Cappuccino sapiens

최근 불거진 유명 연예인의 삼성 클라우드 계정해킹에 대한 우려는, 서비스에서 제공하는 인증방식이 단순 아이디/패스워드 방식이라는 것이다. 물론, 사용자에게 보안관리의 책임성을 물을 수 있지만, 개인의 소중한 정보가 저장된 공간을 보호하기 위한 서비스 차원의 보안환경 강화(보안정책 및 기술) 또한 지원되어야 한다. 사용자는 다양한 IT서비스를 사용하고 있고, 이러한 이용자 환경에서 발생할 수 있는 크리덴셜 스터핑(Credential Stuffing)과 같은 취약점이 발생할 수 있다. 이러한 점에서 타사의 2팩터 인증을 통한 계정관리와 비교된다.

 - IBM IAM은 멀티팩터인증을 통해 서버·데이터베이스·응용프로그램 들을 위한 계정관리 솔루션 입니다. https://lnkd.in/fYkfymJ

- IBM Trusteer는 머신러닝 분석 기술을 통해 실시간으로 사용자의 행위(마우스, 키보드)에 대한 이상행위 분석을 통해 인증을 한층 강화합니다. https://lnkd.in/fnRMQzt

패스워드하면 알리바바와 40인의 도적이 생각난다. 단순한 구호 “열려라 참깨”로 인해 도둑들은 동굴에 모아놓은 보화를 잃게된다.

패스워드 방식의 인증은 사람의 기억을 통해 본인을 확인하는 과정이다. 패스워드에 대한 복잡성이 강해질 수록, 머리속 또한 복잡해 질 수 밖에 없다. 초인종만 눌러도 집에 있는 가족이 나를 알아보고 문을 열어주는 것과 같은 인증 시스템은 없을까?

- 사용자들의 비밀번호 관리 부담을 덜어 줄 수 있는 방안은? (https://lnkd.in/fhUmUaJ)

When it comes to password, it reminds me of a fairy tail "Alibaba and 40 thieves". The thieves used a simple phrase “open sesame” to open the gate of a cave in which they saved the treasure.

Password-based authentication is the process of verifying oneself through human memory. The stronger the password requirement, the more painful our head. Isn't there a more convenient authentication method?

You can find the system in IBM Security; IBM Trusteer and IBM IAM.

다중인증 (Multi-Factor Authentication)이란 2가지 이상의 인증방식을 사용하여 인증의 강도를 높이는 것이다. 즉, 기본적인 패스워드 방식과 OTP(One Time Password), 지문, 동공, 얼굴, 인증코드 등을 조합하는 것으로, 최근에 금융권을 비롯해 금전적인 거래가 있는 핀테크 영역에서는 기본적으로 이증인증(2FA: 2 Factor Authentication) 방식을 사용하고 있다.

최근 삼성의 지문인식 인증방식에 취약점이 나타나면서, 은행권에 대 혼란이 있었고 지문인식 서비스가 일시 중단되는 사태가 발생하였다. 12월 24일, SiliconAngle(https://siliconangle.com/)에 따르면, 2FA가 중국해커에 의해 깨졌다는 소식도 있었다.

인증객체의 단순한 특징을 이용하는 인증의 경우, 기술의 발전에 따라 보안허점을 드러내고 있다. 따라서, 사용자 행위기반(키보드 및 마우스의 입력 패턴, 속도, 움직임 등)을 가미한 다중인증 방식을 통해, 한층 보안이 강화된 방식을 채용할 필요가 있다.  

신청을 하시려면 여기를 클릭하세요