Authentication이란,

<aside> 💡 The act of proving that a user is who she says she is

</aside>

• 특정 사용자나 시스템이 자신을 주장하는 대상임을 확인하고 검증하는 과정 or 매커니즘
• 정보 보호와 보안에 중요한 역할
• Authentication ≠ Identification

Authentication의 목적

• 접근 제어

  • 시스템 또는 서비스에 접근하는 사용자의 신원을 확인하고, 그에 따라 해당 사용자에게 특정한 권한을 부여 or 거부할 수 있도록 함.

    → 미인가된 접근을 방지, 기밀성 & 무결성 유지

• 무결성 보호

  • 인증된 사용자만이 데이터를 수정하거나 조작 가능

• 부인 방지

  • 사용자가 특정 작업을 수행했음을 나중에 부인하지 못하도록 함.

    → 사용자는 자신이 시스템에 로그인하거나 특정 행동을 취했다는 사실을 부인할 수 없음.

Authentication’s Methods:

• Something the user knows ~
  • 무엇을 알고 있는지
  • Ex) Passwords
• Something the user is ~
  • 무엇을 개인적으로 알고 있는지
  • Ex) 생체인식(지문, 홍채 등)
• Something user has ~
  • 무엇을 소유하고 있는지
  • Ex) OTP

Something You Know

<aside> 💡 사용자의 신원을 확인하기 위해 지식을 기반으로 하는 방법을 가리킴. Ex) Passwords, Security questions(상대적으로 약한 Authentication)

</aside>

Attacks on “something you know”

• Brute Force Attack (무차별 대입 공격)
  • 공격자는 가능한 모든 조합의 비밀번호를 시도하여 올바른 비밀번호를 찾으려고 시도함.
  • 시간이 오래 걸리지만 약한 비밀번호를 사용하는 경우에 효과적일 수 있음.
  • 보안을 높이기 위해 비밀번호의 복잡성을 증가시키고, 잘못된 비밀번호 시도 횟수를 제한하는 정책을 구현하는 것이 중요함.
• Dictionary Attack (사전 공격)
  • 공격자는 일반적으로 사용되는 비밀번호나 사전에 있는 단어 목록을 사용하여 비밀번호를 시도함.
  • Brute Force Attachk(무차별 대입 공격)보다 효과적일 수 있으며, 간단한 비밀번호를 사용한 사용자에게 특히 위험함.
  • 사용자는 강력한 비밀번호를 선택하고, **Dictionary Attack (사전 공격)**을 방지하기 위해 비밀번호 정책을 준수해야함.
• Password Guessing (비밀번호 추측)
  • 공격자는 대상의 개인 정보나 관심사를 기반으로 비밀번호를 추측함.
  • 이를 방지하기 위해 강력한, 예측 불가능한 비밀번호를 사용해야함.