인증자

Authenticator
802.1X 인증 프로토콜에서 인증자 역할은 IEEE 802.1X를 참조하십시오.

인증자는 사용자의 신원,[1][2] 즉 디지털 인증을 수행하는 데 사용되는 수단이다.사람은 컴퓨터 시스템이나 응용 프로그램에 자신이 인증자의 소유와 통제권을 가지고 있다는 것을 증명함으로써 인증한다.[3][4]가장 간단한 경우, 인증자는 공통 암호다.

NIST 디지털 아이덴티티 가이드라인(Digital Identity Guideline)의 용어를 사용하여 인증할 당사자를 청구인이라고 하고, 청구인의 신원을 검증하는 당사자를 검증자라고 한다.[3]청구인이 확립된 인증규약을 통해 1인 이상의 인증자에 대한 소유와 통제를 증명하는 데 성공했을 때, 검증자는 청구인의 신원을 유추할 수 있다.

분류

인증자는 비밀, 요인 및 물리적 형태 측면에서 특징지어질 수 있다.

인증자 비밀

모든 인증자는 청구인이 인증자의 소유와 통제를 증명하기 위해 사용하는 적어도 하나의 비밀과 연관되어 있다.공격자는 이 비밀을 사용하여 사용자를 가장할 수 있으므로 인증자 비밀은 도난이나 분실으로부터 보호되어야 한다.

비밀의 유형은 인증자의 중요한 특징이다.인증자 비밀에는 세 가지 기본 유형이 있는데, 기억된 비밀과 대칭 키 또는 개인 키 두 가지 암호화 키이다.

암기된 비밀

암기된 비밀은 사용자가 외우도록 되어 있다.잘 알려진 암기된 비밀의 예는 암호, 암호 또는 개인 식별 번호(PIN)라고도 불리는 공통 암호다.

청구인과 확인자에게 모두 알려진 인증자 비밀을 공유 비밀이라고 한다.예를 들어, 암기된 비밀은 공유될 수도 있고 공유되지 않을 수도 있다.대칭 키는 정의에 의해 공유된다.개인 키는 공유되지 않는다.

기억되고 공유되는 중요한 비밀의 유형은 암호다.비밀번호의 특별한 경우에는 인증자가 비밀이다.

암호키

암호 인증자는 암호키를 사용하는 것이다.암호 인증자는 키 자료에 따라 대칭키 암호공개키 암호화를 사용할 수 있다.둘 다 암기된 비밀을 피하고, 공개키 암호화의 경우 공유된 비밀도 없어 중요한 구별이다.

암호 인증자의 예로는 선서 인증자와 FIDO 인증자가 있다.counterexample의 방법으로, 암호 인증자는 암호 인증자가 아니다.자세한 내용은 #예제 섹션을 참조하십시오.

대칭키

대칭 키는 대칭키 암호화를 수행하는 데 사용되는 공유 비밀이다.청구인은 공유키 사본을 전용 하드웨어 기반 인증자 또는 스마트폰에 구현된 소프트웨어 기반 인증자에 저장한다.검증자는 대칭 키의 사본을 보관한다.

공용 키 쌍과 개인 키 쌍

공용 키 쌍은 공용 키 암호화를 수행하는 데 사용된다.공개 키는 해당 개인 키가 인증자에 안전하게 바인딩되어 있는 동안 검증자에게 알려져 있고(신뢰할 수 있음)에 의해 알려져 있다.전용 하드웨어 기반 인증자의 경우, 개인 키는 인증자의 한계를 벗어나지 않는다.

인증자 요인 및 양식

인증자는 사용자에게 독특하거나 독특한 것(자신이 가지고 있는 것), PIN(자신이 알고 있는 것) 또는 생체 인식("자신만의 것")에 의해 활성화되는 것이다.이러한 요인 중 하나만 제공하는 인증자를 단일 요인 인증자라고 하는데 반해 다중 요인 인증자는 두 가지 이상의 요인을 통합한다.다요소 인증자는 다요소 인증을 획득하는 한 가지 방법이다.둘 이상의 단일 요인 인증자의 조합은 다중 요인 인증은 아니지만 특정 조건에 적합할 수 있다.

