KR101721032B1 - 보안 챌린지 지원 패스워드 프록시 - Google Patents

보안 챌린지 지원 패스워드 프록시 Download PDF

Info

Publication number
KR101721032B1
KR101721032B1 KR1020157021108A KR20157021108A KR101721032B1 KR 101721032 B1 KR101721032 B1 KR 101721032B1 KR 1020157021108 A KR1020157021108 A KR 1020157021108A KR 20157021108 A KR20157021108 A KR 20157021108A KR 101721032 B1 KR101721032 B1 KR 101721032B1
Authority
KR
South Korea
Prior art keywords
user
response
challenge
computing device
context
Prior art date
Application number
KR1020157021108A
Other languages
English (en)
Other versions
KR20150105395A (ko
Inventor
홍 리
리타 에이치 우하이비
토비아스 코렌버그
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20150105395A publication Critical patent/KR20150105395A/ko
Application granted granted Critical
Publication of KR101721032B1 publication Critical patent/KR101721032B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

개인을 인증하고 보안 침해를 방지하기 위해 콘텍스트 데이터를 이용하는 인증의 시스템, 장치 및 방법이 본 명세서에 설명된다. 예시적인 프록시 엔진은 사용자에 고유한 콘텍스트 데이터를 획득하기 위해 컴퓨팅 디바이스와의 상호작용을 모니터링할 수 있다. 콘텍스트 데이터는 보안 리소스에 대한 액세스 요청에 응답하여 고유의 챌린지 질문을 생성하는데 이용될 수 있고, 리소스에 액세스하기 위해 사용자가 크리덴셜을 기억할 필요성을 제거할 수 있다. 챌린지 질문은 1회 사용에 한정될 수 있고 리소스의 값에 비례하여 난이도가 변경될 수 있다. 챌린지 질문(들)에 대한 정확한 응답에 응답하여, 프록시 엔진은 리소스에 대한 액세스를 인가하는 크리덴셜을 포함하는 볼트에 액세스할 수 있다. 볼트 및 프록시 엔진은 컴퓨팅 디바이스 상에 완전히 포함될 수 있고, 또는 컴퓨팅 디바이스 상의 애플리케이션 또는 인터페이스를 거쳐 액세스된 원격 장치 상에서 구현될 수 있다.

Description

보안 챌린지 지원 패스워드 프록시{SECURITY CHALLENGE ASSISTED PASSWORD PROXY}
본 출원은 2013년 3월 5일 출원된 미국 특허 출원 제 13/785,094호의 우선권 이익을 청구하며, 그 전체내용은 본 명세서에 참조로서 인용된다.
전자식으로 이용 가능한 서비스의 확산에 기인하여, 이들 서비스의 다수는 금융 또는 개인 정보를 수반하고, 개별 사용자에 대한 사용자명과 패스워드 조합의 수가 매일 증가하고 있다. 더욱이, 다수의 온라인 사이트들은 이제 사용자가 계정을 생성하는 것을 요구하고, 일간 뉴스, 판매 정보 또는 별자리(horoscope)와 같은 덜 민감한 정보에 액세스하기 위해 로그인 크리덴셜(credentials)을 제공한다. 그 결과, 사용자는 다수의 계정에 대해 동일한 사용자명 및 패스워드를 선택하는 것에 의지하는 경향이 있다. 이 접근법은 서비스 상의 하나의 계정의 파괴가 다른 계정으로의 비인가된(unauthorized) 액세스를 유도할 수 있기 때문에 사용자명/패스워드 조합의 보안 및 강도를 저하시킨다. 온라인 계정을 분할하게 하는데 고비용이 존재하고, 게다가 다수의 계정에 대해 상이한 사용자명 및 패스워드를 생성하여 효율적으로 유지하는 것이 몇몇 사용자에게는 곤란하고 불편하다.
부가적으로, 트로이 목마 바이러스(Trojan horse virus) 또는 애플리케이션에 의한, 사용자명, 패스워드, 보안 질문 또는 다른 식별 정보와 같은 사용자의 온라인 인증(authentication) 정보의 도난이 통상의 보안 문제점이다. 사용자의 인증 정보를 도난하기 위한 트로이(Trojan) 바이러스에 대한 가장 통상적인 메커니즘 중 하나는 키스트로크 로깅(keystroke logging)의 사용을 통한 것이다. 안티-키로깅 기술을 위한 통상의 대응 수단은 일회용 패스워드(one-time passwords: OTP), 온스크린 키보드, 키스트로크 간섭, 뿐만 아니라 트로이 키로거(key-logger)를 혼란시키기 위한 다른 비기술적 방법의 사용을 통해 패스워드 도난을 방지하기 위한 애플리케이션을 포함한다. 이들 기술은 상이한 레벨의 보호를 제공한다. 그러나, 이들 기술은 일반적으로 사용자와 웹사이트 사이의 적어도 하나의 사전 설정된 공유의 비밀, 또는 바람직하지 않은 사용자 경험을 야기할 수 있는 동작에 의존한다. 이들 기술은 또한 웹사이트로 전송되는 패스워드를 인터셉트하는 것에 의한 것과 같은, 키스트로크 로깅 이외의 방식으로 패스워드를 캡처하도록 설계된 트로이 바이러스에 대항하는 데 실패한다.
반드시 실제 축적대로 도시되어 있는 것은 아닌 도면에서, 동일한 도면 부호는 상이한 도면에서 동일한 구성 요소를 설명할 수도 있다. 상이한 문자 첨자를 갖는 동일한 도면 부호는 동일한 구성 요소의 상이한 예를 표현할 수도 있다. 도면은 일반적으로 본 명세서에 설명된 다양한 실시예를 한정이 아니라, 예로서 도시하고 있다.
도 1은 실시예에 따른, 패스워드 프록시 엔진을 갖는 디바이스의 예를 도시하는 블록 다이어그램이다.
도 2는 실시예에 따른, 네트워크를 통해 통신하도록 구성된 디바이스의 예를 도시하는 블록 다이어그램이다.
도 3은 실시예에 따른, 보안 챌린지(security challenge)를 제공하기 위한 예시적인 방안을 도시하는 흐름도이다.
도 4는 실시예에 따른, 요청 디바이스, 프록시 디바이스 및 보안 디바이스 사이의 예시적인 상호 작용을 도시하는 구획면 다이어그램이다.
도 5는 본 명세서에 설명된 기술들 중 임의의 하나 이상이 수행될 수 있는 예시적인 머신을 도시하는 블록 다이어그램이다.
이하의 설명 및 도면은 당 기술 분야의 숙련자들이 실시예들을 실시하는 것을 가능하게 하기 위해 특정 실시예를 충분히 예시한다. 다른 실시예는 구조적, 논리적, 전기적, 프로세스 및 다른 변화를 포함할 수 있다. 몇몇 실시예의 부분 및 특징은 다른 실시예의 것들에 포함되거나 대체될 수 있다. 청구범위에 설명된 실시예는 이들 청구범위의 모든 이용 가능한 등가물을 포함한다.
사용자의 아이덴티티 및 개인 데이터를 보호하는 것은 강력한 인증을 위한 요구를 생성하고 있다. 1회용 패스워드(OTP)를 사용하는 2-팩터 인증은 사용자가 인지하는 어떤 것(예를 들어, 사용자명-패스워드 조합과 같은 크리덴셜)과 사용자가 예를 들어 짧은 시간 기간 동안에만 유효한 다자리 숫자를 생성하는 토큰 또는 키 폽(key fob)을 갖는 어떤 것을 조합한다. 대안적으로, OTP는 시간 동기화 또는 사전 설정된 비밀과 같은 비-토큰 기반 기술을 사용하여 사용자 디바이스와 인증기 사이에서 생성될 수 있다. 사용자명, 패스워드 및 OTP의 조합은 사용자명 및 패스워드 단독보다는 더 보안적인 인증 메커니즘을 제공할 수 있다. 그러나, 토큰 기반 OTP는 사용자가 토큰을 물리적으로 갖는 것을 요구하는데, 이 토큰은 분실되고, 도난되거나 손상될 수도 있다.
