오픈웹과 관련하여 미국 최근 금융권 등에서 키로그 후킹 방지기술 적용사례
오픈웹에 올려야 더 적당한 글일지도 모르겠는데 지금 오픈웹이 임시로 피난을 가서 적응이 안되고 해서 일단 KLDP에다 올립니다.
제가 우연한 기회에 웹 기반으로 보안 로그인 관련 솔루션을 제공하고 있는 회사의 개발자들과 만나서 이야기할 기회가 있었습니다. vidoop 라는 회사인데요 회사 홈페이지는 http://vidoop.com/ 이고 데모 사이트는 http://demo.vidoop.com/ 입니다.
사용자가 패스워드 문구를 매번 똑같이 치면 키로그 후킹 등의 해킹에 취약해지는 점을 막고자 이미지 기반의 솔루션을 도입하였습니다. 사용자는 문구를 기억하는 것이 아니라 예를 들면 자동차 해 달 별 구름 등의 일정 개수의 아이콘 이미지를 로그인 인증방식으로 선택합니다. https 를 통해 이러한 이미지를 무작위 순서로 예를 들면 16개 혹은 25개 (아니면 경우에 따라서는 그 이상) 화면에 뿌리면 (워터마킹까지 하는지는 잘 모르겠습니다) 각각의 자신이 비밀키로 가진 아이콘 이미지에 해당하는 키를 입력하는 것입니다. 데모를 보면 이런 방식과 OTP 방식을 함께 사용할 수도 있는 것 같은데 그렇게 되면 키로그 후킹 같은 것에 더 강한 보안 로그인 방식이 될 것 같습니다. https 를 통해서 하는 것이므로 리눅스나 맥에서도 물론 돌아갑니다. Charles Schwab 같은 꽤 큰 규모의 투자은행도 이 시스템을 최근에 도입했다고 하고 앞으로 다른 금융권 사이트에서도 이러한 방식의 솔루션을 도입하는 사례가 점차 늘어날 것이라고 합니다.
이미 알고 계실지도 모르겠지만 김기창 교수님과 오픈웹을 위해 노력을 기울이시는 분들께 혹시 도움이 도는 자료가 될까 하여 소개합니다. 혹시 더 자세한 기술적인 사항이나 도입한 미국 업체들에 대한 정보 등 더 자세한 정보가 있으면 그쪽 개발자들을 통해 문의해 드릴 수도 있습니다. 이러한 실제 도입 사례가 있는데도 키로그 후킹을 방지하는 강력한 보안을 지원하는 기술은 액티브 엑스밖에 없다는 보안 사기꾼들의 헛소리를 이제 제발 좀 그만 들었으면 합니다.
@ 우리나라는 액티브 엑스로 보안 모듈과 키로그 보안 프로그램일 기동시킨다고 하니 어안이 벙벙해 하더군요 -_-;;
원래 액티브
원래 액티브 엑스여야 한다는 주장을 하고 있는 쪽은 그걸로 먹고 사는 쪽이라
저런 식으로 바뀌면 잃는게 많기는 하죠.
밥그릇 놓고 사용자를 위한 토론으로 진행이 되었으면 하는 마음입니다만...
멋지군요.
저는 보안전문가가 아니라 어떤 취약점이 있는지 알지 못합니다만... 확실히 좋은 방법인 것 같습니다. 사실 password 방식이 효율적인지는 다들 의문이었잖아요. 굳이 취약점을 찾자면 확보가능하고, 사용자가 쉽게 이용가능한 이미지의 갯수에 의해서 암호화 강도가 달라질텐데 그 부분이 조금 의문이긴 하네요.
메일링리스트에
메일링리스트에 올리시는 방법도 있는데. :)
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
오픈웹 구글 그룹에 전재해도
오픈웹 구글 그룹에 게시할 수 있으면 좋겠습니다. 직접올리시면 더 좋고, 아니면 허락해 주시면 제가 올려도 좋고...
http://openweb.or.kr
http://openweb.or.kr
구글 그룹스에 전재해 가셔도 좋습니다.
