소프트웨어 토큰
Software token소프트웨어 토큰(.k.a. soft token)은 컴퓨터 서비스의 사용을 허가하는 데 사용될 수 있는 2단계 인증 보안 장치의 한 부분이다.[1] 소프트웨어 토큰은 데스크톱 컴퓨터, 노트북, PDA, 휴대전화 등 범용 전자 기기에 저장돼 복제도 가능하다. (인증서가 전용 하드웨어 장치에 저장되므로 복제할 수 없는 대비 하드웨어 토큰(장치의 물리적 침입)
소프트웨어 토큰은 물리적으로 소유하지 않는 것이기 때문에, 컴퓨터 바이러스나 소프트웨어 공격과 같은 기본 암호 물질의 복제에 근거한 고유한 위협에 노출된다. 하드웨어·소프트웨어 토큰 모두 봇 기반 맨인더중간 공격이나 토큰이 제공하는 일회용 암호를 요구해 정품 웹사이트에 적시에 공급하는 단순 피싱 공격에 취약하다. 소프트웨어 토큰은 가지고 다닐 물리적 토큰이 없고, 배터리가 소진되지 않으며, 하드웨어 토큰보다 저렴하다는 장점이 있다.[2]
보안 아키텍처
소프트웨어 토큰에는 공유 비밀 암호화와 공개 키 암호화의 두 가지 주요 아키텍처가 있다.
공유 암호를 위해 관리자는 일반적으로 각 최종 사용자에 대한 구성 파일을 생성한다. 파일에는 사용자 이름, 개인 식별 번호 및 비밀이 포함될 것이다. 이 구성 파일은 사용자에게 제공된다.
공유된 비밀 아키텍처는 많은 영역에서 잠재적으로 취약하다. 구성 파일은 도난당하여 토큰을 복사하면 손상될 수 있다. 시간 기반 소프트웨어 토큰으로 개인의 PDA나 노트북을 빌리고, 시계를 앞당기고, 향후 유효할 코드를 생성할 수 있다. 공유 암호를 사용하고 공유 암호를 소프트웨어 클라이언트에 저장하는 모든 소프트웨어 토큰은 도용되어 오프라인 공격을 받을 수 있다. 공유 비밀 토큰은 각각의 토큰이 본질적으로 다른 소프트웨어이기 때문에 배포하기가 어려울 수 있다. 각 사용자는 시간 제약이 생길 수 있는 비밀의 사본을 받아야 한다.
일부 새로운 소프트웨어 토큰은 공개키 암호법 또는 비대칭 암호법에 의존한다. 이 아키텍처는 소프트웨어 토큰의 전통적인 약점 중 일부를 제거하지만, 소프트웨어 토큰의 주요 약점(복제 가능성)에는 영향을 미치지 않는다. PIN은 토큰 클라이언트 대신 원격 인증 서버에 저장될 수 있어 PIN을 알 수 없는 한 도난당한 소프트웨어 토큰은 소용이 없다. 그러나 바이러스 감염의 경우 암호자료는 복제할 수 있으며 다음에 사용자가 인증할 때 (키로깅 등을 통해) PIN을 캡처할 수 있다. PIN을 추측하려는 시도가 있을 경우 이를 탐지해 인증 서버에 로그온할 수 있어 토큰을 비활성화할 수 있다. 비대칭 암호화를 사용하면 토큰 클라이언트가 자체적인 키 쌍을 생성하고 서버와 공용 키를 교환할 수 있기 때문에 구현도 단순화된다.
참고 항목
참조
- ^ Chung, Joaquin; Jung, Eun-Sung; Kettimuthu, Rajkumar; Rao, Nageswara S.V.; Foster, Ian T.; Clark, Russ; Owen, Henry (2018-02-01). "Advance reservation access control using software-defined networking and tokens". Future Generation Computer Systems. 79: 225–234. doi:10.1016/j.future.2017.03.010.
- ^ 2007년 4월 3일에 검색된 SecurityPro News 강력한 인증.