하나 이상의 1회용, 시간 민감성, 사용자 특정 보안 챌린지 질문의 사용이 OTP 토큰을 위한 요구를 제거하고, 트로이-기반 크리덴셜 도난 해커가 도난으로부터 부당 이용하거나 이익을 얻는 것을 불가능하게 할 수 있다. 이에 의해, 대안적인 보안 또는 인증 시스템에 비한 본 발명의 장점은 본 발명의 실시예들이 몇몇 정보가 도난될 수 있는 시나리오에서도, 사용자의 아이덴티티 및 데이터를 보호하는 것이 가능하다는 것이다.
예는 개인의 개인 콘텍스트 정보로 잠금해제된 개인에 대한 사용자명 및 패스워드를 유지하기 위한 방법 및 시스템을 포함한다. 트로이 바이러스에 의해 도난되는 것으로부터의 사용자 패스워드의 보호는 하나 이상의 1회용 보안 챌린지 질문 및 응답을 이용하여 패스워드 프록시 서비스의 사용을 통해 제공될 수 있다. 1회용 시간 민감성 질문은 대부분의 경우에, 단지 사용자만이 대답이 가능한 질문을 특정 사용자 콘텍스트로 생성될 수 있다. 이 기술은 전송 중에 또는 클라이언트 저장 장치로부터 트로이 바이러스 또는 키로거에 의해 도난될 수 있는 공유된 정적 비밀 패스워드의 사용에 존재하는 위험을 완화한다.
부가적으로, 예시적인 실시예는 다중 사용자명-패스워드 조합 또는 다른 크리덴셜을 기억해야 할 필요성을 감소시키거나 제거함으로써 보안 리소스와의 상호작용 중에 사용자의 경험을 향상시킬 수 있다. 사용자는 질문들이 사용자의 지식 및 현재 또는 최근의 콘텍스트에 기초하여 생성되기 때문에 보안 챌린지 질문에 쉽게 응답할 수 있다. 사용자가 계정의 셋업 중에 만나게 되는 랜덤 또는 비보안 질문(예를 들어, 좋아하는 애완동물 또는 색상, 또는 결혼전 성)에 대한 대답을 사용자가 기억하는 것을 요구하는 것에 대조적으로, 인증 질문들은 사용자의 일상의 현재 콘텍스트에 더 밀접하게 관련될 수 있다. 이는 쉽게 망각되는 개인사들로부터 챌린지 질문들에 응답하여 사용자가 거짓 정보를 제공하는 것에 비해 장점을 제공한다. 일반적으로, 사용자 이외의 개인은 사용자의 지식 또는 콘텍스트를 소유하지 않고, 인증 질문에 정확하게 대답하는 것이 불가능하다. 질문의 난이도는 요청되는 보안 리소스의 값에 직접 비례하여 다양할 수 있다.
도 1은 실시예에 따른, 패스워드 프록시 엔진(102)을 갖는 디바이스(100)의 예를 도시하는 블록 다이어그램이다. 패스워드 프록시 엔진(102)은 사용자 인터페이스(104)를 거쳐 또는 데이터베이스 또는 레코드 내에 저장될 수 있는 사용자 데이터(106)에 액세스함으로써 사용자 콘텍스트 데이터(context data)를 수신하도록 구성된다. 패스워드 프록시 엔진(102)은 축적된 사용자 콘텍스트 데이터를 콘텍스트 데이터베이스(108) 내에 저장할 수도 있다. 사용자 콘텍스트 데이터는 예를 들어, GPS 모듈로부터 획득된 지리학적 위치, 달력 데이터, 연락처 정보, 사용자 활동 센서로부터의 정보, 또는 디바이스(100) 또는 디바이스(100)와의 사용자 상호작용에 고유할 수 있는 임의의 다른 데이터를 포함할 수 있다. 사용자 콘텍스트 데이터는 1회용 현장 보안 챌린지 질문을 생성하고 사용자 응답을 검증하기 위해 패스워드 프록시 엔진(102)에 의해 이용될 수 있다.
패스워드 프록시 엔진(102)은 필요에 따라 콘텍스트 관찰을 생성하기 위해 센서(도시 생략)로부터 데이터를 수신할 수 있다. 예를 들어, 달력 애플리케이션에서 스케쥴링된 모임은 시간, 위치, 및 디바이스(100)의 소유자가 미래에 만날, 현재 만나고 있는, 또는 과거에 만났던 하나 이상의 개인의 이름을 나타낼 수 있다. 디바이스(100)가 모임에서 표시된 위치에 실제로 위치되는지 또는 위치되었는지를 확인하기 위해 GPS 위치 데이터가 이용될 수 있다. 예를 들어 디바이스(100)의 마이크로폰을 모니터링함으로써 취득된 수신된 오디오 데이터는 또한 음악이 재생되는지를 판정하고, 만일 그러하면 어느 유형의 특정 노래 또는 가수의 음악인지를 판정하는데 사용될 수도 있다. 예를 들어, 폴(Paul)이라는 이름의 개인이 표제 "점심" 하에서 스케쥴링되었던 특정 도시의 특정 거리의 커피숍에 디바이스(100)가 존재하였다는 것을 나타내는 사용자 콘텍스트 데이터가 생성되어 저장될 수 있다. 사용자 콘텍스트 데이터는 디바이스(100) 상에서 전적으로 패스워드 프록시 엔진(102)에 의해 생성되어 프로세싱될 수 있고, 또는 패스워드 프록시 엔진(102)은 콘텍스트 데이터베이스(108)의 사용자 콘텍스트 데이터를 분석하거나 저장하기 위해 네트워크(130)(예를 들어, 인터넷 또는 인트라넷)를 통해 하나 이상의 서비스와 통신할 수 있다. 콘텍스트 데이터의 다른 소스는 사용자의 통화 기록, SMS 이력, 또는 이메일 교환을 포함할 수 있지만, 이들에 한정되는 것은 아니다.
패스워드 프록시 엔진(102)은 디바이스(100) 상에서 동작하도록 구성된 브라우저 또는 애플리케이션(110) 또는 다른 애플리케이션과 상호작용할 수 있다. 디바이스(100)는 유선 또는 무선 인터페이스를 통해 네트워크(130)에 액세스하도록 구성될 수 있다. 패스워드 프록시 엔진(102)은 사용자 인터페이스(104)를 거쳐 하나 이상의 사용자 크리덴셜을 수신하도록 구성될 수 있다. 하나 이상의 사용자 크리덴셜은 하나 이상의 보안 리소스와 연계된 사용자명-패스워드 조합을 포함할 수 있다. 예를 들어, 사용자는 사용자 인터페이스(104)를 거쳐 또는 사용자 데이터(106)를 참조하여, 온라인 뱅킹 포털에 대한 유니폼 리소스 로케이터(uniform resource locator: URL) 및 사용자명-패스워드 크리덴셜을 제공할 수 있다. 사용자는 은행과 금융 계정을 미리 설정할 수 있고 또는 디바이스(100) 및 뱅킹 포털을 거쳐 은행과 신규 관계를 개시할 수 있다.
부가적으로, 사용자는 일간 쿠폰딜(coupon deal)을 제공하거나 게임 또는 소셜 네트워크로의 액세스를 제공하는 웹사이트와 같은 덜 가치 있는 웹사이트에 대한 URL 및 사용자명-패스워드 크리덴셜을 제공할 수 있다. 사용자는 크리덴셜 및 리소스에 상이한 보안 레벨을 할당할 수 있다(예를 들어, 뱅킹 웹사이트는 고가 리소스로서 분류될 수 있고, 쿠폰딜 웹사이트는 저가 리소스로서 분류될 수 있고, 소셜 네트워크는 저가 및 고가 분류 사이의 평균가 리소스로서 분류될 수 있음). 개별 리소스에 수치 랭킹을 적용하는 것과 같은 다른 랭킹 또는 분류 방법이 또한 이용될 수 있다. 보안 레벨은 액세스가 특정 리소스에 대해 허가되기 전에 부합되어야 하는 콘텍스트 챌린지의 수 또는 난이도 레벨을 결정하기 위해 패스워드 프록시 엔진(102)에 의해 이용될 수 있다.
예에서, 보안 리소스는 디바이스(100)에 대한 계정의 가치를 나타낼 수 있다. 예를 들어, 일간 쿠폰딜 계정에 대한 사용자의 크리덴셜은 이들의 은행, 또는 은퇴 계정에 대한 크리덴셜만큼 가치 있지 않다. 따라서, 일간 쿠폰딜 계정에 대한 하나의 쉬운 챌린지 질문이 충분할 수도 있고, 반면에 은행은 계정으로의 액세스가 단지 4개의 챌린징 질문이 정확하게 대답되는 성공 후에만 허가될 수 있음을 나타낼 수도 있다. 그 결과, 은행 계정에 액세스하기 위한 4개의 입력은 또한 사용자의 부분에 적은 노력만을 필요로 하면서, 사용자가 전체 사용자명 및 패스워드를 타이핑해야 하는 것을 필요로 하는 것보다 더 큰 보안을 제공할 수 있다. 계정에 액세스하기 위한 정책 및 요구는 시간 경과에 따라 변화할 수 있는데, 예를 들어 사용자는 일간 쿠폰딜 계정에 신용카드 정보를 제공할 수 있는데, 이는 낮은 보안 랭킹을 갖는 제 1 우선순위로부터 제 1 우선순위보다 더 높은 보안 랭킹을 갖는 제 2 우선순위 레벨로 계정의 보안 레벨을 상승시키게 할 수도 있다. 보안 랭킹의 증가의 결과로서, 사용자는 액세스가 허가되기 전에 추가의 중간 난이도 질문에 대답하도록 요청될 수도 있다.
디바이스(100)는 브라우저 또는 애플리케이션(110)을 거쳐 보안 리소스에 액세스하기 위해 사용자에 의해 행해진 요청이 인터셉트될 수 있도록 브라우저 또는 애플리케이션(110)과 상호작용하도록 구성된 프록시 사용자 인터페이스(114)를 포함할 수 있다. 요청은 보안 리소스로의 액세스가 허용되기 전에 디바이스(100)의 사용자에 의한 인증을 위해 패스워드 프록시 엔진(102)에 라우팅될 수 있다. 예에서, 패스워드 프록시 엔진(102)은 사용자로부터의 인증 챌린지에 대한 정확한 대답의 성공적인 수신시에 보안 리소스에 보안 크리덴셜(예를 들어, 사용자명 및 패스워드)을 제공할 수 있다.
예에서, 각각의 인증 챌린지(예를 들어, 사용자 콘텍스트 데이터의 각각의 조각)는 단지 1회만 사용될 수 있고, 이어서 삭제되거나 보관될 수 있다. 디바이스(100)로의 초기 학습 또는 셋업 프로세스 중에, 패스워드 프록시 엔진(102)은 인증 챌린지를 생성하기 위해 콘텍스트 데이터베이스(108)로부터 임의의 또는 충분한 사용자 콘텍스트 데이터를 획득하는 것이 가능하지 않을 수 있다. 충분한 콘텍스트 데이터가 존재하지 않으면, 패스워드 프록시 엔진(102)은 다른 질문을 생성하기 위해 또는 보안 리소스로의 초기 액세스를 위해 사용될 수 있는 콘텍스트 데이터의 초기 세트를 생성하기 위해 사용자가 질문의 초기 세트에 대답하는 것을 요청할 수 있다.
개별 사용자는 시간 경과에 따라 또한 변화할 수 있는 상이한 인식 레벨 및 메모리 상태를 갖기 때문에, 패스워드 프록시 엔진(102)은 초기에 또는 주기적으로 사용자에 대한 공개 데이터(예를 들어, 소셜 네트워크 상에 발표된 데이터)에 기초하여 질문의 세트를 생성하고 사용자 응답 시간, 응답의 정확성 및 디바이스(100)로부터 입수 가능할 수 있는 임의의 다른 입력을 기록하면서 사용자에게 질의할 수 있다. 이 공개 정보는 그 공개 성질에 기인하여 인증 질문을 생성하기 위한 실제 콘텍스트 정보로서 사용으로부터 배제될 수 있다. 기록된 데이터는 어느 유형의 질문이 쉬움, 평균 또는 챌린징 난이도인지를 식별하기 위해 분석될 수 있다. 예를 들어, 학습 프로토콜은 어느 것이 쉬운지 그리고 어느 것이 특정 개인에 관한 것이 아닌지를 판정할 수 있는 패스워드 프록시 엔진에서 이용될 수 있다.
예에서, 패스워드 프록시 엔진(102)은 프록시 볼트(vault)(112)에 액세스하고 유지하도록 구성될 수 있다. 프록시 볼트(112)는 암호화된 포맷의 공유된 비밀 또는 크리덴셜(예를 들어, 사용자명과 패스워드 조합)을 저장하도록 구성된 디바이스(100) 상의(예를 들어, 비휘발성 메모리 내의) 보안 데이터베이스일 수 있다. 프록시 볼트(112)는 사용자가 보안 리소스로의 액세스를 요청하고 하나 이상의 챌린지 질문에 정확하게 응답한 후에 보안 리소스를 위한 특정 크리덴셜을 검색하도록 패스워드 프록시 엔진(102)에 의해 액세스될 수 있다.
프록시 볼트(112)는 초기 셋업 중에 사용자 공급된 크리덴셜로 파퓰레이팅되고(populated) 또는 사용자가 처음에 신규 보안 리소스에 액세스할 때마다 업데이트될 수 있다. 디바이스(100)는 예를 들어 악의적 키로거(malicious key logger) 애플리케이션이 신규 보안 리소스와 연계된 크리덴셜을 인터셉트하여 전송하는 것이 방지될 수 있도록 네트워크(130)로의 모든 데이터 액세스가 차단되는 구성에서, 디바이스가 보안 모드에 있을 때에만 프록시 볼트(112)가 업데이트될 수 있게 하도록 구성될 수 있다. 패스워드 프록시 엔진(102) 및 프록시 볼트(112)는 암호화되지 않은(예를 들어, 평문) 크리덴셜의 인터셉션을 방지하기 위해 암호화된 링크(116)를 통해 연통하도록 구성될 수 있다.
전술된 바와 같이, 디바이스(100)는 프록시 사용자 인터페이스(114)를 포함할 수 있다. 예를 들어, 프록시 사용자 인터페이스(114)는 브라우저 또는 애플리케이션(110)에서 사용자 입력을 수신하고 사용자 통지를 제공하도록 구성된 브라우저 또는 애플리케이션(110)과 호환성이 있는 브라우저 플러그인을 포함할 수 있다. 패스워드 프록시 엔진(102) 및 프록시 사용자 인터페이스(114)는 사용자 입력의 인터셉션을 방지하기 위해 암호화된 링크(118)를 통해 통신하도록 구성될 수 있다.
