2017년 10월 30일 월요일

2FA와 OTP의 원리

목차


2FA (Two-Factor Authentication)

2FA는 이중인증이라고 불린다.

곧 소개할 OTP 처럼 코인계에선 무조건 필수이다.
정작 스팀 사이트에선 지원하지 않는게 엄청난 에러긴한데
그 대체로써 마스터 패스워드를 컴퓨터와 완전
분리해두는 방법이 있긴하니 숙지해두자.

여튼
보안인증에선 영역이 겹치지 않는 것들이 있는데
- 일반 패스워드
- 생체정보
- 그외의 도구(예를들면 차키)

같은 것이다.
이러한 영역중 두가지를 사용하면 2FA, 세가지를
모두 사용하면 3FA가 되는 것이다.

실생활 예를들면
집에 들어올때 전자식 도어라면 주로 패스워드식일텐데
패스워드가 털리면 도둑이 자유자재로 방문할 수 있다
그와 다르게 일반 자물쇠라면 이번엔 키가 털릴 경우
보안이 위험해진다.
그래서 양쪽을 다 달아놓는 것을 이중인증 시스템
2FA 라고 할 수 있다.

참고로 패스워드로도 열리고 키로도 열린다면
이것은 그냥 두가지 방식으로 다 열릴뿐..
인증을 두번 강제하지 않으니까
2FA라고 할 수 없다
(도리어 보안은 더욱더 약해진다)

OTP

이중인증이라고 그리 안전한 것은 아니다.

2fa 개념
미션 임파서블이란 절세의 도둑놈을 다룬 영화를 보면

2fa 개념
망막패턴을 복사해서 콘텍트렌즈에 입힌후

OTP 개념
유유히 도둑질 하는 장면을 볼 수 있다

이렇듯 일반 패스워드뿐만 아니라
지문, 망막패턴도 얼마든지 털릴 수가 있다

그래서 미래지향적인 랩퍼들의 경우는
지문이 털릴 것을 방지하기 위해
현란한 손짓이나 역방향 손모양으로 보안에 신경을
쓰는 것을 볼 수 있다.

OTP 개념
위의 잘못된 예에서도 전모씨 옆의 래퍼는 기본적
보안을 철저히 지키는 모습이다.

즉, 다중 인증이라도 노출될 위험이 있으면 위험하다.

하지만 불행히도 노출의 위험은 항상있다
특히 입력의 순간만은 도저히 어떻게 할 수가 없다

그래서 노출돼도 되는 패스워드가 나오게 되었는데..

그것이 바로 1회용 패스워드

One Time Password

OTP 이다.

OTP 원리


OTP는 보통 1분마다 수학공식에 따라
숫자를 뱉어낸다.

예를들면

(A + 시간) X 2000 + A / 30 = OTP패스워드

뭐 이런식이다. 그 식은 저렇게 흐리멍텅하지 않고
절대 알수 없는 무시무시한 식으로써
역이 성립하지 않는다. 즉 해답을 보고 식을
유추하는 것이 불가능하다.

대신
처음에 OTP를 등록할때 주어지는 고유번호인
A를 알고 있으면 똑같은 답이 생성되게는 할 수 있다

그것을 이용해서
상대방 서버에 설치된 OTP와 똑같은 고유번호를
받아와서 자신의 폰에 깔린 OTP에 넣으면
저쪽과 똑같은 패스워드를 1분마다 생성하게 된다.

쉽게 예를들면
초침이 좀 빠르거나 느린 특제시계를
두개만 만들어서 초침까지 맞춘후 둘이서 나눠 갖는다.
그리고 접속할때 지금 몇초인지 불러서 서로가 일치하면
통과시켜주는..

OTP 개념
찌찌뽕 시스템이 바로 OTP인 것이다.

이 찌찌뽕 시스템은 저 특제시계를 탈취하지 않는한
현재 것이 노출된다고 다음 시간을 맞출 순 없다.

즉 서로 맞춰볼때 노출되더라도 그것은 그 순간뿐이니까
안전하게 되는 것이다.

Written with StackEdit.

0 개의 댓글 :

댓글 쓰기