Authentication이란,
<aside>
💡 The act of proving that a user is who she says she is
</aside>
- 특정 사용자나 시스템이 자신을 주장하는 대상임을 확인하고 검증하는 과정 or 매커니즘
- 정보 보호와 보안에 중요한 역할
- Authentication ≠ Identification
Authentication의 목적
-
접근 제어
-
시스템 또는 서비스에 접근하는 사용자의 신원을 확인하고, 그에 따라 해당 사용자에게 특정한 권한을 부여 or 거부할 수 있도록 함.
→ 미인가된 접근을 방지, 기밀성 & 무결성 유지
-
무결성 보호
- 인증된 사용자만이 데이터를 수정하거나 조작 가능
-
부인 방지
Authentication’s Methods:
- Something the user knows ~
- Something the user is ~
- 무엇을 개인적으로 알고 있는지
- Ex) 생체인식(지문, 홍채 등)
- Something user has ~
Something You Know
<aside>
💡 사용자의 신원을 확인하기 위해 지식을 기반으로 하는 방법을 가리킴.
Ex) Passwords, Security questions(상대적으로 약한 Authentication)
</aside>
Attacks on “something you know”
- Brute Force Attack (무차별 대입 공격)
- 공격자는 가능한 모든 조합의 비밀번호를 시도하여 올바른 비밀번호를 찾으려고 시도함.
- 시간이 오래 걸리지만 약한 비밀번호를 사용하는 경우에 효과적일 수 있음.
- 보안을 높이기 위해 비밀번호의 복잡성을 증가시키고, 잘못된 비밀번호 시도 횟수를 제한하는 정책을 구현하는 것이 중요함.
- Dictionary Attack (사전 공격)
- 공격자는 일반적으로 사용되는 비밀번호나 사전에 있는 단어 목록을 사용하여 비밀번호를 시도함.
- Brute Force Attachk(무차별 대입 공격)보다 효과적일 수 있으며, 간단한 비밀번호를 사용한 사용자에게 특히 위험함.
- 사용자는 강력한 비밀번호를 선택하고, **Dictionary Attack (사전 공격)**을 방지하기 위해 비밀번호 정책을 준수해야함.
- Password Guessing (비밀번호 추측)
- 공격자는 대상의 개인 정보나 관심사를 기반으로 비밀번호를 추측함.
- 이를 방지하기 위해 강력한, 예측 불가능한 비밀번호를 사용해야함.