By: adminPosted on

2 단계 인증이란 무엇이며 왜 사용됩니까?

2 단계 인증 또는 이중 요소 인증이라고도 하는 2 단계 인증은 사용자가 자신을 확인하기 위해 두 가지 다른 인증 요소를 제공하는 보안 프로세스입니다.

사용자의 자격 증명과 사용자가 액세스할 수 있는 리소스를 더 잘 보호하기 위해 구현됩니다. 2 단계 인증은 사용자가 하나의 요소(일반적으로 암호 또는 암호)만 제공하는 단일 요소 인증에 의존하는 인증 방법보다 높은 수준의 보안을 제공합니다. 이중 인증 방법은 사용자가 암호를 첫 번째 요소로 제공하고 두 번째 다른 요소(일반적으로 보안 토큰 또는 지문 또는 얼굴 스캔과 같은 생체 인식 요소)를 제공하는 데 의존합니다.

이중 인증은 피해자의 암호가 해킹 되더라도 암호만으로는 인증 검사를 통과하기에 충분하지 않기 때문에 공격자가 사람의 장치 또는 온라인 계정에 액세스하기가 더 어려워 져서 인증 프로세스에 추가 보안 계층을 추가합니다.

2 단계 인증은 민감한 시스템 및 데이터에 대한 액세스를 제어하는 데 오랫동안 사용되어 왔습니다. 온라인 서비스 제공 업체는 암호 데이터베이스를 훔치거나 사용자 암호를 얻기 위해 피싱 캠페인을 사용한 해커가 사용자의 자격 증명을 사용하지 못하도록 보호하기 위해 점점 더 많은 정보를 사용하고 있습니다.

이 문서는

의 일부입니다. 가이드

  • 포함:
  • 효과적인 아이덴티티 아키텍처를 구축하는 방법
  • 4 필수 아이덴티티 및 액세스 관리 모범 사례
  • 5 보안의 미래를 형성하는 아이덴티티 트렌드

인증 요소란 무엇입니까?

여러 가지 방법으로 둘 이상의 인증 방법을 사용하여 인증할 수 있습니다. 현재 대부분의 인증 방법은 기존 암호와 같은 지식 요소에 의존하는 반면 이중 인증 방법은 소유 요소 또는 내부 요소를 추가합니다.

컴퓨팅에 대한 대략적인 채택 순서로 나열된 인증 요소는 다음과 같습니다:

  • 지식 요소는 암호,개인 식별 번호(핀)또는 다른 유형의 공유 비밀과 같이 사용자가 알고있는 것입니다.
  • 소유 요소는 인증 요청을 승인하기 위해 신분증,보안 토큰,휴대폰,모바일 장치 또는 스마트 폰 앱과 같이 사용자가 가지고있는 것입니다.
  • 내재 요인이라고도하는 생체 인자는 사용자의 물리적 자아에 내재 된 것입니다. 이들은 지문 판독기를 통해 인증 된 지문과 같은 물리적 특성으로부터 매핑 된 개인적 특성 일 수 있습니다. 일반적으로 사용되는 다른 내재 요인으로는 얼굴 및 음성 인식 또는 키 입력 역학,보행 또는 음성 패턴과 같은 행동 생체 인식이 있습니다.
  • 위치 요소는 일반적으로 인증 시도가 수행되는 위치로 표시됩니다. 이는 특정 위치 내의 특정 장치에 대한 인증 시도를 제한함으로써 또는 소스 인터넷 프로토콜 주소 또는 사용자의 이동 전화 또는 다른 장치로부터 파생된 글로벌 포지셔닝 시스템(지위)데이터와 같은 일부 다른 지리적 위치 정보에 기초하여 인증 시도의 지리적 소스를 추적함으로써 시행될 수 있다.
  • 시간 요소는 사용자 인증을 로그온이 허용되는 특정 시간 창으로 제한하고 해당 창 외부의 시스템에 대한 액세스를 제한합니다.

2 단계 인증 방법의 대부분은 처음 세 가지 인증 요소에 의존하지만,보안이 강화된 시스템은 다중 요소 인증을 구현하는 데 사용할 수 있습니다.

이중 인증은 어떻게 작동합니까?

