OTP: Difference between revisions

From IT Wiki
(새 문서: 분류:보안분류:정보보안기사 ;One Time Password; 일회용 패스워드 == OTP의 장점 == * 패스워드를 유추할 수 없다. * 동기화 방식의 경우,...)
 
No edit summary
 
Line 24: Line 24:


=== 기타 방식 ===
=== 기타 방식 ===
===== 거래인증 OTP ====
==== 거래인증 OTP ====
* 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성
* 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성
* 인증번호 값이 일치하는 것에서 더 나아가서 수취인, 금액 등이 일치해야지만 유효
* 인증번호 값이 일치하는 것에서 더 나아가서 수취인, 금액 등이 일치해야지만 유효

Latest revision as of 22:35, 19 June 2019

One Time Password; 일회용 패스워드

OTP의 장점[edit | edit source]

  • 패스워드를 유추할 수 없다.
  • 동기화 방식의 경우, 패스워드의 전송이 이루어지지 않는다.

분류[edit | edit source]

비동기 방식[edit | edit source]

  • 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다.
  • 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다.
  • 서버는 반환값을 검증한다.

동기 방식[edit | edit source]

시간 동기화[edit | edit source]

  • 현재 시간을 이용하여 난수를 생성한다.
  • 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다.
  • 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다.
  • 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다.

이벤트 동기화[edit | edit source]

  • 서버와 OTP기기의 카운트값으로 난수를 생성한다.
  • OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다.

기타 방식[edit | edit source]

거래인증 OTP[edit | edit source]

  • 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성
  • 인증번호 값이 일치하는 것에서 더 나아가서 수취인, 금액 등이 일치해야지만 유효

S/KEY 방식[edit | edit source]

  • 해시 체인을 이용한다
  • 벨 연구소에서 개발되었으며 유닉스 계열 운영체제에서 사용된다.