Authentication

접근 제어의 두 가지 종류

Authentication

'너'가 '너'라고 주장하는 '너'가 맞는가?
흔히 id와 pw를 통한 신원 확인이라고 생각하면 된다

Authorization

'너'인 것은 알겠다, 그러면 '너'에게 허용된 행동은?

인증

비밀번호

가장 손 쉽고, 발급하기 간편하다. '너만이 알고 있는 것' 으로 인증을 하는 형태
비밀번호 인증을 하는 서버가 존재할 시에, 만일 서버의 비밀번호가 유출된다면?
비밀번호를 해싱하여, 공격자가 비밀번호 테이블을 보게 되어도 비밀 번호를 유추할 수 없게 한다. 가능성이 높은 비밀번호들을 미리 해싱하여, 유출된 테이블과 비교하는 dictionary attack이 발생할 수 있다.

• 대처법
  Salt : public 값이 salt와 함께 비밀번호를 해싱하여 공격자가 미리 작성한 dictionary를 무효화 시킨다
  Pepper : private 값인 pepper와 함께 비밀번호를 해싱하여 dictionary 무효화
  hash iteration : 비밀번호 해싱을 n번 반복하여, 공격자에게 막대한 연산 부담을 준다