이중 인증 사용은 특정 응용 프로그램 또는 공급업체에 따라 다릅니다. 그러나 이중 인증 프로세스에는 동일한 일반 다단계 프로세스가 포함됩니다:

  1. 응용 프로그램 또는 웹 사이트에서 로그인하라는 메시지가 표시됩니다.
  2. 사용자가 알고 있는 정보(일반적으로 사용자 이름과 암호)를 입력합니다. 그런 다음 사이트의 서버가 일치하는 항목을 찾아 사용자를 인식합니다.
  3. 암호가 필요하지 않은 프로세스의 경우 웹 사이트에서 사용자에게 고유한 보안 키를 생성합니다. 인증 도구가 키를 처리하고 사이트 서버에서 키를 확인합니다.
  4. 사이트는 사용자에게 두 번째 로그인 단계를 시작하라는 메시지를 표시합니다. 이 단계는 여러 가지 형태를 취할 수 있지만 사용자는 생체 인식,보안 토큰,신분증,스마트 폰 또는 기타 모바일 장치와 같이 자신이 가질 수있는 것이 있음을 증명해야합니다. 이것은 내재 또는 소유 요소입니다.
  5. 그런 다음,사용자는 4 단계 동안 생성된 일회성 코드를 입력해야 할 수 있다.
  6. 두 가지 요소를 모두 제공 한 후 사용자는 인증되고 응용 프로그램 또는 웹 사이트에 대한 액세스 권한이 부여됩니다.

이중 인증의 요소

이중 인증의 한 형태이다. 기술적으로는 시스템이나 서비스에 액세스하려면 두 가지 인증 요소가 필요할 때마다 사용됩니다. 그러나 동일한 범주의 두 가지 요소를 사용하는 것은 2 파를 구성하지 않습니다. 예를 들어 암호와 공유 암호 요구는 모두 기술 자료 인증 요소 유형에 속하므로 여전히 보안 관리자로 간주됩니다.

2 파
2 파의 두 요소를 묘사한 그림에는 세 가지 잠재적 인증 요소 중 두 가지가 포함됩니다.

사용자 이름과 암호가 가장 안전하지 않습니다. 암호 기반 인증의 한 가지 문제점은 강력한 암호를 만들고 기억하기 위해 지식과 노력이 필요하다는 것입니다. 암호는 로그인 자격 증명이 포함 된 부주의하게 저장된 스티커 메모,오래된 하드 드라이브 및 사회 공학 악용과 같은 많은 내부자 위협으로부터 보호해야합니다. 암호는 또한 무차별 대입,사전 또는 무지개 테이블 공격을 사용하는 해커와 같은 외부 위협에 노출됩니다.

충분한 시간과 자원이 주어지면 공격자는 일반적으로 암호 기반 보안 시스템을 위반하고 회사 데이터를 훔칠 수 있습니다. 암호는 저렴한 비용,구현 용이성 및 친숙 함 때문에 가장 일반적인 형태로 남아 있습니다.

여러 도전-응답 질문은 구현 방법에 따라 더 많은 보안을 제공 할 수 있으며 독립형 생체 인식 검증 방법도보다 안전한 방법을 제공 할 수 있습니다.

2 단계 인증 제품 유형

토큰부터 무선 주파수 식별 카드,스마트폰 앱에 이르기까지 2 단계 인증 제품을 구현하기 위한 다양한 장치와 서비스가 있습니다.

이중 인증 제품은 두 가지 범주로 나눌 수 있습니다:

  1. 그리고
  2. 해당 토큰을 올바르게 사용하는 사용자에 대한 액세스를 인식하고 인증하는 인프라 또는 소프트웨어입니다.

인증 토큰은 열쇠 고리 또는 스마트 카드와 같은 물리적 장치이거나 인증을 위해 핀 코드를 생성하는 모바일 또는 데스크톱 앱으로 소프트웨어에 존재할 수 있습니다. 이러한 인증 코드(일회성 암호라고도 함)는 일반적으로 서버에서 생성되며 인증 장치 또는 앱에서 인증으로 인식 할 수 있습니다. 인증 코드는 특정 장치,사용자 또는 계정에 연결된 짧은 시퀀스이며 인증 프로세스의 일부로 한 번만 사용할 수 있습니다.

조직에서는 토큰으로 인증하는 사용자에 대한 액세스를 허용,처리 및 허용 또는 거부할 시스템을 배포해야 합니다. 이 서버 소프트웨어 또는 전용 하드웨어 서버의 형태로 배포뿐만 아니라 타사 공급 업체에 의해 서비스로 제공 될 수있다.