인증자는 다양한 물리적 형태를 취할 수 있다(암기된 비밀은 제외하고, 무형).예를 들어 인증기를 손에 쥐거나 얼굴, 손목 또는 손가락에 착용할 수 있다.[5][6][7]

인증자를 하드웨어 및 소프트웨어 구성요소로 기술하는 것이 편리하다.인증자는 비밀이 하드웨어에 저장되어 있는지 소프트웨어에 저장되어 있는지에 따라 각각 하드웨어 기반 또는 소프트웨어 기반이다.

중요한 유형의 하드웨어 기반 인증자를 보안 키라고도 하며,[8] 보안 토큰이라고도 한다(액세스 토큰, 세션 토큰 또는 다른 유형의 보안 토큰과 혼동되지 않도록 함).보안 키는 그 비밀을 하드웨어에 저장하기 때문에 비밀이 수출되는 것을 방지한다.보안 키도 호스트 시스템에서 실행 중인 소프트웨어에 언제든지 액세스할 수 있으므로 맬웨어에 대한 내성이 있다.

소프트웨어 기반 인증자(소프트웨어 토큰이라고도 함)는 노트북, 태블릿 컴퓨터 또는 스마트폰과 같은 범용 전자 기기에 구현될 수 있다.예를 들어 청구인의 스마트폰에 모바일 앱으로 구현된 소프트웨어 기반 인증자는 전화 기반 인증자의 일종이다.비밀에 대한 접근을 방지하기 위해 소프트웨어 기반 인증자는 프로세서의 신뢰할 수 있는 실행 환경이나 클라이언트 장치에서 신뢰할 수 있는 플랫폼 모듈(TPM)을 사용할 수 있다.

플랫폼 인증자는 특정 클라이언트 장치 플랫폼, 즉 장치에 구현된다.이와는 대조적으로 로밍 인증자는 장치 밖에서 구현되는 교차 플랫폼 인증자 입니다.로밍 인증기는 USB와 같은 전송 프로토콜을 통해 장치 플랫폼에 연결된다.

다음 절에서는 인증자의 세분류에 대해 설명한다.보다 포괄적인 분류는 NIST 디지털 ID 지침을 참조하십시오.[9]

단일 요인 인증자

인증자를 이용하려면 청구인이 인증 의사를 명시적으로 표시해야 한다.예를 들어, 다음의 각 제스처는 의도를 확립하기에 충분하다.

  • 청구인이 암호 필드에 암호를 입력하거나,
  • 청구인은 지문인식기에 손가락을 갖다 대거나
  • 청구인은 승인을 표시하기 위해 버튼을 누른다.

후자를 사용자 존재의 시험(TUP)이라고 한다.단요소 인증자(본인이 가지고 있는 것)를 활성화하기 위해 청구인에게 TUP를 실시하도록 요구할 수 있으며, 이는 인증자의 의도하지 않은 작동을 피할 수 있다.

비밀번호

비밀번호는 청구인이 외우고 검증자와 공유하려는 비밀이다.비밀번호 인증은 청구인이 네트워크를 통해 비밀번호를 확인자에게 전송함으로써 비밀번호에 대한 지식을 증명하는 과정이다.전송된 암호가 이전에 공유된 비밀과 일치하면 사용자 인증이 성공한다.

선서 OTP

OTP(One-time passwords)는 1980년대부터 사용되어 왔다.[citation needed]2004년에는 매년 열리는 RSA 콘퍼런스에서 OTP의 안전한 생성을 위한 개방형 인증 레퍼런스 아키텍처가 발표되었다.[10][11]오픈 인증을 위한 이니셔티브(OATT)는 1년 후에 출범했다.[citation needed]이 연구에서 두 가지 IETF 표준이 성장했는데, HMAC 기반 일회용 암호(HOTP) 알고리즘과 RFC 4226과 RFC 6238이 각각 지정한 시간 기반 일회용 암호(TOTP) 알고리즘이다.선서 OTP는 HOTP 또는 TOTP를 의미한다. 선서는 HOTP 및 TOTP 표준 준수를 인증한다.[12]

기존의 암호(알고 있는 것)는 종종 1회용 암호(있는 것)와 결합되어 2단계 인증을 제공한다.[13]암호와 OTP 모두 네트워크를 통해 확인기로 전송된다.비밀번호가 이전에 공유한 비밀에 동의하고, 확인자가 OTP의 값을 확인할 수 있다면, 사용자 인증은 성공적이다.

