사용자 인증 (User Authentication) 종류

저번에 메세지 인증에 대해서 알아보았으니 이번에는 사용자 인증에 대해 알아보자.

사용자 인증이야 뭐 우리가 항상 하는 로그인 같은 것들이니.. 크게 어려울 내용 없다.

 

1. Password based authentication (패스워드 기반 인증)

가장 많이 쓰이지? 우리가 늘상하는 패스워드 기반 인증이다. 굉장히 취약하다.

패스워드 파일은 언제든지 도둑맞을 수 있다. 즉 오프라인 상에서도 당할 수 있다는 말임.

 

리눅스에서 패스워드 파일을 관리하기 위해 여러가지 보안을 해두었다.

/etc/passwd 에 처음에 패스워드를 보관해두었었는데, others도 read 권한이 있었으므로

root만 접근할 수 있는 /etc/shadow에 패스워드를 해시함수를 돌려 그 해시값을 저장해 두었다.

 

이렇게 해두어도 패스워드를 단순하게 해놓으면 (예를 들어 사전에 있는 단어 따위) 

dictionary attack 같이 브루트포싱 공격을 하면 다뚫린다.

 

그리고 네트워크 상에서 패스워드 교환을 할 때도 암호화를 꼭 해주어야 한다.

안그러면 공격자가 packeet capture 해서 (Wireshark, TCPdump 같은 패킷 스니퍼들이 있다.) 다 엿듣는다.

패킷 캡쳐는 ethernet card 즉, 랜 카드 옵션중 promiscous mode 가 있는데 이걸 키면

자신한테 오는 패킷이 아니라도 다 들을 수 있게 된다. (관리자 권한 요구됨)

 

2. Authentication based on the source address (송신 주소 기반 인증)

수신된 ip 의 source address를 기반으로 인증하는 것. 이것또한 IP Spoofing 당한 패킷이라면 어쩔건데

솔직히 이런식으로 따지고 보면 제대로된 보안이 없다;

 

3. Authentication based on biometrics (생체 인식 기반 인증)

지문 인식, 망막 인식 등 생체 인식을 기반으로 인증하는 것을 말한다.

 

4. Authentication using symmetric keys (대칭키 사용 인증)

대칭키를 이용하여 하는 인증이다. Kerberos 라는 녀석이 나온다. 이거에 대한 내용은 추후에 포스트함.

 

5. Authentication using asymmetric cryptosystem (비대칭 암호시스템 사용 인증)

이것 또한 자세히 설명을

 

6. Authentication Using OTPs (OTP를 이용한 인증)

이것도 다음 포스트에 자세히