일회용 비밀번호(OTP, One-Time Password)는 고정된 비밀번호 대신 무작위로 생성되는 1회용 비밀번호를 이용하는 사용자 인증 방식이다. 영어 약자인 OTP(오티피)라고도 부른다.
개요
일회용 비밀번호는 무작위로 생성되는 난수의 일회용 비밀번호를 이용하는 사용자 인증 방식이다. 보안을 강화하기 위하여 도입한 시스템으로 로그인 할 때마다 일회성 비밀번호를 생성하여 동일한 비밀번호가 반복해서 사용됨으로 발생하는 보안상의 취약점을 극복하기 위해 도입하였다.
주로 금융권에서 온라인 뱅킹(Online Banking) 등의 전자 금융 거래에서 사용되며, 사용자는 일회용 비밀번호를 생성하는 하드웨어인 일회용 비밀번호 생성기(OTP Token)를 이용한다. 별도의 일회용 비밀번호 생성기를 소지해야 하는 불편함 등으로 인해 전자 금융 거래를 제외한 인터넷 등의 광범위한 네트워크에서는 일반적으로 사용되지 않는다. 일회용 비밀번호 생성기는 버튼을 누르면 6자리의 비밀번호가 나오는 방식과 매 1분마다 자동으로 서로 다른 6자리의 비밀번호가 나오는 시간동기 방식 그리고 키패드에 4자리 비밀번호를 입력하면 6자리 비밀번호를 보여주는 방식 등이 있다.[1]
분류
하드웨어
하드웨어형 OTP는 2개로 나누어지는 데, 각각 토큰형과 카드형으로 분류된다.
- 토큰형 : 원래의 OTP는 일회용 비밀번호를 생성할 수 있도록 제작된 OTP 토큰으로 특수 하드웨어 장치나 카드를 사용하는 형태이다.
- 카드형 : 기존 OTP 토큰은 둥글넙적하여 가지고 다니기 힘들다는 단점이 있었다. 이를 개선한 것이 신용카드 모양의 카드형 OTP이다.
소프트웨어
외부와 완전히 독립적인 장치인 OTP 토큰과는 달리 소프트웨어 OTP는 휴대폰이나 PC에 OTP 프로그램을 설치해서 번호를 생성하는 방식을 이용한다.
하이브리드
기존에 사용되던 하드웨어형 OTP는 배터리가 닳으면 사용이 불가능하고 휴대하기에도 까다로운 면이 있었고, 소프트웨어 토큰은 보안이 취약하여 은행 거래에는 부적합하다는 단점이 있었다. 이 문제를 해결하기 위해 하이브리드형 OTP는 이 두가지 시스템을 절충하여 만들어졌고, 실질적으로 하드웨어형과 가까운 방식이다.
이메일
이메일형 OTP는 인터넷뱅킹에서 특정 거래를 하려고 할때 사전에 등록한 이메일로 1회용 비밀번호가 보내지는 방식이다. 주로 일본의 금융기관에서 쓰인다.
각주
참고자료
같이 보기
이 일회용 비밀번호 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.
|
개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 □■⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인
|
|
보안
|
CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성
|
|
취약점 공격
|
51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커
|
|
개인정보보호
|
가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명
|
|
양자보안
|
광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴
|
|
보안 솔루션
|
V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)
|
|
위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반
|
|