다요소인증

Multi-factor authentication
"이중 인증"은 여기로 리디렉션됩니다.위키백과에 대한 2단계 인증에 대해서는 도움말을 참조하십시오.2요소 인증.
시리즈의 일부(on)
정보보안
vectorial version
벡터판
관련 보안 카테고리
위협
디펜스

다중 요소 인증(Multi-factor authentication, MFA; two-factor authentication, 또는 2FA)은 인증 메커니즘에 두 개 이상의 증거(또는 요소)를 성공적으로 제시한 후에만 사용자에게 웹 사이트 또는 응용 프로그램에 대한 액세스 권한을 부여하는 전자 인증 방법입니다.MFA는 개인 신분증이나 금융 자산을 포함할 수 있는 개인 데이터를 단일 암호를 발견할 수 있는 권한 없는 제3자가 액세스하지 못하도록 보호합니다.

타사 인증기(TPA) 앱은 일반적으로 인증에 사용하기 위해 임의로 생성되고 자주 변경되는 코드를 보여줌으로써 2요소 인증을 가능하게 합니다.

요인들

인증은 누군가가 컴퓨터 리소스(예: 컴퓨터 네트워크, 장치 또는 응용 프로그램)에 로그인하려고 할 때 발생합니다.리소스는 사용자가 해당 ID에 대한 사용자 주장의 진위 여부에 대한 증거와 함께 사용자가 알려진 ID를 리소스에 제공해야 합니다.단순 인증을 위해서는 일반적으로 암호와 같은 하나의 증거(인자)만 필요합니다.추가적인 보안을 위해 리소스에 여러 요소(다요소 인증)가 필요할 수도 있고, 두 개의 증거를 정확히 제공해야 하는 경우에는 두 개의 요소(다요소 인증)가 필요할 수도 있습니다.[1]

자신의 신원을 증명하기 위해 여러 인증 요소를 사용하는 것은 권한이 없는 행위자가 접근에 필요한 요소를 제공할 수 없을 것이라는 전제에 기초합니다.인증 시도에서 구성 요소 중 하나 이상이 누락되거나 잘못 제공된 경우 사용자의 ID가 충분히 확실하게 설정되지 않고 다중 요소 인증으로 보호되는 자산(예: 건물 또는 데이터)에 대한 액세스가 차단된 상태로 유지됩니다.다중 요소 인증 방식의 인증 요소는 다음과 같습니다.[2]

2요소 인증의 예는 ATM에서 돈을 인출하는 것입니다. 은행 카드(사용자가 소유한 것)와 PIN(사용자가 알고 있는 것)의 정확한 조합만이 거래를 수행할 수 있습니다.다른 두 가지 예는 사용자만 소유한 인증자(예: 보안 토큰 또는 스마트폰)에 의해 생성되거나 수신되는 OTP(one-time password) 또는 코드로 사용자 제어 암호를 보완하는 것입니다.[3]

타사 인증기 앱은 일반적으로 SMS를 보내거나 다른 방법을 사용하는 대신 사용자가 사용할 수 있는 임의로 생성되고 지속적으로 새로 고침되는 코드를 보여줌으로써 다른 방식으로 2요소 인증을 가능하게 합니다.이러한 앱의 큰 이점은 인터넷 연결이 없어도 작동을 계속한다는 것입니다.타사 인증 프로그램의 예로는 Google Authenticator, AuthyMicrosoft Authenticator가 있으며, LastPass와 같은 일부 암호 관리자도 서비스를 제공합니다.[4]

지식.

지식 요소는 인증의 한 형태입니다.이 양식에서 사용자는 인증을 하기 위해 비밀에 대한 지식을 증명해야 합니다.

암호는 사용자 인증에 사용되는 비밀 단어 또는 문자열입니다.이것은 가장 일반적으로 사용되는 인증 메커니즘입니다.[2]많은 다중 요소 인증 기법은 인증의 한 요소로 암호를 사용합니다.변형에는 여러 단어(패스프레이즈)로 구성된 더 긴 것과 ATM 액세스에 일반적으로 사용되는 더 짧은 순수 숫자 PIN이 모두 포함됩니다.전통적으로 비밀번호는 기억되어야 하지만 숨겨진 종이나 텍스트 파일에 적을 수도 있습니다.

