1차시 인증기술의 개요
OTP
사용자 번호와 생성값의 입력으로 암호 알고리즘을 통해 생성되는 일회용 패스워드로, 매번 한번만 사용된는 일방향 해시값을 이용함
홍채인식
사람마다 고유한 특성을 가진 안구의 홍채 패턴을 이용하여 이를 정보화시키는 인증방식
스니핑
스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위
사회공학
컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단
인증기술의 배경
- 오래된역사
- 인가받지 않은 외부로부터 정보와 재산 보호의 목적
사용자 인증과 메시지 인증 - 사용자 인증 : 송수신자가 정당한지 확인
- 메시지 인증 : 메시지의 생성, 송수신, 이용, 저장등 일련의 과정에서 송수신자, 전송자, 이용자, 관리자 들이 제삼자에게 자신이 적법한 사용자라는 것을 증명하는 기능
2차시 인증 취약점과 실습
패스워드
사용자들의 지식을 기반으로 한 인증 방식으로, 가장 기본적이고 오래된 인증 기법
크랙
복사방지나 등록기술 등이 적용된 상용 소프트웨어의 비밀을 풀어서 불법으로 복제하거나 파괴하는 것
공격자
악의적 목적으로 불법적인 행위를 수행하는 행위자
취약점
보안상 컴퓨터 시스템의 약점으로 외부 공격의 대상이 됨
인증 취약점
패스워드 설정상의 취약점
- 사용자 인증을 위해 패스워드 사용하지만 취약하게 설정함으로서 공격자가 장악할 수 있다.
- 단순한 패스어드는 쉽게 노출되므로 복잡성을 높여야 한다.
패스워드 취약성 확인 실습 - 패스워드 종류에 따른 추측 시간이 달라짐을 확인한다.
패스워드 복구 설계상의 취약점 실습
복구를 위한 지문도 복잡한 지문으로 작성을 요한다.
3차시 접근 통제 취약점 공격
주체
객체에 접근하여 요청하는 사용자
객체
시스템과 같은 접근 대상
접근
사용과 같은 행위를 하는 주체의 활동
접근 통제
위험으로부터 객체와 제반 환경을 보호하는 보안대책
ASP
마이크로 소프트사에서 개발한 IIS 3.0이상에서 작동하는 서버측 프로그램
접근 통제 : 위험으로부터 객체와 제반 환경을 보호하는 보안대책
절차 : 식별 - 인증 -인가
접근통제방법
- 강제적 접근통제(MAC:Mandatory Access Control)
- 임의적 접근통제(DAC:Discretionary Access Control)
- 역할기반 접근통제(RBAC:Role Based Access Control)
매일매일 조금씩 모여 숲이 되자🐣