KR101262913B1 - 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 - Google Patents
한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 Download PDFInfo
- Publication number
- KR101262913B1 KR101262913B1 KR1020110042533A KR20110042533A KR101262913B1 KR 101262913 B1 KR101262913 B1 KR 101262913B1 KR 1020110042533 A KR1020110042533 A KR 1020110042533A KR 20110042533 A KR20110042533 A KR 20110042533A KR 101262913 B1 KR101262913 B1 KR 101262913B1
- Authority
- KR
- South Korea
- Prior art keywords
- password
- matrix
- hangul
- user
- module
- Prior art date
Links
Images
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Input From Keyboards Or The Like (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
본 발명은 훔쳐보기 공격에 견고한 그래피컬 패스워드 입력 방법을 통해 훔쳐보기 공격에 대한 안전성을 제공하는 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법을 제공하기 위한 것으로서, 적어도 2개 이상의 행과 열을 포함하는 매트릭스 형태의 표에 한글초성이 매트릭스 형태로 배치되어 각 열의 회전을 통해 정의된 각 자리별 한글초성으로 이루어지는 패스워드를 입력받는 한글초성 매트릭스 모듈과, 상기 한글초성 매트릭스 모듈에 무작위로 섞은 문자 집합을 갖는 한글초성 매트릭스를 생성하여 사용자에게 제공하고, 사용자에 의해 한글초성 매트릭스 모듈에 입력된 패스워드 문자를 통해 패스워드 인증을 수행하는 패스워드 인증모듈을 포함하여 구성되는데 있다.
Description
본 발명은 인증 과정 시 제 3 자의 훔쳐보기를 방지하는 패스워드 입력 시스템 및 입력 방법에 관한 것으로, 특히 훔쳐보기 공격에 견고한 그래피컬 패스워드 입력 방법을 통해 훔쳐보기 공격에 대한 안전성을 제공하는 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법에 관한 것이다.
최근 사용이 급증하고 있는 스마트 폰을 위시한 모바일 디바이스들은 사용자의 개인적인 프라이버시와 매우 밀접한 관계가 있고, 물리적으로 작기 때문에 일시적 점유 이탈, 분실, 도난 등의 이유로 허락받지 않은 제 3 자에게 노출되기 쉽다. 따라서 적절한 수준의 사용자 인증은 매우 중요한 문제이다.
하지만 이러한 모바일 디바이스는 물리적으로 작은 입력장치와 화면크기, 제한된 계산 자원 및 전력 소모 문제와 같은 여러 가지 제약을 가지고 있기 때문에 사용자 인증이 용이하지 않다.
전통적인 텍스트 기반 패스워드는 대중적으로 사용되는 방법이지만 추측, 사전 공격, 키로거, 사회공학, 훔쳐보기, 스파이웨어 등의 공격에 취약하고 이는 모바일 환경에서 더욱 심각한 문제이다.
이러한 취약점을 보완하기 위하여 그래픽 패스워드(graphical password)가 연구되어 왔다. 하지만 그래픽 패스워드는 일반적인 텍스트 기반의 패스워드보다 훔쳐보기(shoulder-surfing) 공격에 오히려 더 취약하다는 문제점을 안고 있다.
훔쳐보기 공격은 패스워드에 대한 대표적인 공격방법 중 하나로서, 공격자는 로그인 과정을 직접 관찰하거나 사용자의 인증 과정을 녹화하는 방식을 통하여 패스워드에 대한 정보를 얻을 수 있다.
이에 따라, 기존의 방법 중에서도 훔쳐보기를 방지하는 시스템들이 있었지만, 인증 과정 중에 안전하게 정보를 송수신하기 위한 별도의 장치가 필요하거나, 사용자가 지나치게 복잡하고 번거로운 연산을 수행하여야 함으로 인하여 범용적인 환경에서 일반적인 사용자를 대상을 적용하기에는 매우 큰 무리가 있다.
도 1 은 종래 기술에 따른 별도의 송수신장치를 필요로 하는 OTP(One-Time Password) 장치를 나타낸 도면이고, 도 2 및 도 3 은 종래 기술에 따른 인증 과정 중에 안전하게 정보를 송수기 하기 위해 사용자로 하여금 지나치게 힘든 연산을 요구하는 시스템을 나타낸 도면으로, 도 2 는 convex Hull click 시스템을 나타낸 도면이고, 도 3 은 알파-뉴메릭 매트릭스를 이용한 패스워드 입력 시스템을 나타낸 도면이다.
