OTP(One-Time Password) 장점 및 단점, 방식에 다른 차이점

OTP(One-Time Password)

OTP 프로그램에서 암호화 알고리즘을 사용하여 일회용 패스워드를 생성하는 사용자 인증 방법이다.

토큰 발행하는 유형에는 비동기화방식, 동기화방식, S/Key 방법이 있다.

 

 

OTP 장점

일정시간마다 비밀번호를 변경하여 패스워드 가로채기를 예방할 수 있다.

스마트폰을 통한 인증으로 편리 및 안정성을 확보한다.

 

 

OTP 단점

자신의 식별정보를 공유하거나 토큰장치를 분실했을 경우 악용할 수 있다.

토큰장치의 배터리 방전 혹은 오류시 인증이 어렵다.

 

 

OTP 비동기화 방식(OTP 질의응답 방식)

시도응답 방식(Challenge-Response 방식)이다.

 

알고리즘

→ 사용자 : 인증서버에 로그인 시도

→ 인증서버 : 사용자로 질의 값 전송

→ 사용자 : 질의 값 입력함에 따라 응답값 생성

→ 사용자 : 응답값 전송

→ 인증서버 : 응답값 비교 및 사용자 인증

 

장점

구조가 간단하다.

OTP 생성 매체와 인증 서버간 동기화가 필요 없다.

 

단점

질의 값을 직접 입력하여 사용이 번거롭다.

인증 서버에서 같은 질의 값이 생성되지 않도록 관리가 필요하다.

 

 

OTP 동기화 방식(OTP 시간과 이벤트 방식)

시간 혹은 계수기 매커니즘을 기반으로 한다.

시간 동기화 방식과 이벤트 동기화 방식이 있다.

 

알고리즘

→ 사용자 : 인증서버에 로그인 시도

→ 사용자 : 응답값 생성

→ 사용자 : 응답값 입력 및 전송

→ 인증서버 : 응답값 비교 및 사용자 인증

 

장점

질의응답 방식보다 호환성이 높고 간편함

 

단점

OTP 생성 매체와 인증서버간의 시간 혹은 계수기 값의 동기화가 필요하다.

 

 

OTP S/KEY 방식

벨 통신 연구소에서 개발로 유닉스에서 사용한다.

 

알고리즘

→ 클라이언트 : 임의의 비밀키를 서버로 전송

→ 서버 : 클라이언트로부터 받은 비밀키를 첫 번째 값으로 사용

→ 서버 : 해시 체인 방식으로 이전 결과값에 대한 해시값을 구하는 작업을 n번 반복

→ 서버 : 생성된 n개의 OTP를 저장

 

장점

전용 장치를 사용할 필요가 없어 쉽게 구현 가능하다.

 

단점

사용자마자 소프퉤어를 설치해야 한다.

정해진 회수(n)마다 시스템을 재설정해야 한다.