일회용 비밀번호는 이전에 확인자와 공유되었던 비밀을 캡슐화하는 전용 ADAMD OTP 인증자에 의해 요청 시 생성된다.청구인은 인증자를 이용하여 암호방식을 이용하여 OTP를 생성한다.검증자는 또한 동일한 암호화 방법을 사용하여 OTP를 생성한다.두 OTP 값이 일치하면 검증자는 청구인이 공유 비밀을 갖고 있다고 결론 내릴 수 있다.

선서 인증자의 잘 알려진 예는 HOTP와 TOTP를 모두 구현하는 전화 기반 인증자인 [14]오픈소스 구글 인증자다.

모바일 푸시

모바일 푸시 인증자는 본질적으로 청구인의 휴대폰에서 실행되는 네이티브 앱이다.이 앱은 푸시 알림에 대응하기 위해 공개키 암호화를 사용한다.즉, 모바일 푸시 인증자는 단일 요인 암호 소프트웨어 인증자.모바일 푸시 인증자(있는 것)는 보통 비밀번호(아는 것)와 결합해 2단계 인증을 제공한다.일회용 암호와 달리 모바일 푸시는 암호를 넘어선 공유 비밀이 필요하지 않다.

청구인이 비밀번호로 인증한 후 검증자는 검증자를 대신해 공개키 인프라를 관리하는 신뢰할 수 있는 제3자에게 대역 외 인증요청을 한다.신뢰할 수 있는 제3자가 청구인의 휴대폰에 푸시 알림을 보낸다.청구인은 사용자 인터페이스의 버튼을 눌러 인증자의 소유와 통제를 증명하고, 인증자는 디지털 서명된 주장으로 응답한다.신뢰할 수 있는 제3자는 어설션의 서명을 확인하고 검증자에게 인증 응답을 반환한다.

독점적인 모바일 푸시 인증 프로토콜은 유연한 배치 옵션을 제공하는 대역 외 보조 채널에서 실행된다.프로토콜은 청구인의 휴대 전화에 대해 개방된 네트워크 경로를 필요로 하기 때문에, 그러한 경로를 이용할 수 없는 경우(예: 네트워크 문제 때문에), 인증 절차를 진행할 수 없다.[13]

FIDO U2F

FIDO Universal 2 Factor(U2F) 인증자(자신이 가지고 있는 것)는 일반 웹 암호와 함께 사용할 수 있는 단일 요인 암호 인증자다.인증자는 공개키 암호화에 의존하기 때문에 U2F는 암호 이상의 추가 공유 비밀이 필요하지 않다.

U2F 인증자에 접근하려면, 청구인은 인증자의 기능에 대한 무단 접근을 방지하는 데 도움이 되는 사용자 존재 테스트(TUP)를 수행해야 한다.실제로 TUP는 간단한 버튼 누름으로 구성된다.

U2F 인증자는 U2F JavaScript API를 구현하는 웹 사용자 에이전트와 상호 운용된다.[15]U2F 인증자는 반드시 FIDO Client to Authenticator Protocol에 지정된 두 프로토콜 중 하나인 CTAP1/U2F 프로토콜을 구현한다.[16]

모바일 푸시 인증과 달리 U2F 인증 프로토콜은 전면 채널에서 전면적으로 실행된다.왕복 두 번 필요하다.첫 번째 왕복 여행은 일반 비밀번호 인증이다.청구인이 암호로 인증한 후 검증자는 맞춤형 자바스크립트 API를 통해 U2F 인증자와 통신하는 호환 브라우저에 도전장을 보낸다.청구인이 TUP를 수행한 후, 인증자는 도전에 서명하고 브라우저를 통해 확인자에게 서명된 주장을 반환한다.

다요소 인증자

다요소 인증자를 사용하기 위해 청구인은 전체 사용자 검증을 수행한다.다요소 인증자(자신이 가지고 있는 것)는 PIN(자신이 알고 있는 것) 또는 생체 인식(예: 지문, 얼굴 또는 음성 인식) 또는 기타 검증 기법에 의해 활성화된다.[3] ,

ATM 카드

현금자동입출금기(ATM)에서 현금을 인출하기 위해 은행 고객이 현금자동입출금기에 현금자동입출금기(ATM) 카드를 넣고 개인 식별번호(Personal Identification Number, PIN)를 입력한다.입력 PIN은 카드 칩에 저장된 PIN과 비교된다.두 사람이 일치하면 ATM 인출이 진행될 수 있다.

