2005-03-25

Two-factor 인증은 안전하지 않다

Schneier 씨는 Two-factor 인증 방법은 실패했다고 말합니다. 간단하게 정리하면,

Two-factor 인증 방법은 패스워드의 단점을 극복했지만, 피싱은 극복하지 못했다. 즉 몇 십년 전의 보안 문제는 해결했지만, 오늘날의 보안 문제는 해결하지 못했다.
이것은 공격의 유형이, 네트웍 스니핑이나 패스워드 추측과 같은 수동적인 방법에서 피싱이나 trojan horses 기법과 같은 능동적인 방법으로 진화되었기 때문이다.
  • man-in-middle attack. 해커는 가짜 은행 웹 사이트를 만들어서, 그 사이트로 유인한 후에 사용자가 입력하는 안전카드 값을 자신이 원하는 전문과 함께 진짜 은행 사이트로 redirect 한다.
  • trojan horses. 해커는 사용자의 PC에 악성코드를 심어놓고, 사용자가 은행에 로그인할 때까지 기다리다가 로그인되면, 사용자가 맺은 세션 상에서 자신이 원하는 전문을 만들어서 송신한다.
진짜 문제는 "사칭에 따른 공격"이며, 방어법이 바뀌면 이에 따라 공격 전술도 바뀔 것이다. two-factor 인증은 해커들에게 단지 공격 전술을 바꾸도록 한 것 외에는 아무것도 해결하지 못했다.


구구절절이 맞는 말이며, 명심해야할 말인 것 같습니다. 코멘트할 말이 없네요.

댓글 없음: