant impact on the willingness of changing passwords. Finally, Message framing plays a moderating role between fear and change intentions. That is, in a situation where 'fear appeal' is presented, it means that 'gain framing' is more effective than 'loss framing' These findings suggest that the online service providers may need to use 'fear appeals' to the online users. Security managers can address issues related to the password breaches by carefully designing 'fear appeals'.

• 한국멀티미디어학회논문지
• /
• 제11권10호
• /
• pp.1403-1408
• /
• 2008

서버의 부담을 줄이기 위하여 스마트카드를 이용한 3자간 키 교환 프로토콜 방식과 패스워드 기반 2자간 키 교환 및 인증 프로토콜 방식들이 많이 제안되고 있다. 본 논문에서는 스마트 카드 기반 3자간 키 교환 및 인증 프로토콜 방식의 취약점에 대한 분석 및 검토를 행하였다. 또한, 심 경아 등에 의한 오프라인 패스워드 추측 공격에 취약점을 보인 곽 진 등의 방식을 분석하여 보고 이 공격에 대한 대책도 제시하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권12호
• /
• pp.6188-6204
• /
• 2017

Over the years, more password-based authentication key agreement schemes using chaotic maps were susceptible to attack by off-line password guess attack. This work approaches this problem by a new method--new theorem of chaotic maps: $T_{a+b}(X)+T_{a-b}(X)=2T_a(X)T_b(X)$,(a>b). In fact, this method can be used to design two-party, three-party, even in N-party intelligently. For the sake of brevity and readability, only a two-party instance: a novel Two-party Password-Authenticated Key Agreement Protocol is proposed for resisting password guess attack in this work. Compared with the related literatures recently, our proposed scheme can be not only own high efficiency and unique functionality, but is also robust to various attacks and achieves perfect forward secrecy. For capturing improved ratio of security and efficiency intuitively, the paper firstly proposes a new parameter called security/efficiency ratio(S/E Ratio). The higher the value of the S/E Ratio, the better it is. Finally, we give the security proof and the efficiency analysis of our proposed scheme.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.23-36
• /
• 2004

본 논문은 신뢰할 수 없는 네트워크를 통해서도 사용자를 인증하고 안전한 암호통신용 세션키 교환에 적합한 패스워드 기반 인증 프로토콜을 제안한다. 기본 아이디어는 패스워드를 분할한 후 각 분할된 패스워드 지식들을 확대(amplification)하는 구조로 설계하는 것으로서, 이는 패스워드 검증정보의 램덤성(randomness)을 증가시키기 위한 것이다. 또한 서버 검증자 파일을 암호화하여 보관함으로서 서버 파일 타협에 의한 오프라인 사전추측 공격에 강인하도록 구성한다. 더불어 검증자 파일 및 서버의 암호화 키가 다수의 서버들에게 분산되도록 설계된 방식을 제안한다.

• 한국멀티미디어학회논문지
• /
• 제24권1호
• /
• pp.58-66
• /
• 2021

The user's password must be encrypted one-way through the hash function and stored in the database. Widely used hash functions such as MD5 and SHA-1 have also been found to have vulnerabilities, and hash functions that are considered safe can also have vulnerabilities over time. Salt enhances password security by adding it before or after the password before putting it to the hash function. In the case of the existing Salt, even if it is randomly assigned to each user, once it is assigned, it is a fixed value in a specific column of the database. If the database is exposed to an attacker, it poses a great threat to password cracking. In this paper, we suggest variable-dynamic Salt that dynamically changes according to the user's password during the login process. The variable-dynamic Salt can further enhance password security during login process by making it difficult to know what the Salt is, even if the database or source code is exposed.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권3호
• /
• pp.50-57
• /
• 2016

In 2013, Li et al. proposed an improved smart card-based remote user password authentication scheme, and claimed that their scheme not only overcomes security weaknesses of the Chen et al.'s scheme but also is a more user friendly scheme compared with other schemes. In this paper, we analyze the security of Li et al.'s authentication scheme and we show that Li et al.'s authentication scheme is still insecure against the various attacks, such as the off-line password guessing attack, the forgery attack, and the session key generation attack etc. Also, we propose an improved scheme that can resist these security drawbacks of Li et al.'s authentication, even if the secret information stored in the smart card is revealed. As a result of security analysis, the improved scheme is relatively more secure against several attacks than other related schemes in terms of the security.