• 정보처리학회논문지C
• /
• 제17C권4호
• /
• pp.361-370
• /
• 2010

OTP(One Time Password)란 사용자가 인증시 안전한 메커니즘을 이용하여 매번 다른 패스워드를 생성하여 인증하는 방식을 말한다. OTP 인증 방식을 이용할 경우 공격자는 패스워드를 가로채어 정당한 사용자로 위장할 수 없게 된다. 이러한 OTP는 H/W 기반 또는 S/W 기반 형태로 구현될 수 있다. H/W를 기반으로 하는 단말기형과 카드형의 경우 배포 및 사용의 편의성 문제로 인해 대중화에 어려움이 존재하였다. 이를 대체하기 위한 방법으로 모바일이나 PC에 S/W 형태로 구현하는 OTP가 도입되고 있다. 하지만 S/W 제품은 구현상에 취약점이 존재할 경우 악의적인 공격의 대상이 될 수 있다는 문제점이 있다. 실제로 금융보안연구원의 보고서에서는 모바일 상에 탑재된 OTP의 경우 구현상에 취약점이 존재한다고 밝혔다. 하지만 PC상에 탑재된 OTP에 대해서는 현재까지 취약점 분석 사례가 존재하지 않는다. 이에 본 논문에서는 PC에 탑재된 OTP의 보안 검토사항을 도출하고, 실제 역공학을 통해 OTP 생성 메커니즘을 파악하여 취약점 분석을 수행하였다.

• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.17-27
• /
• 2020

웹사이트 로그인 정보 및 결제 정보들을 편리하게 관리하기 위해 패스워드 매니저를 이용하는 사용자가 증가하고 있다. 패스워드 매니저는 사용자의 웹사이트 로그인 정보 및 결제 정보들을 서버상에 암호화하여 저장하고, 사용자는 서버에 접속하여 패스워드 정보들을 수신하여 사용한다. 따라서, 공격자가 패스워드 매니저와 서버와의 통신 메시지를 스니핑하여 메시지 내용을 해독할 수 있거나, 또는 공격자가 사용자의 메모리 정보를 탈취하여 메시지 내용을 해독할 수 있으면, 사용자의 모든 패스워드 정보가 노출되는 심각한 문제가 발생한다. 본 논문에서는 주요 패스워드 매니저들의 클라이언트-서버 통신 및 암호 방법을 분석하고, 클라이언트-서버 통신에 심각한 취약점이 있음을 보인다.

• Asia pacific journal of information systems
• /
• 제18권4호
• /
• pp.1-26
• /
• 2008

Rapid progress of information technology and widespread use of the personal computers have brought various conveniences in our life. But this also provoked a series of problems such as hacking, malicious programs, illegal exposure of personal information etc. Information security threats are becoming more and more serious due to enhanced connectivity of information systems. Nevertheless, users are not much aware of the severity of the problems. Using appropriate password is supposed to bring out security effects such as preventing misuses and banning illegal users. The purpose of this research is to empirically analyze a research model which includes a series of factors influencing the effectiveness of passwords. The research model incorporates the concept of risk based on information systems risk analysis framework as the core element affecting the selection of passwords by users. The perceived risk is a main factor that influences user's attitude on password security, security awareness, and intention of security behavior. To validate the research model this study relied on questionnaire survey targeted on evening class MBA students. The data was analyzed by AMOS 7.0 which is one of popular tools based on covariance-based structural equation modeling. According to the results of this study, while threat is not related to the risk, information assets and vulnerability are related to the user's awareness of risk. The relationships between the risk, users security awareness, password selection and security effectiveness are all significant. Password exposure may lead to intrusion by hackers, data exposure and destruction. The insignificant relationship between security threat and perceived risk can be explained by user's indetermination of risk exposed due to weak passwords. In other words, information systems users do not consider password exposure as a severe security threat as well as indirect loss caused by inappropriate password. Another plausible explanation is that severity of threat perceived by users may be influenced by individual difference of risk propensity. This study confirms that security vulnerability is positively related to security risk which in turn increases risk of information loss. As the security risk increases so does user's security awareness. Security policies also have positive impact on security awareness. Higher security awareness leads to selection of safer passwords. If users are aware of responsibility of security problems and how to respond to password exposure and to solve security problems of computers, users choose better passwords. All these antecedents influence the effectiveness of passwords. Several implications can be derived from this study. First, this study empirically investigated the effect of user's security awareness on security effectiveness from a point of view based on good password selection practice. Second, information security risk analysis framework is used as a core element of the research model in this study. Risk analysis framework has been used very widely in practice, but very few studies incorporated the framework in the research model and empirically investigated. Third, the research model proposed in this study also focuses on impact of security awareness of information systems users on effectiveness of password from cognitive aspect of information systems users.

