2005-05-27

MS Infocard는 실패할 것이다(?)

LID의 제안자인 Johannes Ernst는, Julian Bond씨가 "MS의 Infocard는 첫번째 장벽을 넘지 못할 것이다"라고 한 의견소개하고 있습니다. Julian Bond씨의 의견을 조금 살펴보면,

Infocard는 Apple과 Linux 클라이언트를 고려하지 않았다. 그리고 아마 firefox와 다른 브라우저들을 고려하지 않았을 것이다. 그리고 거의 틀림없이 PHP-Apache 사이트를 고려하지 않았을 것이고, Java/Perl 서버는 WS stack에 있어서 MS와 호환되지 않을 것이다.

따라서 시장의 50% 이상은 제외된다. 중소형 규모 웹 사이트들의 longtail을 포함하여...

저도 Infocard와 비슷한 그린버튼 서비스를 준비하고 있는데요, WS 기술을 사용하지는 않기 때문에 비호환에 따른 문제는 없을 것으로 보이지만, 다른 브라우저를 향후에는 고려해야 겠다는 생각이 다시 한 번 드네요.

Passmark two-way Auth

Bank of America가 Passmark Security 사의 기술을 사용하여 sitekey라는 two-factor 인증 서비스를 제공한다는군요.
Passmark Security 사의 기술은 간단하게 말하면,
자신만이 아는 이미지를 접속할 서버에 등록해놓고 이 이미지를 보여주는 사이트에만 패스워드를 입력함으로써 피싱을 막을 수 있다는 것입니다.

해당되는 이미지의 선택과 패스워드 입력을 동시에 해야하므로 two-factor라는 얘기인데요...
가짜 상점을 만들고 여기에 사진을 등록하게 한다면, 대부분의 사람들은 같은 이미지를 등록할 것 같고, 그렇게 되면 마찬가지로 피싱 공격에 노출되는 것 아닌가? 하는 의문이 듭니다.

2005-05-20

마이크로소프트 Infocard

마이크로소프트의 신규 Identity 프로젝트인 Infocard에 대한 Whitepaper가 나왔습니다.
Infocard에 대한 기본 개념을 파악하기 위해 whitepaper 중에 일부를 번역해보면,


오 프라인에서, 사람들은 지갑 안에 여러 가지 형태의 identification, 운전면허증 또는 주민등록증, 신용카드, 멤버쉽카드 등등, 을 가지고 있다. 자신이 어떤 카드를 사용할 지 그리고 주어진 상황에서 얼마만큼 많은 정보를 공개할 것인 지를 결정한다.

유 사하게, identity metasystem은 사용자들이 인터넷의 자원들을 안전하게 유지하고 제어하기 쉽게 만든다. metasystem은 사용자들이 이용하고자 하는 인터넷 서비스에 따라 digital identity를 선택할 수 있도록 한다.

...


Sun의 CTO office의 Hubert Le Van Gong씨는 Liberty Alliance와 Infocard가 어떻게 연동될 수 있는 지에 대한 글을 올렸습니다.

저희 회사에서 주민번호 보호수단으로 준비하고 있는 GreenButton 서비스와 상당히 유사한 개념인 것 같습니다. Infocard의 향방을 앞으로 잘 살펴봐야겠네요.

2005-05-19

DIDW 2005

Digital ID World 2005의 Presentation과 Audio가 게시되었습니다.

Kim cameron씨의 Identity Laws와 얼마전에 소개한 Identity Gang panel도 눈에 띄네요...

2005-05-13

피싱과 ID 도용

Schneier씨는 한 에세이를 소개하면서, 다음과 같은 문구를 인용합니다.

아이디와 비밀번호로 로그인하는 은행이 있다고 하자. 당신은 아이디와 비밀번호가 노출되지 않도록 조심해야 한다, 이게 맞을까요? 아닙니다! 조심해야 할 것은 누군가가 돈을 훔쳐가는 것입니다. 두 가지 시각을 구분하는 것은 매우 중요하다. 만약 계좌에 돈이 없고, 사용하지 않는다면 누군가에게 아이디/비밀번호가 노출된다고 해도 아무런 상관이 없다. 아이디와 비밀번호는 은행이 그것을 아는 사람에게 돈을 인출해주는 경우에 한해서만 가치가 있다. 여기에 진짜 문제가 있다. 은행은 Schneier씨가 "거래를 인증해라, 사람이 아니고"라고 언급한 것을 실행하기에는 너무 게으르거나 무능하다. 누군가가 접근권한을 훔치는 것을 막는 것은 굉장히 어렵운 반면, 외국으로부터 돈이 인출되는 것을 막는 것이 훨씬 쉽다.

사고가 나면, 은행은 당신이 거래를 "인가했다"라고 말할 것이다, 여기서 궁극적으로 거래를 "인가한" 것은 은행이다.
에세이는 구체적으로 다음과 같은 권고를 하고 있습니다.
  • 호주 이외의 국가의 IP 주소를 제한해라
  • 이상한 거래 시간을 제한해라.
  • 접속한 단말을 식별하기 위해 쿠키를 설정해라.
  • 주로 사용하는 IP를 기록하라
  • 주로 접근하는 시간을 기록하라
  • 주/월 중 사용일을 기록하라.
  • 이상한 행동이 감지되면 메일을 보내라
  • 속임수가 의심되면 계정을 잠궈라.
  • 의심스러운 금액의 인출에는 유예기간을 둬라.
  • 위험에 따라 감독을 달리해라.
  • 은행이 아니고 사용자별로 위험을 정의해라

2005-05-10

Identity Gang Meeting

Personal Digital Identity의 움직임을 주도하고 있는 ID 관리 전문가들이 한 자리에 모였네요...

Kim cameron 씨가 Infocard에 대해서 간단한 소개를 했다고 하고, 곧 코드가 나올 것이라고 합니다.

Infocard의 Windows part의 이름은 "Identity Selector"라고 하네요...

기대됩니다. Identity selector 코드가 공개되면, 제가 하고 있는 프로젝트와 연계할 수 있는 방안을 찾아봐야겠네요...