도 1에서 도시하고 있는 OTP 장치는 사용자가 인증 과정을 거칠 때마다 매번 패스워드가 바뀌므로 입력 과정에서 패스워드의 노출을 걱정하지 않아도 된다는 장점이 있으나, 도시하고 있는 OTP 장치를 매번 소지하고 있어야 한다는 불편함이 있다. 더욱이 사이트마다 서로 다른 OTP 장치를 요구하는 경우에는 그 불편함이 더욱 가중되어 혼동의 여지가 발생하게 된다.
도 2에서 도시하고 있는 convex Hull click 시스템은 사용자가 화면에 있는 수백 개 이상의 아이콘들 중에 자신의 아이콘들을 찾아 그 아이콘이 이루는 볼록 다각형 내부를 클릭하는 과정을 수 회 반복하여 인증을 수행하는 방식으로서, 이 시스템은 충분한 보안성을 위하여 20,000개의 아이콘을 사용하도록 권장하고 있는데, 일반 사용자의 입장에서는 많은 아이콘을 검색하여 자신의 아이콘을 찾아 클릭한다는 것은 사용하기가 매우 힘든 시스템이라 할 수 있다.
도 3에서 도시하고 있는 알파-뉴메릭 매트릭스를 이용한 패스워드 입력 시스템은 패스워드 문자로 이루어진 행렬 상에서 사용자는 자신의 패스워드의 각 2자리를, 예를 들어 패스워드가 "GRID"라면 먼저 "G"가 속한 행과 "R"이 속한 열의 교차점 "D"를 선택하고, 나머지 "R"과 "I", "I"와 "D"에 대해서도 마찬가지로 각각의 교차점을 찾아야 선택하는 과정을 되풀이 하여 선택함으로써 인증을 수행한다. 그러나 자신의 패스워드에서 차례대로 2자리씩 상기해야 하는 것 자체만으로도 일정 연령대 이상의 사용자는 이를 수행하는데 어려움이 있다.
이처럼 문자열 패스워드가 기억하기 어렵다는 점을 보완하기 위하여 그래픽 아이콘을 이용하는 등의 시도를 하여 왔다.
도 4 는 종래 기술에 따른 그래픽 아이콘을 이용하여 인증을 수행하는 방법에 따른 도면이다.
도 4와 같이, 사람의 얼굴 사진을 하나의 패스워드 문자로 이용하는 입력 시스템으로, 인간의 얼굴 인지 및 기억 능력을 이용하여 패스워드를 기억하도록 하는 방식이다. 그러나 이 시스템은 훔쳐보기 공격에 취약할 뿐만 아니라 유사한 사진이 있는 경우 일부 사용자는 구별하는데 어려움을 겪을 수 있으며, 이 시스템을 오래 사용하다보면 자신의 패스워드가 아닌 사진까지도 눈에 익숙하게 되어 혼동을 일으킬 수 있으므로 인간의 얼굴 인지 능력을 이용하였다는 장점이 오히려 단점으로 작용할 수도 있다.
이처럼, 도 4와 같이 그래픽 아이콘을 이용하는 경우는 패스워드로 사용된 아이콘을 설계할 때에 서로 다른 아이콘 간의 식별이 용이하도록 하기 위한 고도의 심리학적인 전문지식이 필요하며 개인 간의 식별 능력 편차를 극복하기가 어려운 문제가 있다.
또한 최근 보안 이슈가 되는 것 중 하나가 여러 사이트에 동일한 비밀번호를 사용하는 경우인데, 이러한 경우 해당 여러 사이트 중 한 사이트에서만 정보 유출이 일어나더라도 사용자의 모든 계정이 공격당하는 보안적 결함을 가지게 되는데, 이를 위해서는 각각의 사이트에 대하여 서로 다른 비밀번호를 설정해야 한다.
하지만 사이트의 수가 많아질수록 사용자는 기억하기가 더욱 어렵고 또한 많은 사이트들이 주기적(보통 3개월)으로 패스워드를 바꾸도록 권고하고 있기 때문에 매번 새롭게 적게는 1~2개에서 많게는 십여 개가 넘는 패스워드를 모두 암기해야 하는 부담이 있다. 이를 위해서는 각 사이트의 패스워드에 대한 힌트가 들어있는 간단한 메모가 필연적이게 되는데 앞서 언급한 그래픽 패스워드의 경우에는 메모가 어렵고 번거로울 뿐만 아니라 한번 메모를 하게 되면 다른 사람에게 그 메모가 노출되었을 때에 패스워드가 쉽게 노출된다는 단점이 있다.
따라서 본 발명은 상기와 같은 문제점을 해결하기 위해 안출한 것으로서, 훔쳐보기 공격에 견고한 그래피컬 패스워드 입력 방법을 통해 훔쳐보기 공격에 대한 안전성을 제공하는 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 패스워드를 직접 입력하지 않고 인증 화면상에 방해 요소 역할을 하는 문자들을 배열함으로써, 공격자가 한두 번의 훔쳐보기 공격을 하더라도 사용자의 패스워드를 정확히 알아내는 것이 용이하지 않도록 할 수 있는 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 별도의 추가 장치도 없이 아주 간단한 연산만으로 인증 과정 중에 훔쳐보기 공격에 의하여 패스워드가 완전히 노출되는 것을 차단할 수 있는 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 한글초성을 이용한 패스워드 시스템의 특징은 적어도 2개 이상의 행과 열을 포함하는 매트릭스 형태의 표에 한글초성이 매트릭스 형태로 배치되어 각 열의 회전을 통해 정의된 각 자리별 한글초성으로 이루어지는 패스워드를 입력받는 한글초성 매트릭스 모듈과, 상기 한글초성 매트릭스 모듈에 무작위로 섞은 문자 집합을 갖는 한글초성 매트릭스를 생성하여 사용자에게 제공하고, 사용자에 의해 한글초성 매트릭스 모듈에 입력된 패스워드 문자를 통해 패스워드 인증을 수행하는 패스워드 인증모듈을 포함하여 구성되는데 있다.
바람직하게 상기 한글초성 매트릭스 모듈은 한글초성 매트릭스 각 열의 상하 회전을 통한 화면상에 보이는 한글초성 매트릭스의 각 자리별 지정된 위치에 기재된 한글초성의 조합으로 패스워드를 입력받는 것을 특징으로 한다.
바람직하게 상기 패스워드 인증모듈은 한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈로 제공하는 한글초성 매트릭스 생성모듈과, 한글초성 매트릭스 모듈을 통해 입력된 한글초성 매트릭스의 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 매트릭스 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드가 제대로 입력되었는지 확인하는 패스워드 입력 확인모듈을 포함하여 구성되는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법의 특징은 (A) 한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 적어도 2개 이상의 행과 열을 포함하는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈로 제공하는 단계와, (B) 사용자에 의해 각 열이 상하로 회전된 한글초성 매트릭스의 지정된 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 패스워드 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드의 인증여부를 확인하는 단계와, (C) 상기 확인 결과, 검출된 패스워드가 인증 확인되지 않은 경우는 오류 메시지를 출력하고, 검출된 패스워드가 인증 확인되는 경우는 패스워드 확인 메시지를 출력하는 단계를 포함하는 것을 특징으로 한다.
바람직하게 상기 (B) 단계는 화면상에 보이되 적어도 2열 이상의 행에서 지정된 각 자리별 위치로 패스워드 문자를 검출하는 것을 특징으로 한다.
바람직하게 상기 지정된 자리별 위치는 화면상에 보이되 이웃하는 열과의 행의 거리를 제한하여 정의하는 것을 특징으로 한다.
바람직하게 상기 (B) 단계에서 제공되는 적어도 2개 이상의 행과 열을 포함하는 한글초성 매트릭스를 미리 정의되는 훔쳐보기 가중치에 기반하여 서로 다른 행수를 갖는 한글초성 매트릭스를 제공하는 것을 특징으로 한다.
이상에서 설명한 바와 같은 본 발명에 따른 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법은 다음과 같은 효과가 있다.
첫째, 인증과정에서 사용자의 패스워드가 아닌 다른 문자들이 화면에 같이 출력됨으로서, 제 3 자가 훔쳐보기(shoulder-surfing)를 통하여 인증 과정을 빠짐없이 관찰하더라도 사용자의 패스워드를 획득할 수 없는 효과가 있다.