소지

RSA Secur연결이 끊긴 토큰 생성기의 예인 ID 토큰

소유 요소("사용자만이 가진 것")는 수 세기 동안 인증을 위해 잠금 키 형태로 사용되어 왔습니다.기본 원리는 키가 잠금 장치와 키 사이에 공유되는 비밀을 구현한다는 것이고, 같은 원리는 컴퓨터 시스템에서 소유 요소 인증의 기초가 됩니다.보안 토큰은 소유 요소의 한 예입니다.

연결이 끊긴 토큰은 클라이언트 컴퓨터에 연결되어 있지 않습니다.일반적으로 사용자가 수동으로 입력하는 생성된 인증 데이터를 표시하기 위해 내장된 화면을 사용합니다.이 유형의 토큰은 대부분 해당 특정 세션에만 사용할 수 있는 OTP를 사용합니다.[5]

USB 보안 토큰

연결된 토큰은 사용할 컴퓨터에 물리적으로 연결된 장치입니다.그 장치들은 자동으로 데이터를 전송합니다.[6]USB 토큰, 스마트 카드, 무선 태그 등 다양한 종류가 있습니다.[6]FIDO AllianceW3C(World Wide Web Consortium)가 지원하는 FIDO2 지원 토큰은 2015년부터 주류 브라우저 지원으로 인기를 끌고 있습니다.

소프트웨어 토큰(soft token)은 컴퓨터 서비스 사용을 허가하는 데 사용될 수 있는 2요소 인증 보안 장치의 한 종류입니다.소프트웨어 토큰은 데스크탑 컴퓨터, 노트북, PDA 또는 휴대폰과 같은 범용 전자 장치에 저장되며 복제될 수 있습니다.(하드웨어 토큰과 대조됩니다. 자격 증명이 전용 하드웨어 장치에 저장되어 있으므로 중복할 수 없으며, 장치의 물리적 침입이 없는 경우).소프트 토큰은 사용자가 상호 작용하는 장치가 아닐 수 있습니다.일반적으로 X.509v3 인증서가 장치에 로드되고 이 목적을 달성하기 위해 안전하게 저장됩니다.

다중 요소 인증은 물리적 보안 시스템에도 적용됩니다.이러한 물리적 보안 시스템은 일반적으로 액세스 제어(access control)라고 알려져 있습니다.다중 요소 인증은 일반적으로 액세스 제어 시스템에서 사용되며, 첫째, 식별 자격 증명의 역할을 하는 물리적 소유(예: 장치에 표시된 FOB, 키카드 또는 QR-코드), 둘째, 얼굴 생체 인식 또는 망막 스캔과 같은 자신의 신원에 대한 검증을 통해 배치됩니다.이러한 다중 요소 인증 형식을 일반적으로 얼굴 인증 또는 얼굴 인증이라고 합니다.

내재된

이러한 요소는 사용자와 관련된 요소이며, 대개 지문, 얼굴,[7] 음성 또는 홍채 인식을 포함한 생체 인식 방법입니다.키스트로크 역학과 같은 행동 생체 인식도 사용할 수 있습니다.

위치

주요 기사:위치 기반 인증

사용자의 물리적 위치와 관련된 네 번째 요소가 점차 등장하고 있습니다.회사 네트워크에 유선 연결된 상태에서는 핀 코드만 사용하여 로그인할 수 있습니다.반면, 사용자가 네트워크를 사용하지 않는 경우 소프트 토큰에서 코드를 입력해야 할 수도 있습니다.이는 사무실 출입이 통제되는 허용 기준으로 볼 수 있습니다.[citation needed]

네트워크 승인 제어를 위한 시스템은 Wi-Fi 대 유선 연결과 같이 장치가 연결된 특정 네트워크에 따라 네트워크 액세스 수준이 달라질 수 있는 경우와 유사한 방식으로 작동합니다.이를 통해 사용자는 사무실 간에 이동할 수 있으며 각 사무실에서 동일한 수준의 네트워크 액세스 권한을 동적으로 받을 수 있습니다.[citation needed]

휴대폰 기반 인증

텍스트 메시지를 통한 투 팩터 인증은 AT&T가 양방향 호출기를 통한 코드 교환에 기반하여 거래를 승인하는 시스템을 기술한 1996년 초에 개발되었습니다.[8][9]

다수의 다요소 인증 공급업체는 휴대폰 기반 인증을 제공합니다.푸시 기반 인증, QR코드 기반 인증, 일회용 비밀번호 인증(이벤트 기반 및 시간 기반), SMS 기반 인증 등이 있습니다.SMS 기반 검증은 몇 가지 보안 문제로 어려움을 겪고 있습니다.전화기를 복제할 수 있고, 여러 전화기에서 앱을 실행할 수 있으며, 휴대전화 유지보수 직원이 SMS 문자를 읽을 수 있습니다.특히, 휴대폰은 일반적으로 손상될 수 있는데, 이는 휴대폰이 더 이상 사용자만이 가지고 있는 것이 아니라는 것을 의미합니다.

