Authentication

인증 방법!! #

지식 기반 인증 #

장) 다른 인증 방식에 비해 설계가 간단함 -> 비용 절감

단) 타 인증 방법에 비해 보안 강도가 낮음 (특히, 대부분의 사람들은 한 가지 비밀번호를 여러 계정에 사용, 암기하기 쉬운 비밀번호 사용)

자신이 좋아하는 숫자나 사람, 음식, 도시 등 두가지를 선택하고 그 뒤에 숫자를 더한다. #

“핵무기"를 쿼티로 치면 goranrl

숫자 45를 삽입 -> goranrl45

특수문자 삽입 -> goranrl45!!!!!

사이트 이름 삽입 -> goranrl45+GOOGLE!!!!!

소유 기반 인증 #

• 본인이 소유하고 있는 특정 매체를 통해 인증하는 방식 예) 공인 인증서

단) 인증 시스템 구측이 까다로움

사용자가 항상 인증 토큰을 소유해야 하기 때문에 편리성이 낮음

부정한 사용자가 복제를 통해 악용할 가능성이 있음

생체 기반 인증 #

• 사용자 본인의 생체 정보를 이용하여 인증하는 방식 ex) 지문, 목소리, 걸음걸이, 홍채 등

장) 본인의 의도와 솬계없이 항상 소유 단) 훼손되면 안좋음, 비용이 높음, 교체 불가능 등

지식 기반 인증 공격: 키로거 #

지식 기반 인증에 대한 대표적인 공격

소프트웨어 프로그램이나 하드웨어 장치를 통해 키보드에 입력된 기록을 저장하는 프르그램 -> 프로그램 사용 자체는 불법이 아니지만, 이를 악용하는 사례가 많음

• 사용자의 계정을 탈취할 목적으로 많이 사용됨
• 계정에 접속하기 위해 아이디와 비밀번호를 입력하면 계정 정보가 공격자에게 전송될 수 있음

구현 방법) 후킹 (Hooking) #

운영체제와 유저 사이의 일정 지점을 가로채 시스템의 동작 방식을 변조하는 행위

메세지 후킹, API 후킹

메세지 후킹 #

Windows에서 운영체제와 프로세스 사이에 전송되는 메세지를 주고받을 때 후킹할 수 있는 함수 지원

API 후킹 #

API(Application Programming Interface)를 후킹하는 경우

후킹의 본래 목적 #

버그 수정 또는 기능 개선에 필요한 코드 삽입

후킹의 악용 #

키로거에 사용

키로거 만들기 #

1. 사용자에게 문자열을 입력받는다. (특수문자 <, >, -가 포함된 문자열)
2. ‘<‘가 입력된 경우) 마우스 커서가 왼쪽으로 한칸 입력되었다고 판단
3. ‘>‘가 입력된 경우) 마우스 커서가 오른쪽으로 한칸 입력되었다고 판단
4. ‘-‘가 입력된 경우) 입력된 문자열에서 하나 지워진다고 판단
5. 특수기호가 모두 수행된 문자열 출력