도 2는 실시예에 따른, 네트워크(230)를 통해 통신하도록 구성된 디바이스(200)의 예를 도시하는 블록 다이어그램이다. 디바이스(200)는 사용자 인터페이스(204)를 통해 사용자와 상호작용함으로써 보안 서버(240)로의 액세스를 조정하도록 구성된 패스워드 프록시 엔진(202)을 포함할 수 있다. 상호작용은 디바이스(200)의 센서(208)로부터 획득된 콘텍스트 정보로부터 디바이스(200) 상에 저장된 사용자 데이터(206)에 기초하는 챌린지 질문을 포함할 수 있다. 보안 서버(240)는 액세스를 위한 크리덴셜의 사용을 요구하는 웹사이트 또는 포털(예를 들어, www.FirstAcmeBank.com)을 호스팅하는 것과 같은 가치 있는 서비스를 제공할 수 있다.
패스워드 프록시 엔진(202)은 네트워크(230)를 통해 패스워드 프록시 서비스(250)와 통신할 수 있다. 패스워드 프록시 서비스(250)는 사용자 대신에 사용자-아이디 및 패스워드 정보를 저장하고, 유지하고, 제공할 수 있다. 패스워드 프록시 서비스(250)는 패스워드 프록시 엔진(202)에 의한 성공적인 챌린지-및-응답(challenge-and-response) 인증의 통지시에 보안 서버(240) 또는 패스워드 프록시 엔진(202)에 사용자의 사용자-아이디 및 패스워드 정보를 제공할 수 있다.
패스워드 프록시 서비스(250)는 디바이스(200)에 독립적인 개별의 보안 패스워드 볼트를 사용자에게 제공할 수 있다. 사용자는 패스워드 프록시 엔진(202)과의 상호작용을 통해, 또는 네트워크(230)를 거쳐 패스워드 프록시 서비스(250)에 결합된 대안적인 보안 단말 또는 디바이스를 통해 패스워드 프록시 서비스(250)에서 그 또는 그녀의 패스워드 볼트에 액세스할 수 있다. 디바이스(200)는 개별 암호화된 인증 채널을 거쳐 패스워드 프록시 서비스(250)에 액세스할 수 있어, 이에 의해 디바이스(200) 상의 트로이 공격에 더 탄력적이게 한다.
예에서, 패스워드 프록시 엔진(202)은 다른 애플리케이션(예를 들어, 브라우저 또는 애플리케이션(210)) 또는 디바이스(200) 상의 센서(208)로부터 수집된 특정 현장 사용자 콘텍스트에 기초하여 1회용 챌린지 질문을 수신하고, 질문에 대한 사용자 입력 응답을 검증하고, 패스워드 프록시 서비스(250) 및 사용자에 통지를 송신하기 위해, 패스워드 프록시 서비스(250)와 통신하도록 구성될 수 있다. 예를 들어, 사용자 데이터(206)로부터 콘텍스트 입력, "토요일 점심에 폴과 만남, 음악이 배경에 재생되었음"을 이용하여, "토요일 점심에 누구와 만났음?" 또는 "당신이 최근에 폴과 만났을 때 음악이 재생되었는가?"와 같은 하나 이상의 질문이 사실들 중 하나 이상을 생략함으로써 이 콘텍스트로부터 생성될 수도 있다. 챌린지 질문으로부터 생략된 사실들의 수는 요청되는 보안 리소스의 값과 관련하여 질문이 얼마나 어려워야 하는지에 의존할 수 있다. 또한, 다중-대답 질문을 생성하는 것은 인증을 위한 요구를 만족시키기 위해 하나의 콘텍스트로부터 상이한 난이도 레벨을 제공할 수 있다.
예에서, 디바이스(200)는 키로깅 트로이 애플리케이션(220)과 같은 바이러스 또는 다른 멀웨어로 감염될 수도 있다. 활성 트로이 애플리케이션(220)을 갖는 디바이스(200)의 사용은 해커(260)에 의한 모니터링을 받게될 수 있다. 예를 들어, 트로이 애플리케이션(220)이 사용자 인터페이스(204) 상의 키스트로크를 인터셉트하고 네트워크(230)를 통해 도난된 데이터를 전송하는 것이 가능하면, 해커(260)는 보안 서버(240) 상의 사용자 보안 데이터에 액세스하려고 시도할 수 있다. 트로이 애플리케이션(220)은 보안 서버(240)에 액세스하기 위한 사용자의 요청, 뿐만 아니라 사용자 인터페이스(240)를 거쳐 입력된 임의의 챌린지 질문 응답을 인터셉트하는 것이 가능할 수 있지만, 트로이에 의해 캡처된 임의의 키스트로크는 크리덴셜 정보를 포함하지 않기 때문에, 해커(260)는 보안 서버(240)에 액세스하기 위한 사용자의 크리덴셜을 포함하는 키스트로크를 획득하는 것이 금지된다.
사용자가 보안 크리덴셜을 입력해야 하는 요구는 하나 이상의 정확하게 대답된 콘텍스트 챌린지 질문에 응답하여 보안 서버(240)에 사용자의 크리덴셜을 제공하기 위해 패스워드 프록시 서비스(250)로의 패스워드 프록시 엔진(202) 인스트럭션의 사용에 의해 제거된다. 해커(260)가 콘텍스트 챌린지 질문에 대한 대답을 인터셉트하는 것이 가능하더라도, 보안 서버(240)는 사용자를 검증하기 위해 챌린징 질문을 사용하지 않을 수도 있기 때문에, 대답은 보안 서버(240)에 액세스하는데 유용하지 않을 것이다. 해커가 디바이스(200) 상의 패스워드 프록시 엔진(202)을 거쳐 인증하려고 시도하는 경우에(예를 들어, 멀웨어를 거쳐) 또는 보안 챌린지 질문이 프록시 서비스(250)에 의해 생성되는 경우에, 질문은 패스워드 프록시 엔진(202) 또는 패스워드 프록시 서비스(250)에 의해 사용되지 않기 때문에 해커의 시도는 마찬가지로 실패할 것이다. 패스워드 프록시 서비스(250)와 상호작용하기 위해 콘텍스트 챌린지 질문에 대한 대답을 이용하려는 해커(260)에 의한 임의의 시도는, 패스워드 프록시 서비스(250)가 임의의 콘텍스트 챌린지 질문의 재사용을 거절하도록 구성될 수 있기 때문에, 마찬가지로 실패할 것이다.
예에서, 보안 서버(240)는 챌린지를 제시하거나 응답을 수신하도록 구성되지 않는다. 대신에, 패스워드 프록시 서비스(250)는 이러한 챌린지 응답 활동을 취급하고 사용자가 정확하게 응답할 때에만 긍정적 표시를 보안 서버(240)에 패스한다. 따라서, 이러한 구성에서, 해커(260)가 콘텍스트 챌린지 질문에 대한 대답을 인터셉트하는 것이 가능하더라도, 보안 서버(240)는 챌린지 응답 메커니즘에 참여하지 않기 때문에, 이러한 대답은 보안 서버(240)에 직접 액세스하려고 시도할 때 무용할 것이다.