사용자가 소유한 것을 포함한 인증의 가장 큰 단점은 사용자가 물리적 토큰(USB 스틱, 은행 카드, 열쇠 등)을 실질적으로 항상 가지고 다녀야 한다는 것입니다.분실 및 도난은 위험합니다.대부분의 조직에서는 멀웨어 및 데이터 도난 위험 때문에 USB 및 전자 장치를 사내 또는 외부에 휴대하는 것을 금지하고 있으며, 대부분의 중요한 컴퓨터에는 동일한 이유로 USB 포트가 없습니다.물리적 토큰은 일반적으로 확장되지 않으며, 일반적으로 각 새 계정 및 시스템에 대한 새로운 토큰이 필요합니다.이런 종류의 토큰을 구입하고 그 후에 교체하는 것은 비용을 수반합니다.또한 사용성과 보안 사이에는 본질적인 갈등과 피할 수 없는 상충 관계가 있습니다.[10]

휴대전화와 스마트폰을 포함한 2단계 인증은 전용 물리적 장치를 대체할 수 있습니다.인증을 위해 사용자는 장치에 대한 개인 액세스 코드(즉, 개별 사용자만 알고 있는 것)와 일반적으로 4~6자리로 구성된 일회성 유효한 동적 패스코드를 사용할 수 있습니다.패스코드는 SMS를 통해 모바일 기기로[1] 전송되거나 일회용 패스코드 생성기 앱을 통해 생성될 수 있습니다.두 경우 모두 사용자가 모바일 장치를 항상 휴대하는 경향이 있기 때문에 별도의 전용 토큰이 필요 없다는 장점이 있습니다.

SMS 검증의 인기에도 불구하고, 보안 옹호자들은 SMS 검증을 공개적으로 비판하였고,[11] 2016년 7월 미국 NIST 지침 초안은 인증의 한 형태로 이를 감가상각하는 것을 제안하였습니다.[12]1년 후 NIST는 SMS 검증을 최종 가이드라인에서 유효한 인증 채널로 복원하였습니다.[13]

구글과 애플은 2016년과 2017년에 각각 푸시 알림과 함께[2] 사용자 2단계 인증을 대안으로 제공하기 시작했습니다.[14][15]

모바일로 제공되는 보안 토큰의 보안은 전적으로 이동통신 사업자의 운영 보안에 달려 있으며 국가 보안 기관의 감청이나 SIM 클로닝에 의해 쉽게 침해될 수 있습니다.[16]

장점:

  • 항상 휴대하는 모바일 장치를 사용하기 때문에 추가 토큰이 필요하지 않습니다.
  • 지속적으로 변경되기 때문에 동적으로 생성된 암호는 고정된(정적인) 로그인 정보보다 사용하기에 안전합니다.
  • 솔루션에 따라 유효한 코드를 항상 사용할 수 있도록 하기 위해 사용된 암호가 자동으로 교체되므로 송수신 문제로 인해 로그인이 방지되지 않습니다.

단점:

