2024. 6. 12. 14:36ㆍ컴퓨터 보안
3가지의 인증 방식이 존재합니다
1. 지식 기반 인증 => 비밀번호를 묻는 방식
=> 장점: 다른 인증 방식에 비해 설계가 간단해 비용 절감을 할 수 있습니다.
=> 단점: 타 인증 방법에 비해 보안 강도가 낮습니다.
=> 대부분의 사람들은 한 가지 비밀번호를 여러 계정에 사용하고 암기하기 쉬운 비밀번호를 사용하기 때문입니다.
2. 소유 기반 인증 => 보인이 소유하고 있는 특정 매체를 통해 인증하는 방식
=> 단점:
1. 인증 시스템 구축이 까다로움
2. 사용자가 항상 인증 토큰을 소유해야 하기 때문에 편리성이 낮음
3. 부정한 사용자가 복제를 통해 악용할 가능성이 있음
=> 지식 기반 인증이나 생체 기반 인증과 함께 사용
3. 생체 기반 인증 => 사용자 본인 생체 정보를 이용하여 인증하는 방식
=> 장점: 본인의 의도와는 관계없이 항상 소유하고 있는 육체의 일부이기 때문에 편리성이 높음
=> 단점:
1. 본인을 식별하는 생체의 정보가 훼손되거나 유출되면 교체가 거의 불가능
2. 시스템 구축하는 비용이 다소 높으며 환경에 따라 인식률 차이가 발생할 수 있음
<종류>
1. 지식 기반 인증 공격의 "키로거"
=> 1. 지식 기반 인증에 대한 대표적인 공격
=> 2. 소프트웨어 프로그램이나 하드웨어 장치를 통해 키보드에 입력된 기록을 저장하는 프로그램
==> 프로그램 사용 자체는 불법이 아니지만, 이를 악용하는 사례가 많음.
(악용 사례)
1. 사용자의 계정을 탈취할 목적으로 많이 악용됨
2. 계정에 접속하기 위해 아이디와 비밀번호를 입력하면 계정 정보가 공격자에게 전송될 수 있음.
(구현 방법)
-> 후킹(Hooking)
- def) 운영체제와 유저 사이의 일정 지점을 가로채 시스템의 동작 방식을 변조하는 행위
후킹:
1. 메세지 후킹 => windows에서 운영체제와 프로세스 사이에 전송되는 메세지를 주고받을 때 후킹할 수 있는 함수 지원
2. API 후킹 => API를 후킹하는 경우
처음에 후킹의 본래 목적으로는 버그 수정 또는 기능 개선에 필요한 코드 삽입이였지만 그것을 해킹으로 악용하는 방식으로 사용하게 됨. 본래 목적과 다르게 사용되었습니다.
(해당 글의 표지는 ChatGPT의 DALL.E 모델을 사용하여 제작하였습니다.)
'컴퓨터 보안' 카테고리의 다른 글
공격 유형 정리 및 당부 (0) | 2024.06.18 |
---|---|
대칭 암호화의 한계점 (2) | 2024.06.12 |
DES 암호화 방식의 서브키 구현 원리 (0) | 2024.04.23 |