• 한국통신학회논문지
• /
• 제34권9B호
• /
• pp.931-938
• /
• 2009

Recently, Holbl et al. proposed an improvement to Peyravian-Jeffries's password-based authentication protocol to overcome some security flaws. However, Munilla et al. showed that Holbl et al.'s improvement is still vulnerable to off-line password guessing attack. In this paper, we provide a secure password-based authentication protocol which gets rid of the security flaws of Holbl et al.'s protocol.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 춘계학술대회
• /
• pp.117-119
• /
• 2021

본 논문에서는 개인 인증 체계의 유형별 장단점을 살펴보고 개인 인증 시스템의 발전 방향을 제시한다. 현재 흔히 사용하고 있는 개인 인증 시스템은 텍스트 기반의 패스워드 시스템이다. 하지만 현재 대부분의 텍스트 기반 패스워드 시스템은 사용성이나 보안성이 취약하다. 이러한 문제점을 해결하기 위해 텍스트 기반 패스워드 시스템을 대체할 수 있는 개인 인증 체계가 요구되고 있다. 본 논문에서는 최근 개발된 그래픽 패스워드 시스템을 예로 들어 텍스트 기반 패스워드 시스템을 대체할 수 있는 조건과 가능성을 찾아보고 개인 인증 체계의 발전 방향을 제시한다.

• 한국멀티미디어학회논문지
• /
• 제11권10호
• /
• pp.1403-1408
• /
• 2008

서버의 부담을 줄이기 위하여 스마트카드를 이용한 3자간 키 교환 프로토콜 방식과 패스워드 기반 2자간 키 교환 및 인증 프로토콜 방식들이 많이 제안되고 있다. 본 논문에서는 스마트 카드 기반 3자간 키 교환 및 인증 프로토콜 방식의 취약점에 대한 분석 및 검토를 행하였다. 또한, 심 경아 등에 의한 오프라인 패스워드 추측 공격에 취약점을 보인 곽 진 등의 방식을 분석하여 보고 이 공격에 대한 대책도 제시하고자 한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권3호
• /
• pp.50-57
• /
• 2016

In 2013, Li et al. proposed an improved smart card-based remote user password authentication scheme, and claimed that their scheme not only overcomes security weaknesses of the Chen et al.'s scheme but also is a more user friendly scheme compared with other schemes. In this paper, we analyze the security of Li et al.'s authentication scheme and we show that Li et al.'s authentication scheme is still insecure against the various attacks, such as the off-line password guessing attack, the forgery attack, and the session key generation attack etc. Also, we propose an improved scheme that can resist these security drawbacks of Li et al.'s authentication, even if the secret information stored in the smart card is revealed. As a result of security analysis, the improved scheme is relatively more secure against several attacks than other related schemes in terms of the security.

• Journal of information and communication convergence engineering
• /
• 제5권4호
• /
• pp.346-350
• /
• 2007

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. It is the stability that is based on Square Root Problem, and we would like to suggest PBSI(Password Based Secure Identification), enhancing the stability, for all of the well-known attacks by now including Off-line dictionary attack, password file compromise, Server and so on. The PBSI is also excellent in the aspect of the performance.

• 산업융합연구
• /
• 제21권9호
• /
• pp.49-56
• /
• 2023

개인별 서비스를 위한 ID 기반 인증으로 ID가 식별정보로 활용되고, 패스워드가 사용자 인증에 사용된다. 안전한 사용자 인증을 위해 패스워드는 클라이언트에서 해시값으로 생성하여 서버에 전달되고 서버에 저장된 정보와 해시값을 비교하며 인증을 수행한다. 하지만 패스워드의 해시값은 패스워드에서 한 개라도 틀리면 전혀 다른 해시값이 생성되어 사용자 인증에 실패하여 패스워드에 의한 다양한 기능을 적용할 수 없다. 본 연구에서는 입력된 패스워드의 해시값을 허수를 포함하여 여러 개 생성하고 서버에 전송해서 인증을 수행한다. 또한 제안 기법에서는 여러 권한을 가진 사용자가 하나의 계정으로 다양한 권한을 부여받을 수 있도록 패스워드에 따라 권한을 차등적으로 부여할 수 있다. 제안 기법을 통해 허수 패스워드를 생성함으로써 엿보기 공격을 차단하고, 패스워드 기반으로 권한을 부여하므로 다양한 권한을 가진 사용자에게 편리성을 제공할 수 있다.

• Journal of information and communication convergence engineering
• /
• 제3권4호
• /
• pp.213-216
• /
• 2005

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. It is the stability that is based on Square Root Problem, and we would like to suggest PBI(password Based Identification), enhancing the stability, for all of the well-known attacks by now including Off-line dictionary attack, password file compromise, Server and so on. The PBI is also excellent in the aspect of the performance.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.23-36
• /
• 2004

본 논문은 신뢰할 수 없는 네트워크를 통해서도 사용자를 인증하고 안전한 암호통신용 세션키 교환에 적합한 패스워드 기반 인증 프로토콜을 제안한다. 기본 아이디어는 패스워드를 분할한 후 각 분할된 패스워드 지식들을 확대(amplification)하는 구조로 설계하는 것으로서, 이는 패스워드 검증정보의 램덤성(randomness)을 증가시키기 위한 것이다. 또한 서버 검증자 파일을 암호화하여 보관함으로서 서버 파일 타협에 의한 오프라인 사전추측 공격에 강인하도록 구성한다. 더불어 검증자 파일 및 서버의 암호화 키가 다수의 서버들에게 분산되도록 설계된 방식을 제안한다.

• 한국멀티미디어학회논문지
• /
• 제19권1호
• /
• pp.41-50
• /
• 2016

Moblie device based financial services are vulnerable to social engineering attacks because of the display screen of mobile devices. In other words, in the case of shoulder surfing, attackers can easily look over a user's shoulder and expose his/her password. To resolve this problem, a colour-based secure keyboard solution has been proposed. However, it is inconvenient for genuine users to verify their password using this method. Furthermore, password colours can be exposed because of fixed keyboard colours. Therefore, we propose a secure mobile authentication method to provide advanced functionality and strong privacy. Our authentication method is robust to social engineering attacks, especially keylogger and shoulder surfing attacks. According to the evaluation results, our method offers increased security and improved usability compared with existing methods.

• 한국항행학회논문지
• /
• 제14권3호
• /
• pp.415-425
• /
• 2010

개방형 네트워크에서 사용자 인증은 중요한 보안 기술이다. 특히, 패스워드 기반의 인증 방식은 분산된 환경에서 가장 널리 사용되고 있으며, 현재까지 많은 인증 방식들이 제안되고 있다. 그 중 하나인 SPMA 프로토콜은 NSPA 프로토콜에서 상호인증을 제고하지 않는 문제점으로 인하여 발생할 수 있는 취약성을 지적하며, 상호인증을 제공하는 강력한 패스워드 상호인증 프로토콜을 제안하였다. 하지만 SPMA 프로토콜은 재전송 공격에 대한 취약성을 가지고 있다. 따라서 본 논문에서는 SPMA 프로토콜의 재전송 공격에 대한 취약성을 분석하고, SPMA 프로토콜과 동일한 효율성을 제공하면서 재전송 공격에 안전한 개선된 강력한 패스워드 상호인증 프로토콜을 제안한다.