  • 사용자는 여전히 피싱 공격에 취약할 수 있습니다.공격자는 실제 웹 사이트와 동일하게 보이는 스푸핑된사이트로 연결되는 텍스트 메시지를 보낼 수 있습니다.공격자는 인증 코드, 사용자 이름 및 암호를 얻을 수 있습니다.[17]
  • 휴대 전화는 항상 사용할 수 있는 것은 아닙니다. 분실, 도난, 배터리 방전, 또는 작동하지 않을 수 있습니다.
  • 인기가 높아졌음에도 불구하고, 일부 사용자들은 모바일 기기를 소유하지 못하고 가정용 PC에서 일부 서비스를 사용하는 조건으로 모바일 기기를 소유해야 하는 것에 화를 낼 수도 있습니다.
  • 휴대전화 수신이 항상 가능한 것은 아닙니다. 특히 도시 밖의 넓은 지역은 커버리지가 부족합니다.
  • SIM 클로닝은 해커들이 휴대폰 연결에 접근할 수 있게 해줍니다.모바일 운영업체에 대한 사회공학적 공격으로 범죄자들에게 중복 심카드를 넘겨주게 되었습니다.[18]
  • SMS를 사용하는 휴대 전화의 문자 메시지는 안전하지 않으며 IMSI-Catcher에 의해 가로챌 수 있습니다.따라서 제3자가 토큰을 도용하여 사용할 수 있습니다.[19]
  • 계정 복구는 일반적으로 휴대전화 2요소 인증을 무시합니다.[1]
  • 현대의 스마트폰은 이메일 수신과 문자메시지 수신에 모두 사용되기 때문에 휴대폰을 분실하거나 도난당하여 비밀번호나 생체인식으로 보호받지 못하면 두 번째 요소를 수신할 수 있기 때문에 이메일이 핵심이 되는 모든 계정이 해킹될 수 있습니다.
  • 이동통신사는 사용자에게 메시지 요금을 청구할 수 있습니다.

법규

PCI(Payment Card Industry) 데이터 보안 표준(요건 8.3)은 네트워크 외부에서 CDE(Card Data Environment)로 발생하는 모든 원격 네트워크 액세스에 MFA를 사용하도록 요구합니다.[20]PCI-DSS 버전 3.2부터는 사용자가 신뢰할 수 있는 네트워크 내에 있더라도 CDE에 대한 모든 관리 액세스에 MFA를 사용해야 합니다.

유럽 연합

두 번째 결제 서비스 지침은 2019년 9월 14일 이후 유럽 경제 지역의 대부분의 전자 결제에 대해 "강력한 고객 인증"을 요구합니다.[21]

인디아

인도의 경우, 인도 준비 은행은 비밀번호 또는 SMS를 통해 전송된 일회용 비밀번호를 사용하여 직불 카드 또는 신용 카드를 사용하여 이루어지는 모든 온라인 거래에 대해 2단계 인증을 의무화했습니다. 2016년 11월 지폐의 통화 해제 이후 최대 ₹2,000건의 거래에 대해 2016년에 일시적으로 철회되었습니다.우버와 같은 공급업체는 은행에 의해 이 두 가지 요소로 이루어진 인증 롤아웃에 따라 결제 처리 시스템을 수정하도록 의무화했습니다.[22][23][24]

미국

미국의 연방 직원 및 계약자에 대한 인증에 대한 세부 정보는 HSPD-12(Home Security Presidential Directive 12)에 정의되어 있습니다.[25]

기존의 인증 방법론은 설명된 세 가지 기본 "요소"를 포함합니다.두 개 이상의 요인에 의존하는 인증 방법은 단일 요인 방법보다 손상되기가 더 어렵습니다.[citation needed][26]

연방 정부 시스템에 대한 액세스를 위한 IT 규제 표준에서는 관리 작업을[27] 수행하기 위해 네트워크 장치에 로그온할 때와 권한 있는 로그인을 사용하여 컴퓨터에 액세스할 때 등과 같이 민감한 IT 리소스에 액세스하기 위해 다중 요소 인증을 사용해야 합니다.[28]

NIST 특별 간행물 800-63-3에서는 다양한 형태의 2요소 인증을 논의하고 다양한 수준의 보증이 필요한 비즈니스 프로세스에서 이를 사용하기 위한 지침을 제공합니다.[29]

2005년 미국 연방 금융기관 심사위원회는 금융기관들에게 위험 기반 평가를 실시하고 고객 인식 프로그램을 평가하며 온라인 금융 서비스에 원격으로 접근하는 고객을 안정적으로 인증하기 위한 보안 조치를 개발할 것을 공식적으로 권고하는 금융기관 지침을 발표했습니다.사용자의 신원을 결정하기 위해 두 가지 이상의 요소(specif으로, 사용자가 알고 있는 것, 가지고 있는 것 및 있는 것)에 의존하는 인증 방법의 사용을 권장합니다.이러한 발표에 대응하여 수많은 인증 공급업체들이 "다요소" 인증으로 문제 질문, 비밀 이미지 및 기타 지식 기반 방법을 부적절하게 홍보하기 시작했습니다.이로 인한 혼란과 광범위한 방법 채택으로 인해 2006년 8월 15일, FFIEC는 보완 지침을 발표하였는데, 이 지침은 "진정한" 다중 요소 인증 시스템은 정의에 따라 정의된 세 가지 인증 요소의 개별적인 인스턴스를 사용해야 하며,단지 단일 요인의 여러 인스턴스를 사용하는 것이 아닙니다.[31]

보안.