ATM 인출에는 암기된 비밀(즉, PIN)이 포함되지만 비밀의 진가는 ATM에 미리 알려져 있지 않다는 점에 유의한다.기계가 무턱대고 입력 PIN을 카드에 전달해 고객의 입력을 카드 칩에 저장된 비밀 PIN과 비교하는 방식이다.두 사람이 일치하면 카드는 ATM에 성공신고를 하고 거래는 계속된다.

ATM 카드는 다요소 인증기의 예다.카드 자체는 가지고 있는 이고, 카드 칩에 저장된 PIN은 아마도 알고 있는 것일 것이다.카드를 ATM에 제시하고 PIN에 대한 지식을 입증하는 것은 일종의 다요소 인증이다.

Secure Shell

SSH(Secure Shell)는 공개키 암호화를 사용하여 네트워크를 통한 보안 채널을 만드는 클라이언트-서버 프로토콜이다.기존의 암호와 달리 SSH 키는 암호 인증자(cryptographic Authenticator)이다.기본 인증자 비밀은 SSH 개인 키로, 클라이언트가 메시지에 디지털 서명하는 데 사용된다.해당 공개키는 서버가 메시지 서명을 검증하기 위해 사용하는 것으로 청구인이 개인키를 소유 및 통제하고 있음을 확인한다.

도난 방지를 위해 SSH 개인 키(사용자가 가지고 있는 것)를 암호문(사용자가 알고 있는 것)으로 암호화할 수 있다.2단계 인증 절차를 시작하기 위해 청구인은 클라이언트 시스템에 암호를 제공한다.

암호처럼 SSH 암호문구는 암기된 비밀이지만 유사성이 끝나는 부분이다.암호는 네트워크를 통해 전송되는 공유 비밀인 반면, SSH 암호는 공유되지 않으며, 더욱이 암호의 사용은 클라이언트 시스템에 엄격히 제한된다.SSH를 통한 인증은 네트워크를 통한 공유 비밀의 전송을 피하기 때문에 패스워드 없는 인증의 예다.사실 SSH 인증에는 공유 비밀이 전혀 필요하지 않다.

FIDO2

FIDO U2F 프로토콜 표준은 W3C(World Wide Web Consortium, W3C)와 FIDO Alliance가 공동 노력한 FIDO2 프로젝트의 출발점이 되었다.프로젝트 결과물로는 W3C Web Authentication(WebAuthn) 표준과 FIDO Client to Authenticator Protocol(CPAP)이 있다.[17]WebAuthn과 CTAP은 함께 웹을 위한 강력한 인증 솔루션을 제공한다.

WebAuthn 인증자라고도 불리는 FIDO2 인증자는 공용 키 암호화를 사용하여 WebAuthn 클라이언트, 즉 WebAuthn JavaScript API를 구현하는 준수 웹 사용자 에이전트와 상호 운용한다.[18]인증자는 플랫폼 인증자, 로밍 인증자 또는 둘의 일부 조합일 수 있다.예를 들어, CTAP2[16] 프로토콜을 구현하는 FIDO2 인증자는 USB, 근거리 무선 통신(NFC) 또는 Bluetooth Low Energy(BL) 중 하나 이상의 전송 옵션을 통해 WebAuthn 클라이언트와 통신하는 로밍 인증자다.FIDO2 플랫폼 인증자의 구체적인 예로는 윈도 헬로와[19] 안드로이드 운영체제가 있다.[20]

FIDO2 인증자는 단일 요인 모드 또는 다중 요인 모드에서 사용할 수 있다.단일 요인 모드에서 인증자는 사용자 존재에 대한 간단한 테스트(예: 버튼 누름)에 의해 활성화된다.다중 인자 모드에서는 인증자(자신이 가지고 있는 것)가 PIN(자신이 아는 것)이나 생체 인식("자신만의 것")에 의해 활성화된다.

보안코드

우선 강력한 인증은 다요소 인증부터 시작된다.개인 온라인 계정을 보호하기 위해 할 수 있는 최선의 방법은 다요소 인증을 가능하게 하는 것이다.[13][21]다요소 인증을 획득하는 방법에는 다음 두 가지가 있다.