• Journal of Information Technology Applications and Management
• /
• 제27권2호
• /
• pp.1-21
• /
• 2020

The purpose of this study is to investigate the behavioral factors affecting the security attitude and intention to use biometrics password based on the protection motivation theory. This study also investigates security awareness training to understand trust, privacy, and security vulnerability regarding biometric authentication password. This empirical analysis reveals security awareness training boosts the protection motivational factors that affect on the behavior and intention of using biometric authentication passwords. This study also indicates that biometric authentication passwords can be used when the overall belief in a biometric system is present. After all, security awareness training enhances the belief of biometric passwords and increase the motivation to protect security threats. The study will provide insights into protecting security vulnerability with security awareness training.

• 인터넷정보학회논문지
• /
• 제12권5호
• /
• pp.39-46
• /
• 2011

보안 시스템에서 사용자 인증은 필수적이며 가장 중요한 절차 중의 하나이다. 대개의 사용자 인증은 키보드를 통한 문자기반의 패스워드를 이용하여 이루어지므로 키보드 정보의 보호는 무엇보다 중요하다[7][8]. 이러한 이유로 키보드 보호를 위한 소프트웨어들이 주요 사이트에 적용되어 있다. 본 논문은 현재 보편적으로 사용되고 있는 USB 키보드의 취약점을 소개하고 이를 이용하는 예제 코드를 구현하여 키보드 보안 소프트웨어가 실행되고 있는 상황에서의 키보드 데이터의 탈취 가능성을 진단한다. 또한 결과의 비교를 통하여 해당 취약점에 대응하기 위한 보안 대책을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제17권9호
• /
• pp.65-73
• /
• 2012

기존의 텍스트 기반 패스워드들은 추측, 사전 공격, 키로거, 사회공학, 훔쳐 보기, 스파이웨어 등의 공격에 취약하고, 이는 모바일 환경에서 더욱 심각한 문제이다. 훔쳐보기 공격은 패스워드에 대한 대표적인 공격방법 중 하나로, 공격자는 로그인 과정을 직접 관찰하거나 사용자의 인증 과정을 녹화하는 방식으로 패스워드에 대한 정보를 얻을 수 있다. 이러한 취약점을 보완하기 위한 연구를 진행하였다. 본 논문에서 제안하는 패턴 기반의 숫자 패스워드 인증 기술에서는 길이가 긴 패턴 시퀀스로 사용자 인증함으로써 기존 패스워드의 보안성을 강화시키려 하였으며, 높은 보안성을 제공하면서 사용자로 하여금 4개의 숫자만을 기억하도록 하여 사용의 편의성은 침해하지 않으려 하였다. 그 결과로, 사용하기 편리하고 훔쳐보기 공격과 전사적 대입 공격을 방지하기 위한 새로운 패스워드 시스템을 제안하고 이에 대한 보안성과 유용성을 검토하고자 한다.