인증된 사용자에게 사용자가 승인한 모든 리소스와 해당 리소스만 액세스할 수 있도록 하는 것이 중요합니다. 따라서 인증 시스템을 조직의 인증 데이터와 연결하는 것이 2 개의 핵심 기능입니다. 마이크로 소프트는 마이크로 소프트 계정으로 작동뿐만 아니라 마이크로 소프트 액티브 디렉토리,푸른 광고 또는 빠른 아이덴티티 온라인(스누피)를 통해 사용자를 인증 할 수 있습니다 윈도우 안녕하세요 통해 윈도우 10 에서 2 파 지원 조직에 필요한 인프라의 일부를 제공합니다.

2 개의 하드웨어 토큰이 작동하는 방법

2 개의 하드웨어 토큰은 인증에 대한 다양한 접근 방식을 지원합니다. 이 인증서는 확인되지 않았거나 승인되지 않은 서버가 아닌 당사 웹 서버로 귀하의 개인 정보가 안전한(암호화된)형태로 전송될 수 있도록 보장합니다. 유비키 토큰은 유비코 주식회사가 판매합니다.,팔로 알토에 본사를 둔,캘리포니아.2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 12 월 1 일,2015 년 유비키는 유비키를 생성하여 필드에 들어간다.

처음 12 문자는 계정에 등록된 보안 키를 나타내는 고유 아이디입니다. 나머지 32 자에는 초기 계정 등록 중에 설정된 장치 및 유비코의 서버에만 알려진 키를 사용하여 암호화된 정보가 들어 있습니다.

인증 확인을 위해 온라인 서비스에서 유비코로 전송됩니다. 유비코 인증 서버는 이 사용자에게 적합한 토큰임을 확인하는 메시지를 보냅니다. 2 파가 완성되었습니다. 암호는 지식 요소이고 유비키는 소유 요소라는 두 가지 인증 요소를 제공합니다.모바일 장치를 위한 2 단계 인증

스마트폰은 다양한 2 단계 인증 기능을 제공하므로 기업은 자신에게 가장 적합한 것을 사용할 수 있습니다. 일부 장치는 지문을 인식하고 얼굴 인식 또는 홍채 스캔을 위해 내장 카메라를 사용하고 음성 인식을 위해 마이크를 사용할 수 있습니다. 위치 확인 기능을 갖춘 스마트 폰은 추가 요인으로 위치를 확인할 수 있습니다. 음성 또는 단문 메시지 서비스(문자)도 대역 외 인증을위한 채널로 사용될 수 있습니다.

신뢰할 수 있는 전화 번호를 사용하여 문자 메시지 또는 자동 전화로 인증 코드를 받을 수 있습니다. 사용자는 모바일 2 에 등록하려면 신뢰할 수 있는 전화 번호를 하나 이상 확인해야 합니다.

애플 이오스,구글 안드로이드,윈도우 10 은 모두 2 파를 지원하는 앱을 보유하고 있으며,휴대 전화 자체가 소유 요소를 만족시키는 물리적 장치 역할을 할 수있다. 앤 아버에 본사를 둔 듀오 보안,미시간 주. 2018 년 시스코에서 23 억 5 천만 달러에 구입 한 플랫폼은 고객이 신뢰할 수있는 장치를 사용할 수있는 플랫폼을 보유하고 있습니다. 듀오의 플랫폼은 먼저 모바일 장치도 인증 요소로 신뢰할 수 있는지 확인하기 전에 사용자가 신뢰할 수 있음을 설정합니다.

인증자 앱은 문자,음성 통화 또는 이메일을 통해 인증 코드를 얻을 필요성을 대체합니다. 예를 들어,구글 인증자를 지원하는 웹 사이트 또는 웹 기반 서비스에 액세스하기 위해,사용자는 자신의 사용자 이름과 암호를 입력-지식 요소. 그런 다음 6 자리 숫자를 입력하라는 메시지가 표시됩니다. 대신 문자 메시지를 수신하기 위해 몇 초를 기다릴 필요없이,인증은 그들에 대한 번호를 생성합니다. 이 숫자는 30 초마다 변경되며 모든 로그인마다 다릅니다. 올바른 번호를 입력하면 사용자는 검증 프로세스를 완료하고 올바른 장치(소유권 요소)의 소유를 증명합니다.

이 제품 및 기타 2 개 제품은 2 개를 구현하는 데 필요한 최소 시스템 요구 사항에 대한 정보를 제공합니다.