지지자들에 따르면, 다중 요소 인증은 온라인 ID 도용과 다른 온라인 사기의 발생을 크게 줄일 수 있는데, 피해자의 암호로는 더 이상 도둑이 자신의 정보에 영구적으로 접근할 수 없기 때문입니다.그러나 다수의 다중 요소 인증 접근 방식은 여전히 피싱,[32] 브라우저 맨 인 더 미들 및 맨 인 더 미들 공격에 취약합니다.[33]웹 응용 프로그램에서 이중 인증은 특히 SMS 및 전자 메일에서 피싱 공격에 취약하며, 이에 대한 대응으로 많은 전문가들은 사용자에게 확인 코드를 아무에게도 공유하지 말 것을 권고하고,[34] 많은 웹 응용 프로그램 공급자는 코드가 포함된 전자 메일 또는 SMS에 조언을 배치할 것입니다.[35]

다중 요소 인증은 ATM 스킴, 피싱 및 악성 프로그램과 같은 최신 위협에 효과적이지[36] 않을 수 있습니다.[37]

2017년 5월, 독일의 모바일 서비스 제공업체인 O2 Telefonica는 사이버 범죄자들이 SS7 취약점을 이용하여 SMS 기반의 2단계 인증을 우회하여 사용자의 은행 계좌에서 무단 인출을 수행했음을 확인했습니다.범인들은 먼저 은행 계좌 정보와 전화번호를 훔치기 위해 계좌 소유자의 컴퓨터를 감염시켰습니다.그런 다음, 공격자들은 가짜 통신 사업자에 대한 접근권을 구입하고 피해자의 전화번호를 자신들이 조종하는 단말기로 리디렉션하도록 설정했습니다.결국, 공격자들은 피해자들의 온라인 은행 계좌에 로그인하여 계좌에 있던 돈을 범죄자들이 소유한 계좌로 인출해 달라고 요청했습니다.SMS 비밀번호는 공격자들이 통제하는 전화번호로 전송되었고 범죄자들은 돈을 송금했습니다.[38]

MFA피로

주요 기사:다인자인증피로공격

MFA를 물리치기 위한 일반적인 접근 방식은 사용자가 결국 요청의 양에 굴복하여 로그인을 수락할 때까지 많은 요청을 사용자에게 퍼부는 것입니다.[39]

실행

다수의 다중 요소 인증 제품은 사용자가 다중 요소 인증 시스템을 작동시키기 위해 클라이언트 소프트웨어를 배포해야 합니다.일부 공급업체는 네트워크 로그인, 웹 액세스 자격 증명 및 VPN 연결 자격 증명을 위한 별도의 설치 패키지를 만들었습니다.이러한 제품의 경우, 토큰 또는 스마트 카드를 사용하기 위해 클라이언트 PC로 푸시 다운되는 소프트웨어 패키지가 4개 또는 5개 있을 수 있습니다.즉, 버전 제어를 수행해야 하는 패키지가 4개 또는 5개이고 비즈니스 애플리케이션과의 충돌 여부를 확인하는 패키지가 4개 또는 5개입니다.웹 페이지를 사용하여 액세스를 운영할 수 있다면 위에서 설명한 오버헤드를 단일 응용프로그램으로 제한할 수 있습니다.하드웨어 토큰 제품과 같은 다른 멀티팩터 인증 기술을 사용하면 최종 사용자가 소프트웨어를 설치할 필요가 없습니다.