도 3은 실시예에 따른, 보안 챌린지를 제공하기 위한 예시적인 방안(scheme)(300)을 도시하는 흐름도이다. 방안(300)은 예를 들어, 도 1의 디바이스(100) 또는 도 2의 디바이스(200) 상에서 구현될 수 있다. 302에서, 디바이스 상의 초기 셋업이 수행될 수 있다. 초기 셋업은 암호화된 프록시 볼트에 저장을 위한 하나 이상의 사용자 크리덴셜을 수신하는 것을 포함할 수 있다. 프록시 볼트는 디바이스(100) 내에서와 같이 디바이스에 로컬이거나, 도 2의 패스워드 프록시 서비스(250)와 같은 원격 서버에 유지될 수도 있다. 초기 셋업은 프록시 볼트 내에 저장된 임의의 크리덴셜의 가치 및 개별 사용자의 지적교양에 기초하여 콘텍스트 챌린지 질문의 적절한 난이도 레벨을 제공하기 위해 프록시 엔진을 구성하거나 훈련하는 것을 또한 포함할 수 있다. 예를 들어, 사용자의 응답 시간, 응답의 정확성, 또는 다른 팩터에 기초하여 결정된 바와 같은 사용자의 인식 레벨 및 메모리 능력은, 어려운 질문에 신속하게 응답하는 것이 가능한 사용자에 비교하여 정확한 대답으로 응답하는데 느린 사용자에 대해 균등한 보안 레벨을 설정하도록 더 많은 수의 간단한 질문이 요구될 수 있음을 나타낼 수 있다.
304에서, 사용자는 프록시 엔진을 구비한 디바이스로 보안 서버에 접촉하려고 시도할 수 있다. 306에서, 시도는 디바이스 상의 프록시 엔진에 의해 인터셉트될 수 있다. 인터셉션은 디바이스 상에(예를 들어, 디바이스의 운영 체제의 부분으로서) 설치될 수 있는 모듈 또는 플러그인에 의해 또는 디바이스 상의 웹브라우저 또는 다른 애플리케이션에서 수행될 수 있다.
308에서, 프록시 엔진은 사용자의 최근의 활동 또는 사용자의 디바이스와의 상호작용에 기초하여 콘텍스트 질문과 같은, 1회용 보안 챌린지를 생성할 수 있다. 콘텍스트 질문은 다중 선택, 참-거짓 질문, 텍스트 기반 대답을 요구하는 질문, 또는 다른 질문 포맷의 형태일 수 있다. 프록시 엔진은 디바이스 상에 콘텍스트 질문을 생성하고, 또는 사용자 콘텍스트 데이터를 위한 프록시 서비스에 액세스할 수 있다.
310에서, 프록시 엔진은 사용자가 콘텍스트 질문에 대답함으로써 이들의 아이덴티티의 검증을 제공하는 것을 요청할 수 있다. 콘텍스트 질문은 다중 선택 포맷, 참 또는 거짓 방식 질문 또는 괄호 채움 질의(fill-in-a-blank query)와 같은 임의의 형태로 디스플레이 상에, 또는 음성 명령으로 대답할 수도 있는 음성 질문을 통해 제시될 수 있다. 312에서, 콘텍스트 질문에 대한 사용자의 대답은 정확성을 위해 평가된다. 평가는 패스워드 프록시 엔진에 의해 또는 원격 프록시 서비스에 의해 디바이스 상에서 수행될 수 있다.
314에서, 평가가 사용자의 대답이 정확함을 나타내면, 프록시 엔진은 요청된 보안 리소스에 대해 원하는 보안 레벨을 제공하기 위해 추가 챌린지가 필요한지를 판정할 수 있다. 추가 챌린지가 요구되면, 방안(300)은 308에서, 챌린지 질문을 생성할 수 있다. 어떠한 추가 챌린지 질문도 요구되지 않으면, 316에서, 프록시 엔진은 예를 들어 암호화된 통신 채널을 통해 프록시 볼트로부터 보안 서버로 사용자 크리덴셜을 제공함으로써, 보안 서버와의 접속을 설정할 수 있다.
318에서, 평가가 사용자의 대답이 정확함을 나타내면, 사용자는 챌린지 질문에 정확하게 대답하는 것의 임의의 실패를 통지받을 수 있다. 방안(300)은 챌린지 질문에 정확하게 대답하는 것의 사용자의 실패시에 320에서 종료할 수 있다. 예에서, 사용자는 다른 시도가 금지되기 전에 상이한 챌린지 질문에 대답하기 위한 고정된 수의 시도를 제공받을 수 있다. 다른 시도가 금지되면, 예를 들어 디바이스를 잠금하면, 디바이스는 이전에 설정된 복구 패스워드를 제공함으로써 잠금해제될 수 있다. 사용자 디바이스 상에 방안(300)을 이용하는 장점은 패스워드 도난의 공격 시나리오가 이하의 위험/공격을 완화할 수도 있다는 것이다.
키로깅 트로이는 키 스트로크를 기록하기 위해 소프트웨어 또는 하드웨어를 사용하려고 시도할 수 있어, 이에 의해 해커 또는 다른 악의적인 행위자에 전송될 수 있는 사용자 입력을 캡처한다. 해커는 이어서 뱅킹 웹사이트와 같은 보안 리소스에 액세스하기 위해 캡처된 크리덴셜을 사용할 수 있다.
키로깅 트로이는 (1) 크리덴셜이 프록시 서비스에 의해 취급되기 때문에 사용자가 사용자-아이디/패스워드 조합을 입력할(key in) 필요가 없기 때문에, 그리고 (2) 트로이가 챌린지 질문에 대한 대답을 도난하여 이들 대답을 해커에 송신할 수 있지만, 질문이 단지 1회 사용을 위해 시점에 사용자 콘텍스트에 기초하여 생성되기 때문에 정보가 해커에 대해 무용할 것이기 때문에, 좌절될 수 있다. 따라서, 이들 대답은 미래의 챌린지 질문에 적용 가능하지 않고, 보안 리소스에 액세스하는데 이용되지 않는다.
정보를 도난하는 전통적인 OTP 또는 자동 로그인에 대한 중간자(Man-in-the-middle: MITM) 공격은 통상적으로 해커가 미래 사용을 위한 사용자 크리덴셜명을 획득하는 것을 가능하게 하기 위해 통상의 패스워드 로깅 방법을 이용한다. 은폐형 바이러스(stealth virus)가 상당한 시간 지연 없이 도난된 크리덴셜을 수신할 때 타겟된 웹사이트 내에 자동으로 로그하는 시나리오에서, 통상의 OTP 접근법은 도난을 방지하지 않을 것이다. 프록시의 사용은 상이한 엔티티(예를 들어, 클라이언트 디바이스 및 패스워드 프록시 서비스)로부터 사용자-아이디/패스워드 및 챌린지/응답의 조합으로 MITM 공격에 대해 더 효과적일 수 있다.
해커는 트로이 키로거 이외의 채널로부터 사용자 크리덴셜을 획득하는 것이 가능할 수 있지만, 패스워드 프록시 서비스의 추가에 의해, 해커는 본 명세서에 설명된 바와 같은 개별 인증 채널을 거쳐 보안 챌린지 질문에 응답하는 능력 없이 직접 보안 타겟 웹사이트에 액세스할 수 없다. 유사하게, 도난된 보안 챌린지 질문/응답을 이용하여 무차별 대입 공격(brute force attacks)을 사용하려는 시도는 디바이스 상에 또는 패스워드 프록시 서비스에 의해 생성될 수 있는 챌린지 질문의 동적 성질에 기인하여 무용하게 될 수 있다.