둘째, 패스워드 문자로서 초성을 사용함으로써, 사용자가 패스워드를 기억하기에 매우 용이하고, 패스워드의 보관에 있어서도 간단한 응용만으로도 사용자 개별의 암호 은닉 방식을 개발할 수 있어 보안성을 크게 높일 수 있는 효과가 있다.
셋째, 별도의 추가 장치도 없이 아주 간단한 연산만으로 인증 과정 중에 훔쳐보기 공격에 의하여 패스워드가 완전히 노출되는 것을 차단할 수 있는 효과가 있다.
넷째, 최근 보급이 활성화 되고 있는 스마트폰이나 은행의 ATM과 같이 터치스크린이 장착된 장치에서 터치스크린을 통한 직관적이고 간단한 조작을 통하여 쉽게 이용 가능하다.
다섯째, 터치스크린이 없는 장치에서도 해당 장치에서 지원되는 입력장치를 통하여 별다른 불편 없이 조작이 가능하므로 추가 입출력 기기에 대한 의존성이 낮아 다양한 장치에서 시스템 수행이 용이하다.
여섯째, 한글초성 뿐만 아니라 다른 여러 가지 문자 집합(영문자, 숫자, 특수문자, 그래픽 아이콘 등)을 적용하기도 용이하기 때문에 매우 유연하고 쉽게 확장 가능한 효과가 있다.
일곱째, 한글초성을 이용한 패스워드는 누구든지 암호 은닉(steganography)을 적용하기가 쉽기 때문에 다양한 패스워드를 부담 없이 사용할 수 있는 장점이 있다.
[도 1] 종래 기술에 따른 별도의 송수신장치를 필요로 하는 OTP(One-Time Password) 장치를 나타낸 도면
[도 2 내지 도 4] 도 2 내지 도 4 는 종래 기술에 따른 인증 과정 중에 안전하게 정보를 송수기 하기 위해 사용자로 하여금 지나치게 힘든 연산을 요구하는 시스템을 나타낸 도면
[도 5] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템을 나타낸 구성도
[도 6] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법을 설명하기 위한 흐름도
[도 7] 도 6에서 열의 수(패스워드의 길이)가 고정된 상태에서 행의 수가 늘어남에 따라 후보 패스워드의 수가 늘어나는 것을 설명하기 위한 도면
[도 8] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템에서 실제 웹(web) 상에서 동작하도록 구현된 한글초성 매트릭스 모듈을 나타낸 화면
[도 2 내지 도 4] 도 2 내지 도 4 는 종래 기술에 따른 인증 과정 중에 안전하게 정보를 송수기 하기 위해 사용자로 하여금 지나치게 힘든 연산을 요구하는 시스템을 나타낸 도면
[도 5] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템을 나타낸 구성도
[도 6] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법을 설명하기 위한 흐름도
[도 7] 도 6에서 열의 수(패스워드의 길이)가 고정된 상태에서 행의 수가 늘어남에 따라 후보 패스워드의 수가 늘어나는 것을 설명하기 위한 도면
[도 8] 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템에서 실제 웹(web) 상에서 동작하도록 구현된 한글초성 매트릭스 모듈을 나타낸 화면
본 발명의 다른 목적, 특성 및 이점들은 첨부한 도면을 참조한 실시예들의 상세한 설명을 통해 명백해질 것이다.
본 발명에 따른 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법의 바람직한 실시예에 대하여 첨부한 도면을 참조하여 설명하면 다음과 같다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예는 본 발명의 개시가 완전하도록하며 통상의 지식을 가진자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다. 즉, 본 명세서에서 사용되는 패스워드 문자를 한글초성으로 한정하여 설명하고 있지만, 이외에도 숫자 및 특수문자도 포함될 수 있는 것은 당연하다. 그러나 본 발명의 목적 및 효과를 나타낼 수 있는 패스워드 문자가 한글초성에서 이루어지므로, 한글초성에 한정하여 설명하도록 한다.
도 5 는 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템을 나타낸 구성도이다.
도 5와 같이, 한글초성을 이용한 패스워드 시스템은 한글초성 매트릭스 모듈(100)과, 패스워드 인증모듈(200)로 구성된다.
상기 한글초성 매트릭스 모듈(100)은 행과 열을 포함하는 매트릭스 형태의 표에 한글초성이 매트릭스 형태로 배치되어 사용자가 패스워드를 직접 입력하기 위한 것으로서, 6행 4열 격자(grid) 상에서 사용자가 수행할 수 있는 이동 연산이 각 열의 상하 회전이고 지정된 위치가 패스워드 문자의 각 자리별로 화면상에 보이는 위치인 경우이다. 이는 각 열에는 모든 한글초성이 무작위로 섞여 있고, 사용자에 의해 각 열을 회전시켜 그 열에 해당하는 패스워드 문자가 화면상에 보이도록 위치하게 된다.
상기 패스워드 인증모듈(200)은 한글초성 매트릭스 모듈(100)에 무작위로 섞은 문자 집합을 갖는 한글초성 매트릭스를 생성하여 사용자에게 제공하고, 사용자에 의해 한글초성 매트릭스 모듈(100)에 입력된 한글초성 매트릭스의 각 자리별 위치로 만들어진 패스워드 문자를 통해 패스워드 인증을 수행하기 위한 것으로서, 한글초성 매트릭스 생성모듈(210)과, 패스워드 입력 확인모듈(220)로 구성된다.
상기 한글초성 매트릭스 생성모듈(210)은 한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈(100)로 제공한다.
상기 패스워드 입력 확인모듈(220)은 사용자가 한글초성 매트릭스 모듈(100)을 통해 입력된 한글초성 매트릭스의 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 매트릭스 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드가 제대로 입력되었는지 확인한다. 그리고 사용자가 입력한 패스워드가 제대로 입력되지 않았을 경우 패스워드 입력 확인 모듈(220)은 사용자에게 오류 메시지를 보내며, 사용자가 입력한 패스워드가 제대로 입력되었을 경우, 패스워드 입력 확인 모듈(220)은 사용자를 인증 확인하고 사용자에게 패스워드 확인 메시지를 보낸다.
이와 같이 구성된 본 발명에 따른 한글초성을 이용한 패스워드 시스템을 이용하여 훔쳐보기 방지 입력 방법을 첨부한 도면을 참조하여 상세히 설명하면 다음과 같다.
도 6 은 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법을 설명하기 위한 흐름도이다.
도 6을 참조하여 설명하면, 먼저 패스워드 시스템(200)은 한글초성 매트릭스 생성모듈(210)을 이용하여 한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈(100)로 제공한다(S10).
사용자는 한글초성 매트릭스 모듈(100)에 표시되는 한글초성 매트릭스의 각 열을 회전시켜 지정된 각 자리별 위치로 정의된 패스워드 문자가 위치하도록 조작한다(S20). 이때, 사용자의 조작은 스크롤을 통한 각 열에 대하여 상하 연산을 통해 이루어진다.
일 실시예로서 도 7에서는 정의된 패스워드 문자가 “부산대학”의 초성에 해당하는 “ㅂㅅㄷㅎ”이 입력된 상태이다. 이때, 도 7(a)는 모든 패스워드 문자가 1열에 위치되는 경우를 나타내고 있으며, 도 7(b)는 패스워드 문자가 2열에 거쳐서 위치되는 경우를 나타내고 있으며, 도 7(c)는 패스워드 문자가 3열에 거쳐서 위치되는 경우를 나타내고 있다. 이처럼 패스워드 문자를 나타내는 행의 수가 늘어남에 따라 후보 패스워드의 수가 늘어나서 제 3 자가 인증과정을 훔쳐보더라도 패스워드를 알아내기 힘들어지게 된다. 참고로 상기 후보 패스워드는 화면상에 노출은 되지만 정의된 패스워드 문자와는 관계없는 한글초성의 조합을 말한다.