  1. 다요소 인증자 사용
  2. 둘 이상의 단일 요인 인증자 조합 사용

실제로 암호 인증자(알고 있는 것)와 암호 인증자와 같은 다른 인증자(있는 것)를 결합하는 것이 일반적인 접근 방식이다.

일반적으로는 암호 방법을 사용하지 않는 인증자보다 암호 인증자를 선호한다.다른 모든 것이 동일하다면, 공개키 암호화를 사용하는 암호 인증자가 대칭키 암호화를 사용하는 암호 인증자보다 낫다. 대칭키 암호화는 공유키(도용되거나 잘못 사용될 수 있음)를 필요로 하기 때문이다.

다시 말해, 하드웨어 기반 인증자는 소프트웨어 기반 인증자보다 낫다. 인증자 비밀은 아마도 하드웨어에서 더 잘 보호되기 때문이다.이 선호도는 다음 절에 요약된 NIST 요건에 반영된다.

NIST 인증자 보증 수준

NIST는 인증자에 대한 세 가지 수준의 보장을 정의한다.최고 인증자 보증 수준(AAL3)은 다요소 인증자 또는 단일 요인 인증자의 적절한 조합을 이용한 다요소 인증이 필요하다.AAL3에서 인증자 중 적어도 하나는 암호 하드웨어 기반 인증자여야 한다.이러한 기본 요건을 감안할 때, AAL3에서 사용되는 가능한 인증자 조합에는 다음이 포함된다.

  1. 다요소 암호 하드웨어 기반 인증자
  2. 다른 인증자(예: 암호 인증자)와 함께 사용되는 단일 요인 암호화 하드웨어 기반 인증자

인증자 보증 수준에 대한 자세한 내용은 NIST 디지털 ID 지침을 참조하십시오.[9]

인증자 제한

인증자 보증 수준과 마찬가지로, 제한된 인증자의 개념은 NIST 개념이다.[3]이 용어는 공격에 저항할 수 없는 것으로 입증된 인증자를 말하며, 인증자의 신뢰성을 의심하게 한다.연방기관은 가입자에게 제한되지 않는 대체 인증자를 제공하고, 향후 어느 시점에서 제한 인증자의 사용이 금지되는 경우 이주 계획을 수립함으로써 제한 인증자의 사용을 완화한다.

현재, 공공 교환 전화 네트워크의 사용은 NIST에 의해 제한된다.특히 녹음된 음성 메시지나 SMS 메시지를 통한 OTP(One-of-Band Password)의 대역 외 전송이 제한된다.또한, 기관이 음성 또는 SMS 기반 OTP를 사용하기로 선택한 경우, VoIP(Voice over IP) 계정은 다요소 인증으로 일상적으로 보호되지 않기 때문에 OTP가 IP 주소가 아닌 전화기로 전송되고 있는지 확인해야 한다.[9]

비교

패스워드를 어떻게 사용하는지 널리 이해되고 있어 비교의 근거로 이용하기 편리하다.[22]컴퓨터 시스템에서는 적어도 1960년대 초부터 비밀번호가 사용되어 왔다.[23][24]더 일반적으로, 암호는 고대부터 사용되어 왔다.[citation needed]

2012년, Bonneau 등.사용성, 배치성, 보안 측면에서 웹 비밀번호를 35개의 경쟁 인증제도와 체계적으로 비교함으로써 비밀번호를 대체하려는 20년간의 제안을 평가했다.[25]( 인용된 기술 보고서는 같은 이름의 동료 검토 논문의 확장 버전이다.)[26]그들은 대부분의 체계가 보안상의 암호보다 더 나은 반면, 모든 체계는 배포 가능성의 암호보다 더 나쁜 것을 발견했다.사용적합성 측면에서 일부 체계는 암호보다 더 잘 하고 일부 체계는 더 나쁘게 한다.

구글은 Bonneau 등 평가 프레임워크를 이용해 보안 키를 비밀번호와 일회성 비밀번호와 비교했다.[27]그들은 보안 키가 일회용 암호보다 사용 가능하고 배포가 가능하며, 암호와 일회용 암호 모두보다 더 안전하다고 결론지었다.