도 4는 실시예에 따른, 요청 디바이스(402), 프록시 디바이스(404) 및 보안 디바이스(406) 사이의 예시적인 상호작용을 도시하는 구획면 다이어그램이다. 디바이스간 상호작용(400)은 이들에 한정되는 것은 아니지만, 전송 계층 보안(transport layer security: TLS) 또는 보안 소켓 계층(secure sockets layer: SSL)을 포함하는 임의의 다양한 통상의 보안 프로토콜을 포함하거나 지원할 수 있다. 추가 정보를 위해, 국제 인터넷 표준화 기구(Internet Engineering Task Force: IETF)는 RFC 5246(request for comments 5246)에서 TLS 프로토콜의 준비된 버전 1.2를 갖는다. 디바이스간 상호작용(400)은 이들에 한정되는 것은 아니지만, 하이퍼텍스트 전송 프로토콜(Hypertext Transfer Protocol: HTTP), 파일 전송 프로토콜(File Transfer Protocol: FTP), 단순 메일 전송 프로토콜(Simple Mail Transfer Protocol: SMTP), 및 확장성 메시징 및 존재 프로토콜(Extensible Messaging and Presence Protocol: XMPP)을 포함하는 임의의 다양한 애플리케이션 계층 프로토콜을 포함하거나 지원할 수 있다.
요청 디바이스(402)는 간헐적 또는 주기적 기초로 프록시 디바이스(404)에 콘텍스트 데이터(403)를 송신할 수 있다. 프록시 디바이스(404)는 네트워크에 의해 요청 디바이스(402)에 결합된 서버 또는 컴퓨팅 리소스를 포함할 수 있다. 콘텍스트 데이터(403)는 요청 디바이스(402)와의 사용자의 상호작용으로부터, 요청 디바이스(402) 상의 하나 이상의 애플리케이션에 의해 저장되거나 액세스된 데이터로부터, 또는 다른 외부 소스(예를 들어, 소셜 네트워크, 또는 다른 공개 데이터 소스)로부터 유도될 수 있다.
요청 디바이스(402)는 사용자로부터와 같이, 보안 디바이스(406)(예를 들어, 뱅킹 시스템)에 액세스하기 위한 인스트럭션(예를 들어, 사용자로부터)을 수신할 수 있다. 보안 디바이스(406)에 액세스하기 위한 인스트럭션에 응답하여, 요청 디바이스는 요청(410)을 전송한다. 도 4에 도시된 예시적인 디바이스간 상호작용(400)에서, 408에서 보안 리소스로의 사용자 입력 요청 액세스에 응답하여, 요청 디바이스(402)는 프록시 요청(410)을 프록시 디바이스(404)에 송신할 수 있다. 대안적인 예에서, 요청(410)은 요청 디바이스(402) 상의 프록시 엔진에 의해 인터셉트될 수 있다.
프록시 디바이스(404)는 412에서, 요청(410)에 응답하여 하나 이상의 챌린지 질문, 뿐만 아니라 하나 이상의 챌린지 질문에 대한 정확한 응답을 생성할 수 있다. 프록시 디바이스(404)는 생성된 챌린지 질문에 추가하여 하나 이상의 거짓 대답을 또한 생성할 수 있다(블록 414). 챌린지 질문 및 거짓 대답은 모두 요청 디바이스(402)에 의해 프록시 디바이스(404)에 공급된 콘텍스트 데이터(403)에 기초할 수 있다. 416에서, 프록시 디바이스(404)는 챌린지 질문, 및 정확한 및 부정확한 대답을 요청 디바이스(402)에 전송할 수 있어, 이에 의해 요청(410)에 응답한다.
418에서, 프록시 디바이스(404)로부터 챌린지 질문 및 대답의 수신시에, 요청 디바이스(402)는 챌린지 질문들 중 하나 이상으로 사용자에 프롬프팅하고 사용자로부터 응답을 수신할 수 있다. 420에서, 챌린지 질문(들)에 대한 사용자의 응답은 평가를 위해 프록시 디바이스(404)에 송신될 수 있다. 요청 디바이스(402)는 챌린지 질문에 대한 잠재적인 대답이 정확한지의 표시를 제공받을 필요가 없다.
422에서, 프록시 디바이스(404)는 사용자의 대답 또는 다중 질문이 제시되면 다중 대답을 평가할 수 있다. 424에서, 평가의 성공 또는 실패의 통지가 요청 디바이스(402)에 전송된다. 평가가 성공적이면(예를 들어, 모든 대답이 정확하게 제공됨), 프록시 디바이스는 인증 크리덴셜(426)을 보안 디바이스(406)에 제공할 수 있다. 선택적으로, 프록시 디바이스(404)는 크리덴셜을 요청 디바이스(402)에 또한 제공할 수 있다. 따라서, 428에서, 426에서 제공된 인증 크리덴셜은 요청 디바이스(402) 및 보안 디바이스(406)가 보안 접속을 거쳐 데이터를 교환할 수 있게 한다. 보안 접속은 크리덴셜이 프록시 디바이스(404)로부터 요청 디바이스(402) 및 보안 디바이스(406)로 패스된 후에 설정될 수 있어, 이에 의해 요청 디바이스(402) 및 보안 디바이스(406)의 모두가 보안 통신을 용이하게 할 수 있는 공통 비밀키 또는 다른 암호화 코드를 제공받는다.
도 5는 본 명세서에 설명된 기술(예를 들어, 방법론) 중 임의의 하나 이상이 수행될 수 있는 예시적인 머신(500)을 도시하는 블록 다이어그램이다. 대안적인 실시예에서, 머신(500)은 자립형 디바이스로서 동작할 수 있고 또는 다른 머신에 접속될(예를 들어, 네트워킹될) 수 있다. 네트워킹된 전개에서, 머신(500)은 서버-클라이언트 네트워크 환경에서 서버 머신, 클라이언트 머신 또는 모두의 용량에서 동작할 수 있다. 예에서, 머신(500)은 피어-투-피어(peer-to-peer: P2P)(또는 다른 분산형) 네트워크 환경에서 피어 머신으로서 작용할 수 있다. 머신(500)은 퍼스널 컴퓨터(PC), 태블릿 PC, 개인 휴대 정보 단말(Personal Digital Assistant: PDA), 이동 전화, 웹 기기 또는 그 머신에 의해 취해질 동작을 지정하는 인스트럭션을 실행하는(순차적 또는 다른 방식으로) 것이 가능한 임의의 머신일 수 있다. 또한, 단지 하나의 단일의 머신이 예시되어 있지만, 용어 "머신"은 또한 클라우드 컴퓨팅, 서비스형 소프트웨어(software as a service: SaaS), 다른 컴퓨터 클러스터 구성과 같은 본 명세서에 설명된 방법론 중 임의의 하나 이상을 수행하도록 인스트럭션의 세트(또는 다수의 세트)를 개별적으로 또는 연합적으로 실행하는 머신들의 임의의 집합을 포함하도록 또한 취해질 수 있다.
예들은 본 명세서에 설명된 바와 같이, 로직 또는 다수의 구성요소, 모듈, 또는 메커니즘을 포함하거나 이들에서 동작할 수 있다. 모듈은 지정된 동작을 수행하는 것이 가능한 유형적 엔티티이고, 특정 방식으로 구성되거나 배열될 수 있다. 예에서, 회로는 모듈로서 지정된 방식으로 배열될 수 있다(예를 들어, 내부에 또는 다른 회로와 같은 외부 엔티티와 관련하여). 예에서, 하나 이상의 컴퓨터 시스템(예를 들어, 자립형, 클라이언트 또는 서버 컴퓨터 시스템) 또는 하나 이상의 하드웨어 프로세서의 전체 또는 일부는 지정된 동작을 수행하도록 동작하는 모듈로서 펌웨어 또는 소프트웨어(예를 들어, 인스트럭션, 애플리케이션 부분 또는 애플리케이션)에 의해 구성될 수 있다. 예에서, 소프트웨어는 (1) 비일시적 머신 판독가능 매체 상에 또는 (2) 전송 신호에 상주할 수 있다. 예에서, 소프트웨어는 모듈의 기초 하드웨어에 의해 실행될 때, 하드웨어가 지정된 동작을 수행하게 한다.