좀 더 상세히 살펴보면, 도 7 은 열의 수(패스워드의 길이)가 4로 고정된 상태에서 행의 수가 늘어남에 따라 후보 패스워드의 수가 늘어나는 것을 나타낸 것이다. 즉, 도 7(a)와 같이 행의 수가 1인 경우에는 한 화면에 사용자의 패스워드 “ㅂㅅㄷㅎ”밖에 존재하지 않기 때문에 훔쳐보는 경우에 사용되는 패스워드가 노출될 수 있다. 한편 도 7(b)와 같이 행의 수가 2행이 되면 훔쳐보기를 하여 얻을 수 있는 패스워드 조합은 “ㅂㄲㄷㄹ”, “ㅂㄲㄷㅎ”, “ㅂㄲㅁㄹ”, “ㅂㄲㅁㅎ”, “ㅂㅅㄷㄹ”, “ㅂㅅㄷㅎ”, ... ,“ㄷㅅㅁㅎ” 등 총 
개의 후보 패스워드가 존재하게 된다. 또한 도 7(c)와 같이 행의 수가 3행이 되면 후보 패스워드의 개수는 
개로 더욱 늘어나 훔쳐보기를 하더라도 정확한 패스워드를 알아내기가 매우 힘들게 된다. 이때 2열 이상의 행으로 패스워드를 조합하는 경우에는 각 열마다 미리 지정된 위치가 정의되어 있으며, 이는 사용자가 인지하고 있어야 하는 것은 당연하다.
이처럼 사용자는 자신이 패스워드를 한글초성 매트릭스의 각 열에 차례대로 보이도록 조작한 후, 확인 버튼을 선택함으로써, 패스워드의 입력을 완료한다(S30).
이어 패스워드 시스템(200)은 패스워드 입력 확인모듈(220)을 이용하여 입력된 한글초성 매트릭스의 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 패스워드 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드가 제대로 입력되었는지 확인한다(S40).
그리고 사용자가 입력한 패스워드가 제대로 입력되지 않았을 경우 패스워드 입력 확인 모듈(220)은 사용자에게 오류 메시지를 보내며, 사용자가 입력한 패스워드가 제대로 입력되었을 경우, 패스워드 입력 확인 모듈(220)은 사용자를 인증 확인하고 사용자에게 패스워드 확인 메시지를 보낸다(S50).
위와 같은 패스워드 훔쳐보기 방지 입력 방법을 통한 인증 과정을 훔쳐보는 경우에는 사용자의 패스워드를 제외한 다른 패스워드 문자들(후보 패스워드) 역시 화면상에 노출이 되기 때문에 어떤 것이 진짜 사용자의 패스워드인지를 알기 어렵다.
또한 도 7과 같이 설정을 M행 N열 격자 상에 적용하는 경우, 제 3 자가 인증과정을 훔쳐보더라도 이로부터 추측할 수 있는 것은 화면상에 나타난 
개의 조합 가능한 후보 패스워드 가운데 사용자의 패스워드가 존재한다는 사실뿐이므로, 훔쳐보기를 한 자가 사용자의 패스워드를 정확히 추측하기 어렵다. 처음의 예에서는 한 화면 상에 
개의 후보 패스워드가 존재한다. 이를 다시 말하면, 제 3 자가 인증 과정을 완벽하게 훔쳐보고 재현을 한다고 하더라도 사용자의 패스워드를 정확히 알아낼 확률이 0.1% 미만이라는 것을 의미한다.
한편, 일반적으로 한 화면에 나타나는 후보 패스워드의 개수가 커지면 훔쳐보기 공격에 대한 저항력이 높아지지만, 그에 반하여 무작위로 패스워드를 입력하였을 때 우연히 인증을 통과할 확률 역시 높아지게 된다. 예를 들어 행의 개수 M이 총 패스워드 문자 가짓수와 같아진다면 후보 패스워드의 개수는 최대가 되지만 모든 패스워드 문자가 항상 화면상에 위치하고 있기 때문에 제 3 자가 어떤 입력을 하더라도 100%의 확률로 인증을 통과할 수 있게 된다. 따라서 훔쳐보기 공격에 대한 저항력과 무작위 입력에 대한 저항력을 조율할 필요가 있다.
이에 따라, 이를 사용할 때에는 미리 정의되는 훔쳐보기 가중치에 기반하여 시스템 관리자가 행의 수를 조정하여 보안성을 조율할 수 있다. 즉, 훔쳐보기 위험이 크지 않은 환경이라면 행의 수(M)를 상대적으로 작게 설정을 하여 무작위 입력 확률을 낮출 수 있고, 훔쳐보기 위험이 상대적으로 크거나 무작위 입력을 여러 번 할 수 없는 환경이라면(예를 들어 은행 ATM 앞에서 수백 번에 걸쳐 패스워드를 계속해서 입력할 수는 없다) 행의 수(M)를 상대적으로 크게 설정하여 훔쳐보기 공격에 의한 피해를 줄일 수 있다.