다중 요소 인증에는 많은 접근 방식이 널리 퍼지지 않도록 하는 단점이 있습니다.일부 사용자는 하드웨어 토큰이나 USB 플러그를 추적하는 데 어려움을 겪습니다.많은 사용자가 클라이언트 측 소프트웨어 인증서를 설치하는 데 필요한 기술적 기술을 가지고 있지 않습니다.일반적으로 다중 요소 솔루션은 구현을 위한 추가 투자와 유지보수를 위한 비용이 필요합니다.대부분의 하드웨어 토큰 기반 시스템은 독점적이며, 일부 공급업체는 사용자당 연간 수수료를 부과합니다.하드웨어 토큰을 배포하는 것은 논리적으로 어렵습니다.하드웨어 토큰이 손상되거나 분실될 수 있으며, 은행과 같은 대기업이나 대기업 내에서도 토큰 발행 관리가 필요합니다.다중 요소 인증에는 구축 비용 외에도 상당한 추가 지원 비용이 수반되는 경우가 많습니다.2008년 Credit Union Journal이 120개 이상의 미국 신용 조합을 대상으로 실시한 설문[40] 조사에서 두 요소 인증과 관련된 지원 비용에 대해 보고했습니다.보고서에는 소프트웨어 인증서와 소프트웨어 툴바 접근 방식의 지원 비용이 가장 높은 것으로 보고되었습니다.

다중 요소 인증 체계의[41] 구축에 대한 연구 결과, 다중 요소 인증 체계를 구축하는 조직의 비즈니스 라인은 이러한 시스템의 채택에 영향을 미치는 요소 중 하나임이 밝혀졌습니다.대표적인 예로는 정교한 물리적 토큰 시스템을 사용하는 미국 정부(자체적으로 강력한 Public Key Infrastructure에 의해 지원됨)와 개인 은행이 있으며, 이들 은행은 고객을 위해 보다 접근성이 높고 비용이 적게 드는 신원 확인 수단을 포함하는 다요소 인증 체계를 선호하는 경향이 있습니다.고객 소유의 스마트폰에 설치된 앱과 같은.조직이 선택해야 하는 사용 가능한 시스템들 사이에 존재하는 다양한 변화에도 불구하고, 일단 다중 요소 인증 시스템이 조직 내에 배치되면, 그 시스템은 그대로 유지되는 경향이 있습니다.사용자가 시스템의 존재와 사용에 항상 순응하고 시간이 지남에 따라 시스템을 일상적인 정보 시스템과의 상호 작용 과정의 정규화된 요소로 받아들이게 됩니다.

다중 요소 인증은 완벽한 보안 영역 내에 있다는 인식이지만, Roger Grimes는 적절히 구현되고 구성되지 않으면 다중 요소 인증은 사실상 쉽게 패배할 수 있다고 말합니다[42].

특허

2013년 김닷컴은 2000년 특허에서 2요소 인증을 발명했다고 주장하며 주요 웹 서비스를 모두 고소하겠다고 잠시 협박하기도 했습니다.[43]하지만 유럽 특허청은 AT&T가 보유한 1998년 미국 특허를 고려해 그의 특허를[44] 취소했습니다.[45]