참고 항목

참조

  1. ^ "National Information Assurance (IA) Glossary" (PDF). Committee on National Security Systems. 26 April 2010. Retrieved 31 March 2019.
  2. ^ "Glossary of Telecommunication Terms". Institute for Telecommunication Sciences. 7 August 1996. Retrieved 31 March 2019.
  3. ^ a b c d Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST Special Publication 800-63-3: Digital Identity Guidelines". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3. Retrieved 5 February 2019. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  4. ^ Lindemann, Rolf, ed. (11 April 2017). "FIDO Technical Glossary". FIDO Alliance. Retrieved 26 March 2019.
  5. ^ Bianchi, Andrea; Oakley, Ian (2016). "Wearable authentication: Trends and opportunities" (PDF). It - Information Technology. 58 (5). doi:10.1515/itit-2016-0010. S2CID 12772550.
  6. ^ Stein, Scott (26 July 2018). "Why can't Wear OS smartwatches be security keys too?". CNET. Retrieved 31 March 2019.
  7. ^ Williams, Brett (27 June 2017). "This smart ring gives you instant mobile payments with beefed up security". Mashable. Retrieved 31 March 2019.
  8. ^ "Case Study: Google Security Keys Work". FIDO Alliance. 7 December 2016. Retrieved 26 March 2019.
  9. ^ a b c Grassi, Paul A.; Fenton, James L.; Newton, Elaine M.; Perlner, Ray A.; Regenscheid, Andrew R.; Burr, William E.; Richer, Justin P. (2017). "NIST Special Publication 800-63B: Digital Identity Guidelines: Authentication and Lifecycle Management". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63b. Retrieved 5 February 2019. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  10. ^ Kucan, Berislav (24 February 2004). "Open Authentication Reference Architecture Announced". Help Net Security. Retrieved 26 March 2019.
  11. ^ "OATH Specifications and Technical Resources". Initiative for Open Authentication. Retrieved 26 March 2019.
  12. ^ "OATH Certification". The Initiative for Open Authentication (OATH). Retrieved 3 February 2019.
  13. ^ a b c Hoffman-Andrews, Jacob; Gebhart, Gennie (22 September 2017). "A Guide to Common Types of Two-Factor Authentication on the Web". Electronic Frontier Foundation. Retrieved 26 March 2019.
  14. ^ "Google Authenticator". Retrieved 3 February 2019.
  15. ^ Balfanz, Dirk; Birgisson, Arnar; Lang, Juan, eds. (11 April 2017). "FIDO U2F JavaScript API". FIDO Alliance. Retrieved 22 March 2019.
  16. ^ a b Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, eds. (30 January 2019). "Client to Authenticator Protocol (CTAP)". FIDO Alliance. Retrieved 22 March 2019.
  17. ^ "FIDO2: Moving the World Beyond Passwords". FIDO Alliance. Retrieved 30 January 2019.
  18. ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (eds.). "Web Authentication: An API for accessing Public Key Credentials Level 1". World Wide Web Consortium (W3C). Retrieved 30 January 2019.
  19. ^ Simons, Alex (November 20, 2018). "Secure password-less sign-in for your Microsoft account using a security key or Windows Hello". Microsoft. Retrieved 6 March 2019.
  20. ^ "Android Now FIDO2 Certified, Accelerating Global Migration Beyond Passwords". BARCELONA: FIDO Alliance. February 25, 2019. Retrieved 6 March 2019.
  21. ^ "Two-factor authentication (2FA); new guidance from the NCSC". National Cyber Security Centre (NCSC). 8 Aug 2018.
  22. ^ Hunt, Troy (5 November 2018). "Here's Why [Insert Thing Here] Is Not a Password Killer". Retrieved 24 March 2019.
  23. ^ McMillan, Robert (27 January 2012). "The World's First Computer Password? It Was Useless Too". Wired magazine. Retrieved 22 March 2019.
  24. ^ Hunt, Troy (26 July 2017). "Passwords Evolved: Authentication Guidance for the Modern Era". Retrieved 22 March 2019.
  25. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Technical Report - University of Cambridge. Computer Laboratory. Cambridge, UK: University of Cambridge Computer Laboratory. ISSN 1476-2986. Retrieved 22 March 2019.
  26. ^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.
  27. ^ Lang, Juan; Czeskis, Alexei; Balfanz, Dirk; Schilder, Marius; Srinivas, Sampath (2016). "Security Keys: Practical Cryptographic Second Factors for the Modern Web" (PDF). Financial Cryptography and Data Security 2016. Retrieved 26 March 2019.