이에 따라, 용어 "모듈"은 유형적 엔티티를 포함하고, 본 명세서에 설명된 임의의 동작의 일부 또는 모두를 수행하도록 또는 지정된 방식으로 동작하도록 물리적으로 구성되고, 특정하게 구성되고(예를 들어, 유선) 또는 일시적으로(예를 들어, 잠시) 구성된(예를 들어, 프로그램됨) 엔티티인 것으로 이해된다. 모듈이 일시적으로 구성되는 예를 고려하면, 각각의 모듈은 임의의 일 시간 순간에 인스턴스화될 필요는 없다. 예를 들어, 모듈이 소프트웨어를 사용하여 구성된 범용 하드웨어 프로세서를 포함하는 경우에, 범용 하드웨어 프로세서는 상이한 시간에 각각의 상이한 모듈로서 구성될 수 있다. 소프트웨어는 이에 따라 일 시간의 인스턴스에 특정 모듈을 구성하도록 그리고 다른 시간의 인스턴스에 상이한 모듈을 구성하도록 하드웨어 프로세서를 구성할 수 있다.
머신(예를 들어, 컴퓨터 시스템)(500)은 하드웨어 프로세서(502)(예를 들어, 프로세싱 유닛, 그래픽 프로세싱 유닛(graphics processing unit: GPU), 하드웨어 프로세서 코어, 또는 이들의 임의의 조합), 메인 메모리(504), 및 정적 메모리(506)를 포함할 수 있고, 이들의 일부 또는 모두는 링크(508)(예를 들어, 버스, 링크, 상호접속부 등)를 거쳐 서로 통신할 수 있다. 머신(500)은 디스플레이 디바이스(510), 입력 디바이스(512)(예를 들어, 키보드), 및 사용자 인터페이스(user interface: UI) 네비게이션 디바이스(514)(예를 들어, 마우스)를 추가로 포함할 수 있다. 예에서, 디스플레이 디바이스(510), 입력 디바이스(512) 및 UI 네비게이션 디바이스(514)는 터치스크린 디스플레이일 수 있다. 머신(500)은 부가적으로 대용량 저장 장치(예를 들어, 드라이브 유닛)(516), 신호 발생 디바이스(518)(예를 들어, 스피커), 네트워크 인터페이스 디바이스(520), 및 글로벌 포지셔닝 시스템(global positioning system: GPS) 센서, 카메라, 비디오 레코더, 나침반, 가속도계 또는 다른 센서와 같은 하나 이상의 센서(521)를 포함할 수 있다. 머신(500)은 하나 이상의 주변 기기(예를 들어, 프린터, 카드 리더 등)를 통신하거나 제어하기 위한 직렬(예를 들어, 범용 직렬 버스(universal serial bus: USB), 병렬, 또는 다른 유선 또는 무선(예를 들어, 적외선(I))) 접속과 같은 출력 제어기(528)를 포함할 수 있다.
대용량 저장 장치(516)는 본 명세서에 설명된 기술 또는 기능 중 임의의 하나 이상에 의해 구체화되거나 이용되는 데이터 구조 또는 인스트럭션(524)(예를 들어, 소프트웨어) 중 하나 이상이 저장되어 있는 머신 판독가능 매체(522)를 포함할 수 있다. 인스트럭션(524)은 또한, 머신(500)에 의한 그 실행 중에, 메인 메모리(504) 내에, 정적 메모리(506) 내에, 또는 하드웨어 프로세서(502) 내에 완전히 또는 적어도 부분적으로 상주할 수 있다. 예에서, 하드웨어 프로세서(502), 메인 메모리(504), 정적 메모리(506), 또는 대용량 저장 장치(516) 중 하나 또는 임의의 조합은 머신 판독가능 매체를 구성할 수 있다.
머신 판독가능 매체(522)는 단일의 매체로서 도시되어 있지만, 용어 "머신 판독가능 매체"는 하나 이상의 인스트럭션(524)을 저장하도록 구성된 단일의 매체 또는 다수의 매체(예를 들어, 집중형 또는 분산형 데이터베이스, 및/또는 연계된 캐시 및 서버)를 포함할 수 있다. 용어 "머신 판독가능 매체"는 머신(500)에 의한 실행을 위한 인스트럭션을 저장하고, 인코딩하거나, 또는 전달하는 것이 가능하고 머신(500)이 본 발명의 기술 중 임의의 하나 이상을 수행하게 하거나, 또는 이러한 인스트럭션에 의해 사용된 또는 연계된 데이터 구조를 저장하고, 인코딩하거나 전달하는 것이 가능한 임의의 유형적 매체를 포함할 수 있다. 비한정적인 머신 판독가능 매체 예는 고체 상태 메모리, 및 광학 및 자기 매체를 포함할 수 있다. 머신 판독가능 매체의 특정 예는 반도체 메모리 디바이스(예를 들어, 전기 프로그램가능 판독 전용 메모리(Electrically Programmable Read-Only Memory: EPROM), 전기 소거가능 프로그램가능 판독 전용 메모리(Electrically Erasable Programmable Read-Only Memory: EEPROM)) 및 플래시 메모리 디바이스와 같은 비휘발성 메모리; 내장 하드 디스크 및 이동식 디스크와 같은 자기 디스크; 자기 광학 디스크; 및 CD-ROM 및 DVD-ROM 디스크를 포함할 수 있다.
인스트럭션(524)은 다수의 전송 프로토콜(예를 들어, 프레임 릴레이, 인터넷 프로토콜(internet protocol: IP), 전송 제어 프로토콜(transmission control protocol: TCP), 사용자 데이터그램 프로토콜(user datagram protocol: UDP), 하이퍼텍스트 전송 프로토콜(hypertext transfer protocol: HTTP) 등) 중 임의의 하나를 이용하여 네트워크 인터페이스 디바이스(520)를 거쳐 전송 매체를 사용하여 통신 네트워크(526)를 통해 또한 전송되거나 수신될 수 있다. 예시적인 통신 네트워크는 무엇보다도, 근거리 통신망(local area network: LAN), 광역 통신망(wide area network: WAN), 패킷 데이터 네트워크(예를 들어, 인터넷), 이동 전화 네트워크(예를 들어, 셀룰러 네트워크), 기존 전화(Plain Old Telephone: POTS) 네트워크 및 무선 데이터 네트워크(예를 들어, Wi-Fi®로서 공지된 미국 전기 전자 협회(Institute of Electrical and Electronics Engineers: IEEE) 802.11 표준의 패밀리, WiMax®로서 공지된 IEEE 802.16 표준의 패밀리), 피어-투-피어(P2P) 네트워크를 포함할 수 있다. 예에서, 네트워크 인터페이스 디바이스(520)는 통신 네트워크(526)에 접속하기 위해 하나 이상의 물리적 잭(예를 들어, 이더넷, 동축, 또는 전화기 잭) 또는 하나 이상의 안테나를 포함할 수 있다. 예에서, 네트워크 인터페이스 디바이스(520)는 단일-입력 다중-출력(single-input multiple-output: SIMO), 다중-입력 다중-출력(multiple-input multiple-output: MIMO), 또는 다중-입력 단일-출력(multiple-input single-output: MISO) 기술 중 적어도 하나를 사용하여 무선 통신하기 위한 복수의 안테나를 포함할 수 있다. 용어 "전송 매체"는 머신(500)에 의한 실행을 위한 인스트럭션을 저장하고, 인코딩하거나 전달하는 것이 가능한 임의의 비유형적 매체를 포함하도록 취해져야 하고, 이러한 소프트웨어의 통신을 용이하게 하기 위해 디지털 또는 아날로그 통신 신호 또는 다른 비유형적 매체를 포함한다.