참고 항목

참고문헌

  1. ^ a b c "Two-factor authentication: What you need to know (FAQ) – CNET". CNET. Retrieved 2015-10-31.
  2. ^ a b c Jacomme, Charlie; Kremer, Steve (February 1, 2021). "An Extensive Formal Analysis of Multi-factor Authentication Protocols". ACM Transactions on Privacy and Security. New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566. S2CID 231791299.
  3. ^ kaitlin.boeckl@nist.gov (2016-06-28). "Back to basics: Multi-factor authentication (MFA)". NIST. Archived from the original on 2021-04-06. Retrieved 2021-04-06.
  4. ^ Barrett, Brian (July 22, 2018). "How to Secure Your Accounts With Better Two-Factor Authentication". Wired. Retrieved 12 September 2020.
  5. ^ "Configuring One-Time Passwords". www.sonicwall.com. Sonic Wall. Retrieved 19 January 2022.
  6. ^ a b van Tilborg, Henk C.A.; Jajodia, Sushil, eds. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN 9781441959058.
  7. ^ Cao, Liling; Ge, Wancheng (2015-03-10). "Analysis and improvement of a multi-factor biometric authentication scheme: Analysis and improvement of a MFBA scheme". Security and Communication Networks. 8 (4): 617–625. doi:10.1002/sec.1010.
  8. ^ "Does Kim Dotcom have original 'two-factor' login patent?". the Guardian. 2013-05-23. Retrieved 2022-11-02.
  9. ^ EP 0745961, "거래 승인 및 경보 시스템", 1996-12-04 발행
  10. ^ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. Retrieved 2018-03-23.
  11. ^ Andy Greenberg (2016-06-26). "So Hey You Should Stop Using Texts For Two-factor Authentication". Wired. Retrieved 2018-05-12.
  12. ^ "NIST is No Longer Recommending Two-Factor Authentication Using SMS". Schneier on Security. August 3, 2016. Retrieved November 30, 2017.
  13. ^ "Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"". July 6, 2017. Retrieved May 21, 2019.
  14. ^ Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. Retrieved 11 September 2017.
  15. ^ Chance Miller (2017-02-25). "Apple prompting iOS 10.3". 9to5 Mac. Retrieved 11 September 2017.
  16. ^ "How Russia Works on Intercepting Messaging Apps – bellingcat". bellingcat. 2016-04-30. Archived from the original on 2016-04-30. Retrieved 2016-04-30.
  17. ^ Kan, Michael (7 March 2019). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Mag. Retrieved 9 September 2019.
  18. ^ Nichols, Shaun (10 July 2017). "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'". The Register. Retrieved 2017-07-11.
  19. ^ Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 IEEE Symposium on Computers and Communications. pp. 700–705. arXiv:1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID 5066992.
  20. ^ "Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. Retrieved 2016-07-25.
  21. ^ Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.), 2018-03-13, retrieved 2021-04-06
  22. ^ Agarwal, Surabhi (7 December 2016). "Payment firms applaud RBI's move to waive off two-factor authentication for small value transactions". The Economic Times. Retrieved 28 June 2020.
  23. ^ Nair, Vishwanath (6 December 2016). "RBI eases two-factor authentication for online card transactions up to Rs2,000". Livemint. Retrieved 28 June 2020.
  24. ^ "Uber now complies with India's two-factor authentication requirement, calls it unnecessary and burdensome". VentureBeat. 2014-11-30. Retrieved 2021-09-05.
  25. ^ "Homeland Security Presidential Directive 12". Department of Homeland Security. August 1, 2008. Archived from the original on September 16, 2012.
  26. ^ 2006년[dead link] 8월 15일 "인터넷 뱅킹 환경에서의 인증에 관한 FFIEC 지침에 관한 자주 묻는 질문"
  27. ^ "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
  28. ^ "SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
  29. ^ "Digital Identity Guidelines". NIST Special Publication 800-63-3. NIST. June 22, 2017. Retrieved February 2, 2018.
  30. ^ "FFIEC Press Release". 2005-10-12. Retrieved 2011-05-13.
  31. ^ FFIEC (2006-08-15). "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). Retrieved 2012-01-14.
  32. ^ Brian Krebs (July 10, 2006). "Security Fix – Citibank Phish Spoofs 2-Factor Authentication". Washington Post. Retrieved 20 September 2016.
  33. ^ Bruce Schneier (March 2005). "The Failure of Two-Factor Authentication". Schneier on Security. Retrieved 20 September 2016.
  34. ^ Alex Perekalin (May 2018). "Why you shouldn't ever send verification codes to anyone". Kaspersky. Retrieved 17 October 2020.
  35. ^ Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication". Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. S2CID 10821943.
  36. ^ Shankland, Stephen. "Two-factor authentication? Not as secure as you'd expect when logging into email or your bank". CNET. Retrieved 2020-09-27.
  37. ^ "The Failure of Two-Factor Authentication – Schneier on Security". schneier.com. Retrieved 23 October 2015.
  38. ^ Khandelwal, Swati. "Real-World SS7 Attack – Hackers Are Stealing Money From Bank Accounts". The Hacker News. Retrieved 2017-05-05.
  39. ^ "MFA Fatigue: Hackers' new favorite tactic in high-profile breaches". BleepingComputer. Retrieved 2023-08-12.
  40. ^ "Study Sheds New Light On Costs, Effects Of Multi-Factor". 4 April 2008.
  41. ^ Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influences on the Adoption of Multifactor Authentication".
  42. ^ "Hacking Multifactor Authentication Wiley". Wiley.com. Retrieved 2020-12-17.{{cite web}}: CS1 유지 : url-status (링크)
  43. ^ US 6078908, Schmitz, Kim, "데이터 전송 시스템에서의 인가 방법"
  44. ^ Brodkin, Jon (23 May 2013). "Kim Dotcom claims he invented two-factor authentication—but he wasn't first". Ars Technica. Archived from the original on 9 July 2019. Retrieved 25 July 2019.
  45. ^ US 5708422, Blonder 등, "거래 승인 및 경보 시스템"

추가열람

외부 링크