- 목차
2FA (Two-Factor Authentication)
2FA는 이중인증이라고 불린다.
곧 소개할 OTP 처럼 코인계에선 무조건 필수이다.
정작 스팀 사이트에선 지원하지 않는게 엄청난 에러긴한데
그 대체로써 마스터 패스워드를 컴퓨터와 완전
분리해두는 방법이 있긴하니 숙지해두자.
여튼
보안인증에선 영역이 겹치지 않는 것들이 있는데
- 일반 패스워드
- 생체정보
- 그외의 도구(예를들면 차키)
같은 것이다.
이러한 영역중 두가지를 사용하면 2FA, 세가지를
모두 사용하면 3FA가 되는 것이다.
실생활 예를들면
집에 들어올때 전자식 도어라면 주로 패스워드식일텐데
패스워드가 털리면 도둑이 자유자재로 방문할 수 있다
그와 다르게 일반 자물쇠라면 이번엔 키가 털릴 경우
보안이 위험해진다.
그래서 양쪽을 다 달아놓는 것을 이중인증 시스템
2FA 라고 할 수 있다.
참고로 패스워드로도 열리고 키로도 열린다면
이것은 그냥 두가지 방식으로 다 열릴뿐..
인증을 두번 강제하지 않으니까
2FA라고 할 수 없다
(도리어 보안은 더욱더 약해진다)
OTP
이중인증이라고 그리 안전한 것은 아니다.
미션 임파서블이란 절세의 도둑놈을 다룬 영화를 보면
망막패턴을 복사해서 콘텍트렌즈에 입힌후
유유히 도둑질 하는 장면을 볼 수 있다
이렇듯 일반 패스워드뿐만 아니라
지문, 망막패턴도 얼마든지 털릴 수가 있다
그래서 미래지향적인 랩퍼들의 경우는
지문이 털릴 것을 방지하기 위해
현란한 손짓이나 역방향 손모양으로 보안에 신경을
쓰는 것을 볼 수 있다.
위의 잘못된 예에서도 전모씨 옆의 래퍼는 기본적
보안을 철저히 지키는 모습이다.
즉, 다중 인증이라도 노출될 위험이 있으면 위험하다.
하지만 불행히도 노출의 위험은 항상있다
특히 입력의 순간만은 도저히 어떻게 할 수가 없다
그래서 노출돼도 되는 패스워드가 나오게 되었는데..
그것이 바로 1회용 패스워드
One Time Password
OTP 이다.
OTP 원리
OTP는 보통 1분마다 수학공식에 따라
숫자를 뱉어낸다.
예를들면
(A + 시간) X 2000 + A / 30 = OTP패스워드
뭐 이런식이다. 그 식은 저렇게 흐리멍텅하지 않고
절대 알수 없는 무시무시한 식으로써
역이 성립하지 않는다. 즉 해답을 보고 식을
유추하는 것이 불가능하다.
대신
처음에 OTP를 등록할때 주어지는 고유번호인
A를 알고 있으면 똑같은 답이 생성되게는 할 수 있다
그것을 이용해서
상대방 서버에 설치된 OTP와 똑같은 고유번호를
받아와서 자신의 폰에 깔린 OTP에 넣으면
저쪽과 똑같은 패스워드를 1분마다 생성하게 된다.
쉽게 예를들면
초침이 좀 빠르거나 느린 특제시계를
두개만 만들어서 초침까지 맞춘후 둘이서 나눠 갖는다.
그리고 접속할때 지금 몇초인지 불러서 서로가 일치하면
통과시켜주는..
찌찌뽕 시스템이 바로 OTP인 것이다.
이 찌찌뽕 시스템은 저 특제시계를 탈취하지 않는한
현재 것이 노출된다고 다음 시간을 맞출 순 없다.
즉 서로 맞춰볼때 노출되더라도 그것은 그 순간뿐이니까
안전하게 되는 것이다.
Written with StackEdit.
0 개의 댓글 :
댓글 쓰기