정보보안기사 필기 - 접근통제 (2)

2. 사용자 인증 - 지식 기반, 소유 기반, 개체 특성 기반

 

지식 기반 - 알고 있는 것 (What you know)

• 장점 : 다양한 분야에서 사용 가능, 검증 확실성, 관리비용 저렴
• 단점 : 패스워드 망각, 추측 가능, 사회 공학 공격에 취약

  패스워드 - Fixed P/W, OTP (One Time Password)

• Fixed P/W : 1) P/W를 평문형태로 전송하여 DB와 비교 2) P/W의 해시를 저장 3) P/W에 솔트 적용
• OTP : 동적 P/W, 인증 목적을 위해 한번만 유효함 (재전송 공격 방어 가능), 1) P/W의 목록 미리 합의 2) P/W 순차적으로 업데이트 3) 해시를 이용해 순차적으로 업데이트된 P/W 생성

문제점 : 개인정보 사용 시 추측 쉬움, NTCrack, John the ripper 툴 사용 가능, 무작위로 생성 시 기억하기 어려움

• 인식 P/W : 개인적인 경험과 관련된 질문과 답으로 구성 (ex.가장 존경하는 인물은?)
• OTP : 동기식, 비동기식 방식, 사전 공격, 재생공격, 스니핑 등에 안전, 전용기기 필요
• 패스 프레이즈 : 가상 P/W로 변환 (ex. d73hf9@9fh)

보안 정책 : 최소 8자리 이상 문자, 4가지 유형 문자 조합, 로그인 횟수 제한, 같은 P/W 재사용 금지..

 

개체 특성 기반 (생체 인증) - 자신을 증명하는 것 (What you are)

• 지문, 홍채, 정맥, 음성, 얼굴 등 생체적 특성을 이용, 사전에 DB에 생체 정보 (생체 템플릿)를 등록
• 장점 : 사용 편의, 잊을 수 없고, 손실되지 않고, 도난 당하지 않음, 위조 어려움
• 단점 : 판단이 모호할 수 있음, 관리 어려움, 임계치 설정 어려움

평가항목 - 보편성, 유일성, 지속성, 획득성, 성능, 수용성, 반기만성

• 보편성 : 모든 사람이 가지는 특징인지 (홍채, 지문..)
• 유일성 : 동일한 특징을 가진 타인은 없는지 (홍채, 지문..)
• 지속성 : 시간에 따른 변화가 없는 특징인지 (목소리, 얼굴은 변할 가능성 O)
• 획득성 : 정량적으로 측정 가능한 특성인지 (DB에 저장 시)
• 성능 : 높은 정확성을 얻을 수 있는지 (DB와 비교 시)
• 수용성 : 사용자의 거부감은 없는지 (피 뽑는거 X)
• 반기만성 : 고의적인 부정사용으로부터 안전한지

생체인증 정확도 - 오거부율 (FRR), 오인식율 (FAR), 교차 오류율 (CER)

FRR (False Rejection Rate) : 인가된 사용자가 인식되지 않는 것, 민감도가 높으면 작은 차이를 크게 인식해 실제 사용자를 아니라고 판정하는 경우 발생, FRR이 높으면 보안수준이 높음

FAR (False Acceptance Rate) : 비인가된 사용자가 인식되는 것, 민감도가 낮으면 제대로 판별하지 못해 아닌 경우를 실제 사용자라고 판정하는 경우 발생, FAR이 낮아야 보안수준이 높음

CER (Crossover Error Rate) : FRR과 FAR이 일치하는 지점, 보통 이 지점을 장치 성능을 측정하는 지표로 사용, 낮을수록 정확