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
악성 프로그램이 이미 설치되어 있다고 전제하면
키보드 입력을 후킹할 수 있을 정도의 악성 프로그램이 이미 설치되었다고 가정했을 때 이미지 기반 입력 역시 마찬가지로 취약할 수 있습니다. 키 스트록을 드라이버 레벨에서 가로채는 프로그램이 화면 이미지와 마우스 클릭을 가로채지 못할까요? (데모는 키보드 입력을 하지만 이것 역시 스크린 키보드로 바꾼다고 해도)공격자는 몇건의 레코딩을 통해 패턴을 할 수 있습니다. 그럼 금융 당국은 '어? 화면 출력과 마우스 클릭을 가로채는 프로그램이 존재하네? 그럼 이 약점을 막기 위한 보안 프로그램을 강제해야지.' 하고 화면 보안 프로그램과 마우스 보안 프로그램을 설치하게 되겠죠.
그리고 여러번 얘기가 나온거 같은데 '보안 종사자들은 자기 밥그릇을 위해 ActiveX를 포기할 수 없다' 라는 얘기나 보안 사기꾼 운운은 논의를 진행하는 데 아무 도움이 되지 않습니다. 올바른 시장 환경 및 진정한 밥그릇을 위해서는 ActiveX 싹 걷어내고 사건 사고 발생이 많아져서 개인 사용자가 알아서 보안 제품을 구매하거나 하는 게 더 도움이 되죠. ActiveX 싹 다 걷어내고 사건 사고 발생이 그대로거나 오히려 더 줄어들면 그 자체로 좋은거고.
마우스로 클릭하는 솔루션이 아닙니다
화면 메모리 해킹을 당했다 하더라도 저 경우는 인공지능을 통한 이미지 패턴 분석이 있어야 하거든요. 고양이가 항상 한 종류의 고양이가 나오는 것도 아니고 고양이 뒷모습이 나올 수도 있고 고양이 얼굴이 나올 수도 있고 사진이 아니라 만화같은 캐리커쳐가 나올 수도 있습니다. 게다가 데모를 돌려보면 아시겠지만 비유적인 표현도 많습니다. 예를 들면 우주(outerspace)라는 개념을 선택하여야 한다면 망원경으로 찍은 별이나 은하 사진이 나올 수도 있고 아니면 달을 보여줄 수도 있습니다. 이미지 패턴인식에 뛰어나고 비유적 개념까지 유추할 수 있는 인공지능 연구자들이 꿈꾸는 아주 막강한 인공지능까지 탑재한 스파이웨어가 있다고 가정한 상태에서 상당한 데이타를 모아야 할겁니다. 입력 컴퓨터가 아닌 다른 통신 단말을 이용한 OTP까지 결합하면 양쪽(컴퓨터와 OTP 서버, OTP 클라이언트는 해킹당하지 않게 만든다는 게 가정이니 ... 그래서 핸드폰보다는 전용단말이 안전하죠. 고급기능을 가진 폰일수록 보안에 취약하지.)을 동시에 해킹한 상태에서 정보를 모아 패턴 분석을 하지 않는 한 유의미한 정보가 모이지 않고요.
보안 사기꾼들이 있다는 것을 일반인들에게 지적해야 합니다. 액티브 엑스를 사용해야만 키로그 후킹 방지가 가능하다는 식으로 인터넷 이곳저곳에 일반인들을 상대로 이상한 소리를 하고 돌아다니는 사람을 종종 보았는데 보안 사기꾼이라는 말 말고는 다른 좋은 표현을 저는 찾지 못하겠습니다. 입력 탐지를 방지하기 위한 다른 기술이나 방법론도 나와 있고 이와 같이 실제 도입 사례도 있는데 그런 걸 깡그리 무시하고 사기치고 다니는 거죠.