도 8 은 본 발명의 실시예에 따른 한글초성을 이용한 패스워드 시스템에서 실제 웹(web) 상에서 동작하도록 구현된 한글초성 매트릭스 모듈을 나타낸 화면이다.
도 8과 같이, M=6, N=5의 설정을 갖는 한글초성 매트릭스를 이용하여, 웹에 접근 가능한 일반적인 PC에서는 터치스크린이 없으므로 터치 대신 마우스 휠 조작을 통하여 각 열을 상하로 이동할 수 있도록 함으로써 사용자 편의성을 도모하였다.
또한, 도 9 는 본 발명에 따른 한글초성을 이용한 패스워드 시스템에서 제공하는 한글초성 매트릭스 모듈의 다른 실시예를 나타낸 도면으로서, 주어진 이동 연산이 도면과 같이 각 열의 상하(上下) 회전이고, 지정된 위치에 대한 규칙이 패스워드 문자들이 화면상에 보이되 패스워드 문자가 3행 이상 떨어지지 않게 위치하도록 배치하는 경우를 나타낸다.
즉, 패스워드인 “ㅂㅅㄷㅎ”이 위치한 행 가운데 가장 멀리 떨어져 위치한 것이 4행에 위치한 2번째 글자 “ㅅ”과 2행에 위치한 3번째 글자 “ㄷ”로, 2행만큼 떨어져 있다.
이와 같이, 추가된 규칙을 통하여 입력 시스템의 설계 시에 패스워드 입력 방법의 보안성을 더욱 정교하게 조절할 수도 있다.
상기에서 설명한 본 발명의 기술적 사상은 바람직한 실시예에서 구체적으로 기술되었으나, 상기한 실시예는 그 설명을 위한 것이며 그 제한을 위한 것이 아님을 주의하여야 한다. 또한, 본 발명의 기술적 분야의 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 실시예가 가능함을 이해할 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
Claims (7)
- 적어도 2개 이상의 행과 열을 포함하는 매트릭스 형태의 표에 한글초성이 매트릭스 형태로 배치되어 각 열의 회전을 통해 정의된 각 자리별 한글초성으로 이루어지는 패스워드를 입력받는 한글초성 매트릭스 모듈과,
상기 한글초성 매트릭스 모듈에 무작위로 섞은 문자 집합을 갖는 한글초성 매트릭스를 생성하여 사용자에게 제공하고, 사용자에 의해 한글초성 매트릭스 모듈에 입력된 패스워드 문자를 통해 패스워드 인증을 수행하는 패스워드 인증모듈을 포함하여 구성되고,
이때, 상기 패스워드 인증모듈은
한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈로 제공하는 한글초성 매트릭스 생성모듈과,
한글초성 매트릭스 모듈을 통해 입력된 한글초성 매트릭스의 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 매트릭스 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드가 제대로 입력되었는지 확인하는 패스워드 입력 확인모듈을 포함하여 구성되는 것을 특징으로 하는 한글초성을 이용한 패스워드 시스템. - 제 1 항에 있어서,
상기 한글초성 매트릭스 모듈은 한글초성 매트릭스 각 열의 상하 회전을 통한 화면상에 보이는 한글초성 매트릭스의 각 자리별 지정된 위치에 기재된 한글초성의 조합으로 패스워드를 입력받는 것을 특징으로 하는 한글초성을 이용한 패스워드 시스템. - 삭제
- (A) 한글초성의 순서를 무작위로 섞은 문자 집합들을 갖는 적어도 2개 이상의 행과 열을 포함하는 한글초성 매트릭스를 생성하여 한글초성 매트릭스 모듈로 제공하는 단계와,
(B) 사용자에 의해 각 열이 상하로 회전된 한글초성 매트릭스의 지정된 각 자리별 위치로 패스워드 문자를 검출하고, 검출된 패스워드 문자를 미리 저장되어 있는 사용자별 인증정보와 비교하여 패스워드의 인증여부를 확인하는 단계와,
(C) 상기 확인 결과, 검출된 패스워드가 인증 확인되지 않은 경우는 오류 메시지를 출력하고, 검출된 패스워드가 인증 확인되는 경우는 패스워드 확인 메시지를 출력하는 단계를 포함하고,
이때, 상기 (B) 단계는 화면상에 보이되 적어도 2열 이상의 행에서 지정된 각 자리별 위치로 패스워드 문자를 검출하는 것을 특징으로 하는 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법. - 삭제
- 제 5 항에 있어서,
상기 지정된 자리별 위치는 화면상에 보이되 이웃하는 열과의 행의 거리를 제한하여 정의하는 것을 특징으로 하는 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법. - 제 4 항에 있어서,
상기 (B) 단계에서 제공되는 적어도 2개 이상의 행과 열을 포함하는 한글초성 매트릭스를 미리 정의되는 훔쳐보기 가중치에 기반하여 서로 다른 행수를 갖는 한글초성 매트릭스를 제공하는 것을 특징으로 하는 한글초성을 이용한 패스워드 훔쳐보기 방지 입력 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110042533A KR101262913B1 (ko) | 2011-05-04 | 2011-05-04 | 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110042533A KR101262913B1 (ko) | 2011-05-04 | 2011-05-04 | 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120124719A KR20120124719A (ko) | 2012-11-14 |
| KR101262913B1 true KR101262913B1 (ko) | 2013-05-10 |
Family