• 한국항행학회논문지
• /
• 제15권5호
• /
• pp.722-728
• /
• 2011

네트워크 환경에서 사용자에 대한 인증은 반드시 필요한 요소이며, 이를 위하여 많은 사용자 인증기술이 연구되고 발전되어 왔다. 그 중 SPMA, I-SPMA 프로토콜은 과거 프로토콜이 가지는 상호인증 결여, 재전송 공격 등 취약점에 대하여 지적하고, 이를 보완한 안전한 사용자 인증 프로토콜을 제안하였다. 하지만 이들 프로토콜은 서버와 사용자가 공유한 비밀정보가 동기화되지 않을 경우 심각한 문제를 발생하며, 이를 복구할 수 있는 대안이 없어 그 실효성을 입증하지 못한다. 따라서 본 논문은 상기 프로토콜이 비동기 문제로 인한 서비스 거부 공격에 대하여 고려하고 있지 않음을 증명함으로써 제안된 프로토콜의 안전성을 분석하였다.

• 한국IT서비스학회지
• /
• 제16권3호
• /
• pp.147-165
• /
• 2017

Recently, there have been numerous issues about password breaches and it is becoming important for the users to manage their passwords. In practice, the online service provider are asking the online users to change their passwords periodically. However, majority of the users are not changing their passwords regularly, and this can increase the risk of password breach. The purpose of this study is to investigate whether 'fear appeals' and 'message framing' enhance the behavior of changing passwords by the online users. Furthermore, we identify the mechanism on how the behavior of changing passwords is enabled using protection motivation theory. The results of an online experiment show that the online users who are exposed to 'fear appeals' perceived a more vulnerability and severity of password breaches, which in turn, increased the intention of changing their password. In addition, we found that perceived severity of password breaches affect fear positively. Moreover, we found that fear has significant impact on the willingness of changing passwords. Finally, Message framing plays a moderating role between fear and change intentions. That is, in a situation where 'fear appeal' is presented, it means that 'gain framing' is more effective than 'loss framing' These findings suggest that the online service providers may need to use 'fear appeals' to the online users. Security managers can address issues related to the password breaches by carefully designing 'fear appeals'.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1027-1036
• /
• 2014

2012년 Sonwanshi 등은 스마트카드 기반의 해쉬함수를 이용한 효율적인 원격 사용자 인증 스킴을 제안하였다. 본 논문에서는 Sonwanshi 등이 주장한 바와 달리 제안된 스킴이 offline password guessing attack, server impersonation attack, insider attack, replay attack에 취약하며 세션키 및 프라이버시 문제가 존재함을 보이고, 이를 개선한 스킴을 제안한다. 또한, 제안하는 스킴에 대한 분석과 비교를 통해 제안하는 인증 스킴이 다른 인증 스킴보다 상대적으로 안전하고 효율적인 스킴임을 보인다.

• 한국전자거래학회지
• /
• 제16권4호
• /
• pp.1-16
• /
• 2011

전자서명법에 근간을 두고 있는 공인인증서는 경제활동 인구의 95%이상이 사용함에 따라 일상생활과 밀접한 관계가 되었고 최근 보안강도 256bit 수준의 암호체계 고도화로 인해 안전성과 신뢰성에 큰 향상이 기대된다. 공개키 기반구조(PKI)를 바탕으로 하는 공인인증서는 보안성에서 큰 문제가 없는 것으로 알려져 왔지만 공인인증서 유출 시 비밀번호 검출 공격에 대한 위협이 존재한다. 기존 연구에서 이러한 취약점을 보완하기 위하여 비밀번호 대체수단 제공, 공인인증서 저장 매체 확대, 복수 인증방식 등과 같은 다양한 해결방안을 제시하였다. 이러한 방법은 공인인증서의 사용에 대한 보완적 기능을 수행하지만, 비밀번호의 안정성을 보장해주지는 못하는 한계점을 가진다. 따라서 본 연구에서는 비밀번호의 안전성을 높이기 위한 방법으로 비밀번호의 보안강도를 증가시키는 방안을 제시한다. 이에 따라 공인인증서의 관리 보안성과 사용 편리성의 향상이 가능하다. 이 연구는 공인인증서의 보안성 향상과 활용에 관한 기술 개발 및 향후 연구에 활용될 수 있다.