임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
imyejin 씀:화면 메모리
안타깝게도 이 말은 더 이상 사실이 아닙니다. 이미 스패머들이 CAPTCHA를 뚫기 위하여 다양한, 흔히 말하는 "집단지성"적인 방법을 사용하고 있으며 앞으로는 더더욱 보편화될 것으로 보입니다. 비단 인간을 사용한 공격을 제외한다 해도 상당한 수의 이미지가 필요할 것이고, 설령 이미지를 많이 구했다 하더라도 시간이 지나면 학습을 통해 공격 성공률이 올라갈테니 계속 바꿔 치워야 하죠. 마이크로소프트 리서치의 Asirra는 이런 류의 CAPTCHA 중 가장 큰 데이터셋을 가진 걸로 아는데(300만장 이상), 이미지 프로세싱을 사용한 공격이 나와 있습니다. -_-
"이상한 소리를 하고 돌아다니는 사람"이 혹시 제가 예상하는 그런 부류의 사람이라면 완전히 틀린 얘기라는 걸 지적하고 싶습니다. 뭐 아니어도 상관 없지만.
키로그라거나 그런 류의 후킹 방지를 위한 방법론은 크게 두 가지가 있습니다. 후킹을 못 하게 하거나, 아니면 후킹을 해 봤자 소용이 없게 하거나. 액티브엑스가 필요악이라고 주장하는 사람들의 기본적인 논리는 후자의 방법론에서 충분히 쓸만한 해답이 나오지 않았으며(앞에서 제가 많이 지적했지요?), 아예 후킹을 방치하고 사용자 책임으로 하기에는 사회적으로 어렵다는 것입니다. 후자의 방법론에서 충분히 쓸만한, 그러니까 cost-effective하고 사회적으로도 문제를 일으키지 않는 그런 게 나왔다면 그 사람들이 진짜로 사기꾼이겠지만, 그런 게 나오지 않은 상태에서 사기꾼이라고 몰아 붙인다면 좀 많이 아니지 않습니까?
(만약 후자의 방법론에서 충분히 쓸만한 해답이 나왔다고 정말로 생각하신다면, 댓글로 알려 주시면 확인해 보겠습니다. 만약 위의 공격이 feasible하다고 생각하지 않으신다면 시간 나는 대로 실제 사례를 조사해서 알려 드리죠. 제가 지금 조사를 할 만큼 시간이 남지 않아서...)
CAPTCHA 같이 이미지를
CAPTCHA 같이 이미지를 이용한 솔루션이 아니더라도 별도의 전용 단말을 이용한 OTP를 전송받아 키보드로 입력하는 경우에는 컴퓨터에 키보드 후킹을 해봤자 소용이 없잖습니까? 다음번에 쓸 수 있는 게 아니니까요. 이걸 cost-ineffective하다고 한다면 어쩔수 없지만요, 이것도 이미 쓰이고 있는 기술 중 하나입니다.
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
OTP도 MITM에 약한 모습
OTP도 MITM 공격에 약한 모습을 보여줬고 OTP 단말 배포를 위한 비용이 있습니다.
양자통신인가 뭔가를
양자통신인가 뭔가를 하면 이론적으로 가능하다는 그런 거 말고 현실적으로 MITM에 안 약한 통신방법이 있긴 한가요? OTP가 나았으면 나았지 다른 생쑈를 하는 것보단 훨씬 깔끔하게 문제를 해결할 수 있는걸로 압니다. 게다가 허구한날 액티브 엑스 맨날 업데이트하던데 그쪽 소프트웨어를 관리하는 회사들의 소프트웨어를 구입하는 건 비용으로 계산을 안하려 들더군요. 비용이라는 게 누구를 기준으로 한 무슨 비용인지 모르겠습니다.
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
OTP 배포 비용이 ActiveX
OTP 배포 비용이 ActiveX 프로그램 설치, 구매, 서비스 비용보다 비싸다는 데 걸겠습니다. 실제 계약 정보는 공개된 자료가 없어 객관적으로 확인할 길이 없지만 OTP 무료 배포에 적극적이지 않다는 점, 모든 은행들이 전부 보안 제품을 '강제' 구매하는데도 보안 업체 수익이 크게 나아지지 않는다는 점을 근거로 하고 있습니다.
아니면 인터넷뱅킹 고객이 명시적으로 비용을 지불하고 OTP 를 전부 사용하면 되겠죠.
