디지털 사용자 인증 authentication
: 정보 시스템에 전자적으로 제공되는 사용자 ID에 대한 신뢰를 구축하는 과정
: 시스템은 인증된 ID를 사용하여 제어통제 사용 가능
1) 등록
- RA(registraion authority): subscriber가 되길 원하는 사용자에게 ID부여
- CSP(credential service provider): subscriber에게 전자신뢰성/토큰 발행
2) 인증
- 등록된 인증서 이용
- RP(relying party): verifier 인증된 정보 받음
- RP는 그 정보를 받고 접근 통제 가능
password-based authentication
: 사용자가 엑세스를 얻는 인증자인지 결정, 유저에 따라 권한을 결정
비밀번호 취약성
- offline dictionary attack
- specific account attack
- popular paswword attack
- password 추측 ex) 생일
- workstation hijacking: 가로채기
- 사용자 실수 악용
- 다중 암호 사용 악용
- 모니터링
Hashed and salted passwords
password file
- (id, salt, h)형태로 저장
- h=H(salt||password)
Hash function
- 임의 길이의 문자열을 특정 고정 길이 문자열로 보내는 결정가능한 함수
- 일방향적, perimage resistance (역상공격)
- 패스워드를 저장하지 않고 해쉬값을 저장해야한다
- 매우 느린 해쉬 함수가 필요하다
Slated
- 하나의 타켓 패스워드를 공격하는 것은 별로 효과가 없지만, 여러 패스워드를 동시에 공격하는 것을 어렵게 만든다
- 동일 패스워드에 대한 해쉬값이 다름
- 여러 시스템에 같은 패스워드를 사용하는지 숨김
- 오프라인 사전 공격, precomputation 공격 복잡도가 올라감
Attacking password
- online 공격: 다향한 패스워드를 가지고 로그인을 시도함, 여러법ㄴ 틀리면 막거나 느리게 할 수 있음
- 오프라인 공격: 패스워드 파일이 불필요
- passwoed 추측
- 알려진 단어들이나 그 단어의 변형들, 가능한 모든 페스워드를 선택해 각각의 것들을 h=H(salt||password) 형태로 맞추어 시도
- precomputation
- 특정 길이까지 가능한 모든 패스워드 해쉬값을 계산해서 거대한 table로 만듬
- salt가 없다면 패스워드 복구가 가능하지만 있다면 거의 불가능
- 장점은 매우 빠르지만 단점은 표가 너무 큼
- time-memory tradeoff
- precomputation의 표의 크기를 줄이는 방법 -> rainbow table
- 약한 패스워드: 짧음, 예측 가능
- 병렬 컴퓨팅: GPU를 사용한 병렬 계산을 통해 속도를 향상
password policy: 기억이 가능하고 추측하기 어려워야 함
- user education: 어렵고 기억하기 쉬운 패스워드를 만드는 기법에 대한 교육
- computer-generated passwords: 컴퓨터가 생성한 패스워드는 추측이 어려우나 암기가 어려움
- reactive password checking
- complex password policy
password checking
- reactive: 시스템이 정기적으로 패스워드 파일에 대한 자동화된 해킹을 시도
- proactive: 더 복잡한 패스워드 정책
'전공 > 정보시스템보안' 카테고리의 다른 글
| [시스템 보안] 스택 버퍼 오버플로우 (stack buffer overflow) (1) | 2022.12.13 |
|---|---|
| [정보시스템보안] Access control 접근 통제 모델(DAC, MAC, RBAC, ABAC) (0) | 2022.10.19 |
