Ubiquitous-One Time Password 즉, 1회용 비밀번호를 뜻하는 것으로, 고유한 난수를 자동적으로 발생(시간을 키로 하는 난수값)시켜, 사용자 구분과 비밀번호 인증을 한꺼번에 대신할 수 있는 번호를 의미함.
난수라는 것만 알지 정확한 방식은 저도 잘..
핸드폰 서비스가 정지되면 안되는거 보면 특정 신호를 쏴서 핸드폰에서 시간, 핸드폰번호 등을 통해 난수를 발생시킨다고 알고 있습니다.
2008.03.31 15:41:02 (*.36.230.141)
neolith
신호 쏘는거랑은 아무 상관없습니다.
비대칭 공개키의 원리는, 큰 두 솟수를 곱하는 것은 쉽지만, 곱해진 수를 인수분해하는 것은 어렵다는 수학적 특성을 이용한 것입니다.
시간을 이용한 공개키의 경우, 시간으로부터 알게된 값과 비밀번호 혹은 장비의 일련번호로 부터 알게된 값을 조합해서 만든 키 값을 유저가 입력하도록 만드는 방식입니다.
키값을 비밀번호로 쓸 수 있지만, 한정된 시간 뿐이고, 기계를 분실해서 누군가가 그 기계를 뜯어본다고 해도, 비밀번호 그 자체는 알 수가 없기 때문에 비밀번호가 누설되는 위험을 막을 수 있습니다.
시간은 1분이나 30초 단위로 바뀌게 하는 것이 보통입니다
2008.03.31 15:46:56 (*.36.230.141)
neolith
옛날에는 웹에서 아이디와 비번을 입력해서 로그인을 할 때, 유저가 타이핑한 아이디와 비번이 그대로 네트워크를 통해서 서버로 날아가는 방식을 썼었는데,
이더넷 네트워크라는게, 한 컴퓨터로부터 나온 패킷이 같은 네트워크 안에 있는 컴퓨터가 쉽게 알 수 있기 때문에 비번이 노출될 위험이 컸습니다.
그래서 요즘에는 웹에서 로그인을 할 때도, 그 암호를 그대로 보내지 않고 암호를 일정 알고리즘을 써서 한번 꼬은 다음에 꼬아진 암호를 보내죠. 서버에서 비번을 확인할 때에도, 서버가 알고 있는 꼬아진 비번과 유저가 보낸 꼬인 비번을 비교하는 식이기 때문에
서버의 디비가 누출되더라도 암호 자체가 누설되진 않습니다. 다만 유명한 단어의 경우, 미리 사전을 만들어놓을 수가 있기 때문에, 암호에 특수문자나 숫자를 많이 섞으라고 권장하곤 하죠.
PS1. 참고로 예전에 아는 프로그램 중에 네트워크 감시하는 프로그램이 있었는데, 옆 컴퓨터에서 msn 하는 내용을 그대로 볼 수 있더라는 것을 확인하고 꽤 충격을 받기도..
PS2. 이더넷 네트워크는 각각의 컴퓨터끼리 서로 외치기를 하는 것과 마찬가지입니다. 자기가 관심있는 외치기만 듣는 것으로 해서 컴퓨터간 연결이 된것처럼 보이게 하는 것이지요. 자기가 관심없는 외치기까지 들어보는게 네트워크 감시 프로그램의 원리
2008.03.31 22:54:29 (*.29.235.123)
neolith
아 근데 다음 번호로 스킵할 수 있다는 걸 못 봤네요. 정말 교신하는건가?
2008.04.01 00:07:35 (*.120.195.167)
EstherLaNoir
친구랑 얘기하면서 생각한건데..다음숫자를 불러오는순간 일단 서버로 전 숫자데이터를 삭제하라는 신호가 초고속으로 전달된후 상대적으로 덩치가 큰 숫자데이터를 전송하는게 아닐까 하는...
아아..내일 회사에 문의해봐야겠네요''별거 아닌데 엄청 궁금해지네요...
2008.04.01 00:45:48 (*.44.241.93)
1ststory
요는 서버와 프로그램간의 패스워드 규칙만 맞으면 되죠.
난수를 결정하는 규칙을 놓고 Seed값들만 결정하고 나머지는 특정 규칙에 의해서 값이 바뀌는 형식이라면 여러가지 숫자데이터를 전송할 필요없이 스킵했다는 패킷하나만 보내도 되는 겁니다.
2008.04.01 16:05:14 (*.252.62.6)
Mandami
비밀번호를 쓰는 까닭은 비밀번호를 아는 사람에게만 메세지를 전송하기 위함입니다. 그런데 한 비밀번호를 여러번 사용하면 아무래도 노출되기 쉽겠죠.
그래서 나온 것이 OTP입니다. OTP는 굉장히 많은 수의 비밀번호를 미리 사용자에게 줍니다. 그리고 그 중 하나를 특정 시간, 또는 특정 시도에만 한번 사용하고 버립니다. 비밀번호를 한번 사용하고 버리기 때문에 해킹에 의해 비밀번호가 노출되더라도 다음번 비밀번호를 알 수 없어 안전합니다.
2008.04.02 19:23:04 (*.99.132.11)
신의지문
저는 한게임 otp쓰는데 이건 다음번호는 스킵은 안되던데..
대신 인증키 갱신이라는게잇지만 주민번호를 쓰고 서버에 접속해야하는걸보면
키값이 바껴 패턴이 바뀌는게 아닐까 생각되요