[2021년 정보시스템감리사][보안] 102번
102. OTP(One-Time Password)는 고정된 비밀번호 대신 일회용으로 생성되는 패스워드를 사용하는 사용자 인증 방식이다. 다음 설명에 해당하는 OTP 생성 방식으로 가장 적절한 것은?
| 서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 임의의 수를 전송하게 된다. 클라이언트는 전송받은 임의의 수를 사용하여 OTP를 생성하여 사용한다. |
① S/KEY 방식
② 시간 동기화 방식
③ 도전-응답 방식
④ 이벤트 동기화 방식
[해설]
▣ OTP(One Time Password)
1) 기본 개념
- 일회용 비밀번호로 한 번 사용된 OTP는 다시 사용할 수 없으며 같은 비밀번호가 생성되지 않는 인증 수단
2) 생성 및 인증 방식
| 구분 | 설명 | 장/단점 | |
| 비동기식 (Async) | S/KEY 방식 | • 벨 통신 연구소에서 개발한 OTP 생성 방식으로 유닉스 계열 운영 체제에서 인증에 사용 • 해시 체인에 기반, 해시 함수의 역연산을 하기 어렵다는 점 이용 | [장점] • 안전성이 높음 • 사용자, 서버 양뱡향 인증 [단점] • 복잡한 인증 절차로 속도 느림 |
| 도전-응답 방식 | • 서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 그 값을 전송 • 클라이언트가 그 값으로 OTP를 생성해 응답한 값으로 인증하는 방식 | ||
| 동기식 (Sync) | 시간 동기화 방식 | • OTP를 생성하기 위해 사용하는 입력 값으로 시각을 사용하는 방식 | [장점] • 간편, 속도빠름 [단점] • 사용자→서버 단방향 인증 |
| 이벤트 동기화 방식 | • 서버와 클라이언트가 카운트 값을 동일하게 증가시켜 가며, 해당 카운트 값을 입력값으로 OTP를 생성해 인증하는 방식 | ||
댓글
댓글 쓰기