생체 인식 인증은 모바일 장치에서 점점 더 인기있는 옵션이되었습니다. 푸시 알림은 사용자 장치의 보안 앱에 직접 알림을 보내 사용자에게 인증 시도가 발생했음을 알림으로써 사용자를 확인하는 암호 없는 인증입니다. 사용자는 인증 시도의 세부 정보를 볼 수 있으며 일반적으로 한 번의 탭으로 액세스를 승인 또는 거부할 수 있습니다. 사용자가 인증 요청을 승인하면 서버는 해당 요청을 받고 웹앱에 사용자를 로그인합니다.

푸시 알림은 인증 시스템에 등록된 장치(일반적으로 모바일 장치)가 사용자의 소유임을 확인하여 사용자를 인증합니다. 공격자가 장치를 손상시키는 경우 푸시 알림도 손상됩니다. 푸시 알림은 중간자 공격,무단 액세스 및 사회 공학 공격과 같은 위협을 제거합니다.

푸시 알림은 다른 형태의 인증 방법보다 더 안전하지만 여전히 보안 위험이 있습니다. 예를 들어 사용자가 푸시 알림을 받을 때 승인을 탭하는 데 사용되기 때문에 사기성 인증 요청을 실수로 승인할 수 있습니다.

이중 인증은 안전합니까?

2 단계 인증으로 보안이 향상되지만 2 단계 인증 방식은 가장 약한 구성 요소만큼 안전합니다. 예를 들어 하드웨어 토큰은 발급자 또는 제조업체의 보안에 따라 다릅니다. 2011 년 보안회사가 보안 인증 토큰이 해킹당했다고 보고했을 때 발생한 2 단계 시스템의 가장 유명한 사례 중 하나입니다.

계정 복구 프로세스 자체는 종종 사용자의 현재 암호를 재설정하고 사용자가 다시 로그인 할 수 있도록 임시 암호를 이메일로 전송하기 때문에 이중 인증을 무효화하는 데 사용되는 경우에도 전복 될 수 있습니다. 클라우드플레어의 최고 경영자의 비즈니스 지메일 계정은 이런 방식으로 해킹되었다.

문자메시지 기반 2 기가바이트는 저렴하고,구현하기 쉽고,사용자 친화적이라고 여겨지지만,수많은 공격에 취약하다. 디지털 아이덴티티 가이드라인: 휴대 전화 번호 이동 공격,휴대 전화 네트워크에 대한 공격 및 문자 메시지를 가로 채거나 리디렉션하는 데 사용할 수있는 맬웨어로 인해 너무 취약합니다.

인증의 미래

더 높은 보안이 필요한 환경에서는 일반적으로 지문 스캔 또는 성문과 같은 생체 인식 데이터와 함께 사용되는 물리적 토큰 및 암호를 소유하는 3 단계 인증에 관심이 있을 수 있습니다. 지리적 위치,장치 유형 및 시간 등의 요소도 사용자의 인증 또는 차단 여부를 결정하는 데 사용됩니다. 또한,사용자의 키스트로크 길이,타이핑 속도 및 마우스 움직임과 같은 행동 생체 인식 식별자들도 실시간으로 신중하게 모니터링되어 로그인 동안 단일 일회성 인증 체크 대신에 연속적인 인증을 제공할 수 있다.

인증의 주요 방법으로 암호에 의존하는 것은 일반적이지만 회사와 사용자가 요구하는 보안 또는 사용자 경험을 더 이상 제공하지 않는 경우가 많습니다. 또한 암호 관리자 및 암호 관리자와 같은 기존 보안 도구는 사용자 이름과 암호의 문제를 해결하려고 시도하지만 기본적으로 오래된 아키텍처 인 암호 데이터베이스에 의존합니다.

따라서 많은 조직에서 암호 없는 인증으로 전환하고 있습니다. 생체 인식 및 보안 프로토콜과 같은 방법을 사용하면 사용자가 암호를 입력하지 않고도 응용 프로그램에서 자신을 안전하게 인증 할 수 있습니다. 비즈니스에서,이 직원이 암호를 입력 할 필요없이 자신의 작업에 액세스 할 수 있으며 여전히 모든 로그인에 걸쳐 전체 제어를 유지 의미합니다. 예를 들어,분산 된 신원 또는 자기 주권 적 정체성을 통한 블록 체인의 사용은 전통적인 인증 방법의 대안으로 주목을 받고 있습니다.

답글 남기기

이메일 주소는 공개되지 않습니다.