[정보 보안] User Authentication (3)

 

[3] User Authentication

The process of verifying an identify claimed by or for a system entity
1. Identification
2. Verification

Electronic User Authentication : confidence in user identity

NIST SP 800-63-2 model
credential binds an identidy to a token

Registration
1. 사용자가 Registration Authority에게 요청
2. RA가 사용자를 인증 절차 진행
3. 성공하면, CSP에게 수락 메세지를 보냄
4. 수락 메세지를 받으면(crediential 포함), 사용자에게 토큰을 발급
5. CSP는 발급했던 credential을 모두 유지(죽기전까지)

E-Authentication
1. 사용자는 Verifier에게 토큰을 인증
2. Verifier는 CSP에게 credentia을 확인
3. Verifier는 Relying Party에게 assertion을 제공
4. 사용자와 RP 사이의 세션이 발행됨

Remote user Authentication
over network (eavesdropping, replay)
- challenge-response 방법을 사용
1. 사용자가 identity를 보내며 인증을 요청
2. 서버는 random number로 응답하고 (replay attack 방지)
3. 사용자는 randome number를 사용해 해시 계산후 재전송
4. 서버 자체에서 해시 계산후 사용자꺼랑 같으면 인증

Challenge-Response Authentication
encrypt nonce with receiver's public key

Means of User Authentication

1) knows : pwd, pin
- password authentication
salt + password = salt value
같은 비밀번호라도 보여지는게 다름
dictionary attack에 대한 저항성을 올린다

Unix Implmentation
MD5 : 48-bit salt, password length unlimited, hash 1000 times, produces 128-bit hash
Blowfish : Bcrypt, 128-bit salt, produce 192-bit hash

비밀번호 종류:
1. cognitive password : 고등학교때 살았던 마을 이름은?
2. one-time password / dynamic password : 인증된 장치 하나
3. passphrase : virtual password -> passphrase program 변환

비밀번호 공격 종류:
1. dictionary attack : 단어 조합해서 시도
Dictioary < Rainbow < Mammoth

2. brute force attack : 조합 다해봄
3. backdoor : 키보드 이벤트 같은거 가로채서
4. social engineering : 그 사람한테 의미있는 단어 조합
5. sniffing : 네트워크에서 plain text를 가로챔
6. password file access : 서버의 password 파일에 접근
shadow password를 통한 로그인만 접근 가능하도록

사전 예방법
- 비밀번호 만족 조건 강화
- password cracker 
안좋은 비밀번호 정의 및 비교
- markov model 
맞추기 쉬운 비밀번호 생성 및 비교
- bloom filter 

2) possesses : token, card
- 메모리카드(magnetic) : need special reader
- 스마트카드(credit card) : has processor, memory, i/o port
- Electronic Identify Card (eID) : stronger proof od identity

스마트 카드 공격 종류:
1. software attack : application, algorithm, protocols 공격
2. micro probing : 마이크로프로세서 칩에 직접 접근해 초음파 진동을 사용
3. eavesdropping : 전자파 도청
4. failure cause attack : 환경적으로 프로세서의 오작동을 유발
5. side-channel attack : 취약점 파악

3) is : biometric authentication
- facial, fingerprint, retina pattern, iris, voice
- enrolement : feature extract해서 등록
- verification : template 하나랑 인풋이랑 비교 (1-to-1)
- identification : 등록된 모든 templates랑 비교 (1-to-many) 
가족끼리는 지문이 유사하다

4) does : voice, sign, movement
5) two factor : 위에서 2개 조합
6) multi factor : 아무거나 3개 이상 조합

Authentication Security Issues
- Client attack : user authentication을 얻으려고
strong password, limit number of attempts

- Host attack : 비밀번호가 저장된 호스트를 공격
hasing, protect password db

- Eavesdropping : 
diligence to keep pwds, multi-factor auth, admin revoke compromised pwds

- Replay :
challenge-response(nonce), 1-time passcodes

- Trojan horse : 프로그램또는 장치로 가장
authentication of the client within a trusted security environment

- Denial of service : Attempt flooding
multi-factor authentication with a token

- Injection attacks :
Input data from the application is executed as code by the interpreter
사용자 입력이 커멘드로 인식되지 않게