모든 은행들이 전부
모든 은행들이 전부 보안 제품을 '강제' 구매하는데도 보안 업체 수익이 크게 나아지지 않는다는 점 ... <=== 예, 그렇습니다. 결국 이건 출혈경쟁으로 개발자들 착취한다는 말밖에 더됩니까? 제가 말하고자 하는 바는 이런 구조가 대체 누구 좋으라고 지금 이짓을 하고 있느냐는 거냐는 겁니다. 보안상 뛰어나지도 않고 액티브 엑스는 무조건 예를 누르도록 교육해 스파이웨어의 온상으로 유저들을 떠밀고 있으면서 말이죠.
OTP 클라이언트 구입 비용은 내게 하고 전기회로적으로는 분리되어 있지만 USB 스틱과 일체형으로 만든다든지 핸드폰에 들어가는 모바일 신용카드처럼 다른 이동통신기기와의 조합 등을 생각할 수 있고 방법이야 찾으면 얼마든지 있습니다. (솔까말 사실 다 필요없고 액티브 엑스를 법으로 강제해서 밀어붙일 때처럼 무식한 정신이라면 막무가내로 강제 못할 것도 없죠. 물론 이런 건 바람직하지 않다고 생각합니다.) OTP를 단말 강제하는 정책도 있을 수 있지만, 돈내면 안전하게 쓸 수 있고 돈 안내고 OTP 없이 쓰려면 개인이 알아서 보안프로그램이랑 방화벽 깔고 쓰라고 선택할 수 있도록 하는 정책도 있을 수 있고 방법이야 다양합니다.
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
현재도 OTP 가
현재도 OTP 가 3천원~1만원에 팔리고 있습니다.
문제는 그걸 쓰더라도 AX 는 필수라는 것입니다.
OTP 사용시 AX 를 걷어낼 수 있다면,
기꺼이 2만원이라도 지출 하겠습니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/
https://xenosi.de/
제가 우리나라 OPT
제가 우리나라 OPT 제품을 안써봐서 그런데, 왜 OTP 쓰는데 AX가 필수인가요?
설마, OTP 발급 페이지에도 액티브 엑스로 뭔가를 하게 되어있나요?
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
공인인증 및 전자
공인인증 및 전자 서명때문에 현 상황에서는 OTP쓰더라도 엑티브엑스를 없앨 수 없지요. 그걸 말씀하시는 듯?
온갖 참된 삶은 만남이다 --Martin Buber
그렇죠. 로그인을
그렇죠.
로그인을 위해서는 무조건 AX 공인인증서를 통해야 합니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/
https://xenosi.de/
OTP를 몇년 쓰고
OTP를 몇년 쓰고 며칠전 바떼리가 다 되서 더 작아진 걸로 교체도 받았습니다.
처음에 5천원 주고 받았고 교체할 때도 원래 5천원 내야 하는데 같이 간 형이 VIP라서 걍 공짜로 주더군요;;
작아서 휴대하기 쉽다고는 하지만 보안카드보다는 훨씬 휴대하기 어렵고 귀찮습니다.
그리고 다른데는 모르겠지만 미국 은행의 경우에는 고객의 편의를 위한 인터넷 뱅킹보다는 은행을 위한 인터넷 뱅킹인 것 같습니다.
AX가 어떻든 한국의 인터넷 뱅킹이 편하다고 생각합니다.
적어도 이체하고 나서 전화로 컨펌하고 그러는 일(항상 그런건 아니지만)도 없고 ATM입금할 때 봉투에 넣어서 일일이 세어서 계좌에 적용되는데 시간이 걸리는 경우도 없고요. 뭐 이건 인터넷 뱅킹 문제라기 보다는 시스템 자체의 문제이긴 하지만요;
맥만 쓰니까 AX문제는 모르겠고 신한은행은 자바로 된 맥용 클라이언트도 있어서 불편한 줄 모르겠습니다.
1만원짜리가
1만원짜리가 카드형입니다.>_<
신용카드같은거에요.
엄지손가락만한 두터운(?)건 3천원이네요.
우리은행 기준입니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/
https://xenosi.de/
키보드 입력을
키보드 입력을 후킹을 정도인데 ActiveX는 안전할 수 있나요? 전 그게 더 의심스러운데요? Key입력을 처리하는 것을 드라이버든
더 하위에서든 프로세싱이 된다면 얼마든지 훔칠 수 있는 것 아닌가요?
