X

OTP Challenge-Response 방식

I. 신원 확인 및 검증, Challenge-Response 방식의 개념

  • 신원 확인을 위해 검증자가 먼저 Challenge, 사용자 Response를 통해 사용자 식별 방식
  • ID/PW 방식의 취약점 개선 위해 OTP기반 신원확인에 활용

 

II. Challenge-Response 메커니즘 및 OTP 생성 방식 유형

가. Challenge-Response 메커니즘

항목 상세 내용
동작
개념도
인증 요청 인증 위해 User ID 서버 전송
Challenge 생성 User ID 검증 및 난수 생성
Challenge 전송 서버 → 사용자, 난수 전송
④, ⑤ Response 생성 양측 난수 대칭키 암호화, 생성
Response 전송 사용자 → 서버, 암호화 난수
인증 여부 결정 수신난수와 생성난수 비교 검증

나. OTP 생성 방식 유형

방식 개념 절차
시간
동기화
난수 대신 시간을
입력값으로 사용
① 자체 시간 기반 OTP입력
② 서버 시간 기준 검증
이벤트
동기화
동일 카운트 값
기준 비밀번호
① 토큰 내부 이벤트 정보
② 서버 자체 이벤트 검증
시간-이벤트 조합 OTP 입력값 시간
카운터 모두 사용
① 토큰 내부 시간-이벤트
② 서버 시간-이벤트 검증

 

III. Challenge-Response 방식의 보안성 제고 방안

구분 구성요소 설명
추가
인증
2-Factor 인증 – 지식, 소유, 생체, 특성 중 2가지
2-Channel 인증 – 서비스 채널과 인증 채널 분리
OTP 개선 스마트 OTP – IC 칩 탑재 스마트카드 NFC 탑재 스마트폰에 태깅
  • 미국 RSA사 OTP 해킹 및 디아블로3 유저계정 해킹이 발생하여 안정성 논란 발생
Categories: 보안
도리: