주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

OTP 113

정보자산의 보안 강화를 위한 3단계 인증의 적용방안: 추가 인증, 비밀번호 대체, 새로운 비밀번호

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

PC, Notebook, 개방형OS 등 Desktop의 보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -별도의 추가적인 인증서버가 필요 없는 플러그인 가능한 모듈(PAM, Pluggable Authentication Module) 인증 방식의 3단계 인증 체계 지원 -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공(이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공(모바일, 응급 일회용 인증키 입력, Web OTP 등) -데스크탑(윈도우계열, 개방형OS, 리눅스 계열, 제로 및 씬 클라이언트 환경 등)에 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로..

일회용 인증키(OTA, One-Time Authentication key)가 생성하지 못하고 다음과 같은 오류 메시지 발생.

현상 : 일회용 인증키가 생성하지 못하고 다음과 같은 오류 메시지 발생. java.lang.NullPointerException: Attempt to invoke virtual method 'byte[] java.lang.String.getBytes()' on a null object reference at com.barokey.barokey.str2Hex(barokey.java:241) at com.barokey.barokey.generateKEYP(barokey.java:293) at com.baro.pam.info.PAMCreateACT.onAuthKey(PAMCreateACT.java:223) at com.baro.pam.info.PAMCreateACT.getIntentData(PAMCreateA..

현재 정보자산의 보안강화를 위하여 2차 인증이 어느 정도로 적용되어 있는가?

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 보안 업계에서 몇 년 전부터 유행하기 시작한 말이 있다. 아이덴티티는 새로운 외곽(identity is the new perimeter)이라는 말이다. 너무나 많은 사용자가, 더 많은 장비들을 가지고, 다양한 장소에서 회사 네트워크에 접속하는 게 일상인 시대에 보안강화를 위한 정보자산의 인증 절차를 강화하는 것만큼 중요한 건 없다. 그리고 현재 정보자산의 보안강화를 위하여 가장 강력하다고 여겨지는 최상의 방법은 2차 인증(추가 인증)이다. 가장 민감한 부분과 데이터에 2차 인증 기능을 마련하고, 각종 접근점에 2차 인증 옵션을 걸어두는 건 그리 어려운 일이 아니다. 하지만 대단히 효과적이다. 구글이 지난 해(2021..

정보자산의 보안강화를 위한 3단계 인증 솔루션인 BaroPAM 솔루션의 소개 동영상

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 다요소 인증(MFA, Multi-Factor Authentication)은 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증한다. 또한, 다요소 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behav..

평소에 자주 들었던 BaroPAM 솔루션과 관련된 질문과 답변

질문) 일회용 인증키는 처음 듣습니다. 도대체 어떤 것 입니까? 답변) 단방향 암호 기반의 해시 알고리즘에 따라 매 생성주기마다 변경되는 추정 할 수 없는 인증 키(OTA key, One-Time Authentication key)를 말합니다. 한마디로 "동일한 알고리즘, 동일한 키, 동일한 시간(UTC)"이면 생성모듈이든 검증 모듈이든 서로 통신을 하지 않아도 동일한 일회용 인증키를 생성합니다. 질문) 별도의 인증서버가 필요 없는게 맞습니까? 답변) 맞습니다. BaroPAM 솔루션은 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반하기 때문에 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 솔루션을 도입할 ..

Attempt to invoke virtual method 'byte[] java.lang.String.getBytes()' on a null object reference

현상 : 일회용 인증키가 생성하지 못하고 다음과 같은 오류 메시지 발생. java.lang.NullPointerException: Attempt to invoke virtual method 'byte[] java.lang.String.getBytes()' on a null object reference at com.barokey.barokey.str2Hex(barokey.java:241) at com.barokey.barokey.generateKEYP(barokey.java:293) at com.baro.pam.info.PAMCreateACT.onAuthKey(PAMCreateACT.java:223) at com.baro.pam.info.PAMCreateACT.getIntentData(PAMCreateA..

Google OTP 적용의 위험성

Google OTP 또는 Google Authenticator는 시간 기반 일회용 비밀번호 알고리즘(TOTP)와 HMAC 기반 일회용 비밀번호 알고리즘(HOTP)를 사용하여 다중 인증 서비스를 구현하는 소프트웨어 토큰의 하나로, 구글의 모바일 애플리케이션 사용자들을 인증하기 위해 사용된다. Google OTP는 제품화된 인증솔루션이 아니다. 이는 여러 보안취약점을 제거한 여타 유상 솔루션에 대비하여 많은 취약점을 가지고 있을 수밖에 없고, 구글에서도 Google OTP를 실제 서비스에 적용하는 것은 위험하다라고 인터뷰 한적이 있다. 하지만 무상이라는 이유로 암호화폐 거래소, 게임사 등에서 2차 인증 수단으로 적용했고, 이미 여러 해킹 사례가 발생하여 피해를 입은 사용자들이 많다. 물론 Google에서는 ..

다중 인증(MFA)의 사용을 꺼리는 이유

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 다중 인증(MFA, Multi-Factor Authentication)은 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증한다. 또한, 다중 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behavio..