(보안종사자들 이야기를 꺼낸 이유는 ActiveX가 없이 할 수 있는 방법을 더 많은 사용자들이 불편없이 사용할 수 있도록 하는
방향으로 그들이 노력하지 않고 현재의 위치를 계속 방어하고 정당화하는데만 그들이 노력을 하고 있다고 보이기에 그런 글을
적었습니다만 말씀하신대로 그 자체가 도움이 되지는 않는다는데는 동의합니다. 감정적이라서...
하지만 본글에 있는대로 저런식의 대안에 대해서 끊임없이 찾고 노력하는 와중이라면 아마 저처럼 글을 적은 사람은 아마
거의 없지 않았을까요?)
원글님의 키로그
원글님의 키로그 후킹 방지 솔루션의 범위가 무엇인지 궁금하네요.
해당 솔루션이 설치된 사이트에만 접속할 때 키보드의 입력 없이
이를테면 zero base knowledge 와 같은 방식으로 인증을 하면
키 로그 방지 솔루션이 되는 것인지,
사용자가 자신의 머신을 사용하면서 키보드를 통해 입력하는
내용을 몰래 로깅해서 빼내는 기능을 막아주어야 키후킹 방지 솔루션인지요?
후자의 기능을 사용하려면 윈도우즈 시스템이라면 초보적인 레벨이라면
API후킹을, 제대로 하려면 드라이버 인스톨을 해야 하는데, ActiveX로
설치 프로그램을 설치 유도 해 줄 수도 있겠죠.
무엇을, 혹은 누구를 무슨이유로 사기꾼이라고 생각하시는지 모르겠습니다만
공개적인 글에서는 파급효과를 생각해 보셔서 단어 선택에 주의를 기울여 주시면
어떨까요?
-------------------------------------------------
$yes 4 8 15 16 23 42
-------------------------------------------------
$yes 4 8 15 16 23 42
여담입니다만....
아마도 알고 올리셨을거라 생각합니다만....
이미지 기반이야 사실 여기저기 많이 사용되기는 합니다만..
저는 차라리 저 회사에서 다루는 핸드폰기반이 더 안정적이 아닐까 생각됩니다만...
제일 좋은건 이미지 기반으로 가는것보다
키보드 후킹프로그램을 감지하는 것입니다.
그리고... 다들 정확하게 생각해봐야할것은..
다름이 아니라 보안은 모두다 activex가 아니라
activex는 launcher고 실제 실행되는 application은 client program이라는겁니다.
가능하면 다들 명확하게는 구분하고 토론을 진행하는게 나을거같네요..^.^
그리고 https는 통신의 protocol자체를 보호하는데는 분명 좋은 방법입니다만
client의 web browser의 메모리를 해킹한다던가....등의
client단에서 일어나는 일들까지 책임지는 방법이라는건 아니라는겁니다.
논의가 되는 부분은.. 기본적인 전제가 어디에 있는지를 확인해봐야 할거같은데요.
client에서의 해킹은 철저한 사용자의 문제인가...
아니면 client에서의 해킹을 서비스 제공자가 져야하는가....
이런점에 대한 문제같은데
우리나라는 서비스제공자가 client까지 책임져주려다보니
이런 논의들이 줄어들지 않는게 아닐까 합니다.
그리고.. 논점을 정확하게 생각해보자구요.
저도 activex를 좋아하지 않지만
activex를 무작정 싫어하는 이유는 짜는 사람의 문제도 있을뿐더러
뭔가 설치가 되는것도 다들 즐겨하지 않고
게다가 많은 환경을 지원하지 않기 때문인거죠.
그냥 짚어보자는 의미에서 한번 얘기해봅니다.
(요즘와서 왜 이런계열의 글이 자꾸 눈에 보이는걸까요...흙)
-----새벽녘의 흡혈양파-----
-----새벽녘의 흡혈양파-----
인용:논의가 되는
저와 비슷한 근본적인 정책적인 질문을 던지시는군요 :) 예전에 올렸던 댓글입니다 (http://kldp.org/node/72139 on 2006/07/21)
이기술은...
미국에서 많이 사용하는 방법입니다.
예전에 Bank of America Online 에서 카드 결제할때도 이미지가 뜨고 유저가 고르게 해놓았더군요.
하지만 만약 자신의 컴퓨터에 키로거가 깔려있다면 무용지물 아닐까요?
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.
http://jihwankim.co.nr
여러 프로그램 소스들이 있습니다.
필요하신분은 받아가세요.
액티브 엑스는 사장시킬려는 분위기인데
엑티브 엑스는 MS조차도 사장시킬려는 분위기이던데 왜 우리나라만 계속 고집하는지 모르겠군요
웹 기술의 발전으로 엑티브엑스를 사용하지 않고 대부분 구현이 가능하다고 들었습니다.
MS에서도 activex기반인 win32에서 닷넷플랫폼으로 갈아타고 있는 상황에서
좀 우리나라도 activex다음 대안을 생각해야 할 것같습니다.
그리고 위에 이미지를 사용하는 방법은 이미 오래전부터 사용된거 아닌가요?
우리나라도 사이트 회원 가입할 때 저런 방법을 쓰는것같던데
사실 좀 미묘한 문제기는 합니다만......-.-;
1. ms와 activex
activex는 ms가 100% 핸들링을 할 수 없는 기술이거든요.
시장의 요구에 의해 남겨놓기는 했습니다만..
ms의 입장에서 마음에 들기만 하는 녀석은 아니다보니....
2. ms에서 갈아타려는건?
web에서는 정확히 .net이 아니라 실버라이트입니다.
실버라이트로 대개의 기능은 구현이 되고
또 더욱 낫게 구현이 되는 기능들도 있다보니깐요...
우리나라에서 뭔가 방법을 생각한다고해도....
사실 세계적 vender가 없는이상 flash 아니면 silverlight등을 사용하는게
전부가 아닐까 합니다....-.-;
-----새벽녘의 흡혈양파-----
-----새벽녘의 흡혈양파-----
ActiveX는 COM객체를
ActiveX는 COM객체를 브라우저에서 다루기 위한 기술인데 MS가 그걸 포기한다든가 하는 일은 없을 겁니다.
실제로 Flash나 Silverlight 도 결국은 ActiveX형태로 동작하지 않던가요.
보안문제때문에 사용자 권한을 제한하거나 실행 환경을 제한하는 방향으로 가고 있고
여러가지 요구사항 때문에 없애거나 하는 일은 없을 겁니다.
--
익스펙토 페트로눔
--
익스펙토 페트로눔
Flash와 Silverlight같은
Flash와 Silverlight같은 기술이 웹에서 돌기 위해선 웹 클라이언트의 플러그인 기술이 필요하겠죠. ActiveX는 플러그인 기술치고 너무나 많은 권한을 부여하며 위험을 감수한다는 것에 있다고 생각됩니다. 조금 더 안전한 플러그인 인터페이스를 MS가 개발할 필요가 있죠.
우리가 사용하는 기술의 상당수는 플러그인 기반의 기술이 필요없는 데 굳이 사용하는 분야가 많습니다. 인터넷 뱅킹 부분도 역시 마찬가지라고 생각이 됩니다. 키보드 보안 문제나 게임의 실행 문제가 직접적인 웹 클라이언트의 플러그인 문제는 아닙니다.
- 죠커's blog / HanIRC:#CN
- 죠커's blog / HanIRC:#CN
음 궁금한게.. keyboard
음 궁금한게.. keyboard 보안을 할 때 USB keyboard 가 문제가 되던 것은 해결이 되었나요? 예전에 PS2 keyboard를 사용하지 않으면 무용지물이었던 적이 있었는데, 그 이후에 관심이 없다보니 이 문제가 해결이 되었는지 여부가 궁금하군요.
그건 안티 키보드
그건 안티 키보드 로거를 제공하는 업체마다 다르겠지요ㅋ 일부 블로그에서 안티 키로그 엉터리다~~ 라는 글이 간혹 보이는데, 이것이 제대로 해결되지 못했기 때문이거나, 좀 더 지능적인 키로거때문? 등등
아무튼 키보드는 일단 하드웨어적으로 너무 보안에 취약하기때문에 안티 키보드 로거는 그 정도 수준에서만의 보안을 약속할 뿐입니다.
오픈웹 구글그룹스는 키보드를 무용지물로 만드는 다른 방법(OTP + alpha)이 필요하다는 쪽으로 의견이 모아지는 것 같습니다.
오히려 자바스크립트 스크린 키보드는 키보드를 무용지물로 만드는 대표적인 예인데, 이것은 스크린 로거라던가 마우스 이벤트 로거 등등을 차단해야 하고,
키보드에 비해 마우스는 접근성이 현저히 떨어지죠.
온갖 참된 삶은 만남이다 --Martin Buber
그런데 비밀번호는 아닌듯
물론, 이 방법은 "비밀번호"와는 무관한 것 같습니다.
비밀번호는 말그대로 이용자만이 아는 어떤 정보라야 되는데, 선택해야할 이미지를 화면에 제시하고, 그중에 무엇을 고르라는 것 가지 제시되면, 화면을 볼 수 있는 자라면 누구든지 하라는대로 하면 되기 때문입니다.
아마, 이 단계에 오기 전에, 일종의 authentication 관문을 두고, 그 관문을 통과한 자에 한하여 이런 그림을 보여주고, 선택하도록 하는 맥락에서 사용될 수는 있겠네요. 즉, authentication 과정에서 static password 를 사용하는 상황을 가정하면, 이 과정은 keylogger 로 공격가능합니다. 그러나, 이미지 선택과정은 keylogger 로 공격하기 어려워 지겠지요.
아무런 authentication 없이 이미지만 선택하라는 것은 CAPTCHA 이상도, 이하도 아닌 것으로 생각합니다. 즉, machine 이 아니라, 눈과 손이 있는 사람이라는 점을 확인하는 것일 뿐, 그 자가 과연 바로 그 당사자인지를 확인(authentication)하는 기능을 수행할 수는 없겠지요.
실제로 CAPTCHA 는 여러 종류가 있는데 그중 순전히 이미지를 고르라는 것도 있더군요. http://www.webdesignbeach.com/beachbar/ajax-fancy-captcha-jquery-plugin
http://openweb.or.kr
http://openweb.or.kr
이미지에 해당하는 개념을 비밀키로 가지고 있도록 시스템을 구성했다는 설명을 들었습니다
abcdefgh 이렇게 8자 패스워드 같은 것 대신 고양이,달,새,배,바위,핸드폰,모자,방망이 뭐 이런 식으로 이런 8개의 개념을 비밀키로 사용하는 방식으로 구성하기도 했다고 합니다. 그러니까 이미지를 선택하라는 메시지를 웹에 보여주는 게 아니라 유저가 비밀번호처럼 사용하는 것이죠. 비밀번호와 무관한 곳에 응용할 수도 있고 비밀번호 대용으로도 응용할 수 있는 기술이기도 합니다.
[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin
자진삭제합니다.
자진삭제합니다.
근데 항상 생각한게,
근데 항상 생각한게, OTP 계열로 나가면 범국민적 해킹방법인 "엿보기"에 더 취약해지지 않을까요 = ㅅ=);;;
진지합니다;;;
안써봐서 확답은
안써봐서 확답은 못하지만,
OTP 에 의해 생성된 숫자열은 1분간만 유효하다고 알고 있습니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇 개 안돼요~
http://xenosi.de/
https://xenosi.de/
OTP 종류마다
OTP 종류마다 다릅니다. 유효기간이 있는 것도 있고, 없는 것도 있습니다.
참고로, World of Warcraft에서 해킹 방지를 위해서 OTP를 도입했지요. 보안카드도 있는데 이건 그리 믿음직스럽지 못하고..
어쨌든 OTP 를 기계를 주거나 (보안 토큰) 아니면 핸드폰으로 어플리케이션을 받아서 실행(모바일 인증기) 하게 되어있습니다.
일반적으로 30-60초의
일반적으로 30-60초의 유효기간을 가집니다. 현실적으로 옆에서 OTP를 보았으며, 비밀번호를 알고 있으며. 30초 내에 접속할 수 있어야 겠지요.
- 죠커's blog / HanIRC:#CN
- 죠커's blog / HanIRC:#CN