ID=47510011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110042533A KR101262913B1 (ko) | 2011-05-04 | 2011-05-04 | 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101262913B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101479246B1 (ko) * | 2013-07-29 | 2015-01-21 | (주)한국프레이밍연구소 | 위치심볼을 이용한 인증시스템 및 그 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100688224B1 (ko) | 2005-12-29 | 2007-03-02 | 주식회사 팬택 | 암호 입력 기능을 제공하는 이동통신 단말기 및 방법 |
-
2011
- 2011-05-04 KR KR1020110042533A patent/KR101262913B1/ko not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100688224B1 (ko) | 2005-12-29 | 2007-03-02 | 주식회사 팬택 | 암호 입력 기능을 제공하는 이동통신 단말기 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 한국콘텐츠학회논문지 제11권 제4호 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120124719A (ko) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10176315B2 (en) | Graphical authentication | |
| US8813219B2 (en) | Method for producing dynamic data structures for authentication and/or password identification | |
| US8334845B2 (en) | Thwarting screen logging of keypad in a web-based form | |
| JP2008293514A (ja) | コンピュータシステムの操作方法 | |
| US20110004928A1 (en) | Password input system using alphanumeric matrices and password input method using the same | |
| TW201409343A (zh) | 防止肩窺攻擊的圖形密碼認證系統及方法 | |
| KR102217273B1 (ko) | 다중 패스워드 입력 방법 및 그 전자 장치 | |
| WO2007070014A1 (en) | Antiphishing login techniques | |
| CN104317517B (zh) | 一种触屏终端隐藏解锁方法及系统 | |
| Zheng et al. | A stroke-based textual password authentication scheme | |
| US20120036573A1 (en) | Drag-and-Tag Authentication | |
| Anwar et al. | A Comparative Study of Graphical and Alphanumeric Passwords for Mobile Device Authentication. | |
| Shen et al. | Random graphic user password authentication scheme in mobile devices | |
| AU2020220152A1 (en) | Interception-proof authentication and encryption system and method | |
| Mali et al. | Advanced pin entry method by resisting shoulder surfing attacks | |
| EP2569725A1 (en) | Methods, devices and computer program supports for password generation and verification | |
| US20170154173A1 (en) | Array password authentication system and method thereof | |
| KR101262913B1 (ko) | 한글초성을 이용한 패스워드 시스템 및 훔쳐보기 방지 입력 방법 | |
| WO2011124267A1 (en) | Authentication system and method thereof | |
| Yang et al. | TIM: Secure and usable authentication for smartphones | |
| Gao et al. | Usability and security of the recall-based graphical password schemes | |
| Rajarajan et al. | GRAMAP: Three stage graphical password authentication scheme. | |
| LIM | Multi-grid background Pass-Go | |
| Rao et al. | Improved session based password security system | |
| KR20080011362A (ko) | 그래픽 오티피의 해킹 방지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160509 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20170502 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20180430 Year of fee payment: 6 |
|
| LAPS | Lapse due to unpaid annual fee |