다양한 주석 및 예
이하의 예는 다른 실시예에 속한다. 예에서의 상세는 하나 이상의 실시예에서 임의의 위치에 사용될 수도 있다.
예 1은 컴퓨팅 디바이스로부터 콘텍스트 데이터의 세트를 획득하고; 보안 리소스에 대응하는 크리덴셜을 유지하고; 컴퓨팅 디바이스의 인터페이스를 거쳐 보안 리소스에 대한 액세스 요청을 수신하고; 콘텍스트 데이터의 세트 내의 콘텍스트 데이터 아이템에 기초한 고유의 챌린지 질문을 생성하고; 인터페이스를 거쳐 고유의 챌린지 질문을 제시하고; 인터페이스를 거쳐 챌린지 질문에 응답하여 입력을 수신하고; 콘텍스트 데이터 아이템의 견지에서 입력을 평가하고; 입력의 긍정적인 평가에 응답하여 보안 리소스에 크리덴셜을 제공하기 위해, 요지(장치, 방법, 동작을 수행하기 위한 수단, 또는 머신에 의해 수행될 때 머신이 동작들을 수행하게 할 수 있는 인스트럭션을 포함하는 머신 판독가능 매체)를 포함할 수 있다.
예 2는 챌린지 질문에 대한 응답이 수신될 수 있는 기간 동안 타이머를 유지하기 위한 인스트럭션을 선택적으로 더 포함하기 위해, 예 1의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 3은 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 컴퓨팅 디바이스로 하여금 입력의 부정적인 평가에 응답하여 보안 리소스에 대응하는 사용자명과 패스워드 조합을 요청하게 할 수 있는 복수의 인스트럭션을 선택적으로 포함하기 위해, 예 1 또는 2 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 4는 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 컴퓨팅 디바이스로 하여금 컴퓨팅 디바이스를 거쳐 사용자 활동을 모니터링하게 하고, 모니터링에 응답하여 복수의 콘텍스트 데이터 아이템을 생성하게 하고, 복수의 콘텍스트 데이터 아이템으로 콘텍스트 데이터의 세트를 파퓰레이팅(populating)하게 할 수 있는 복수의 인스트럭션을 선택적으로 포함하기 위해, 예 1, 2 또는 3 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 5는 컴퓨팅 디바이스를 거쳐 사용자 활동을 모니터링하는 것이 달력 데이터베이스, 이메일 통신, 하나 이상의 문자 메시지, 디바이스의 지리학적 위치를 나타내는 데이터, 마이크로폰으로부터의 오디오 신호, 웹브라우징 이력, 소셜 네트워크 상호작용, 또는 사용자 연락처의 리스트 중 적어도 하나에 액세스하는 것을 포함하는, 예 4의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 6은 보안 리소스는 은행 웹사이트, 금융 기관 포털, 교육 기관, 정부 서비스, 소셜 네트워크, 이메일 서비스, 미디어 아울렛(media outlet), 게임 환경, 가상 현실 시스템, 또는 대규모 롤 플레잉 게임 중 적어도 하나를 포함하는, 예 1 내지 5 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 7은 보안 리소스에 대응하는 크리덴셜이 암호화된 프록시 볼트에 유지된 사용자명과 패스워드 조합을 포함하는 것을 선택적으로 포함하기 위해, 예 1 내지 6 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 8은 선택적으로 컴퓨팅 디바이스가 보안 리소스의 값을 결정하게 하고 - 챌린지 질문은 적어도 부분적으로 보안 리소스의 값에 따라 생성됨 -; 값이 임계 레벨보다 큰 것에 응답하여, 콘텍스트 데이터의 세트 내의 제 2 콘텍스트 데이터 아이템에 기초한 제 2 고유 챌린지 질문을 생성하게 하고; 제 2 챌린지 질문에 대한 제 2 응답을 수신하게 하고; 제 2 응답의 정확성을 평가하게 할 수 있게 하기 위해, 예 1 내지 7 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 9는 컴퓨팅 디바이스를 사용하여 수행된 하나 이상의 활동을 모니터링하는 단계; 하나 이상의 활동으로부터 유도된 콘텍스트 데이터를 네트워크에 의해 컴퓨팅 디바이스에 결합된 프록시 디바이스에 전송하는 단계; 암호화된 볼트에 사용자 크리덴셜 세트를 저장하는 단계; 사용자 크리덴셜 세트 내의 사용자명-패스워드 조합에 대한 액세스 요청에 응답하여, 콘텍스트 데이터에 기초한 챌린지 질문을 생성하는 단계; 암호화된 볼트로의 액세스를 허가하거나 거부하기 위해 챌린지 질문에 대한 응답을 평가하는 단계; 챌린지 질문에 대한 응답이 정확할 경우 네트워크를 통해 보안 리소스에 대응하는 사용자 크리덴셜 세트 중 하나를 보안 리소스에 전송하는 단계를 포함하는 콘텍스트 인증 방법과 같은 요지(장치, 방법, 동작을 수행하기 위한 수단, 또는 머신에 의해 수행될 때 머신이 동작들을 수행하게 할 수 있는 인스트럭션을 포함하는 머신 판독가능 매체)를 포함할 수 있다.
예 10은 프록시가 사용자 크리덴셜 세트를 유지하도록 구성된 암호화된 볼트를 포함하는 것을 선택적으로 포함하기 위해, 예 9의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 11은 보안 리소스가 사용자 크리덴셜 세트에 포함된 사용자명-패스워드 조합에 응답하여 액세스를 제공하는 웹사이트인 것을 선택적으로 포함하기 위해, 예 9 또는 10 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 12는 하나 이상의 질문에 대한 사용자 응답에 기초하여 사용자의 인식 상태를 결정하는 단계를 선택적으로 포함하고, 콘텍스트 데이터에 기초한 챌린지 질문을 생성하는 단계는 사용자의 인식 상태에 따라 챌린지 질문의 난이도 레벨을 조정하는 단계를 포함하는, 예 9 내지 11 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 13은 챌린지 질문에 대한 복수의 부정확한 대답을 생성하는 단계; 및 챌린지 질문, 챌린지 질문에 대한 복수의 부정확한 대답, 및 챌린지 질문에 대한 정확한 대답을 컴퓨팅 디바이스의 디스플레이 상에 표시하는 단계를 선택적으로 포함하기 위해, 예 9 내지 12 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 14는 보안 리소스의 보안 값을 결정하는 단계; 보안 값이 설정된 보안 레벨보다 큰 것에 응답하여, 하나 이상의 추가 챌린지 질문을 생성하는 단계; 및 제 2 챌린지 질문에 응답하여 추가 입력을 수신하는 단계를 선택적으로 포함하고, 긍정적인 평가는 추가 입력의 긍정적인 평가를 포함하는, 예 9 내지 13 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 15는 프록시 엔진에 결합된 디바이스의 사용자 인터페이스 - 프록시 엔진은 사용자 인터페이스를 모니터링하고 콘텍스트 데이터베이스 내에 사용자 콘텍스트 데이터를 저장하도록 구성됨 -; 사용자 크리덴셜 세트를 유지하도록 구성된 보안 패스워드 볼트 - 보안 패스워드 볼트는 프록시 엔진에 결합됨 -; 및 프록시 엔진에 결합된 프록시 인터페이스 - 프록시 인터페이스는 사용자 인터페이스에 의해 수신된 보안 리소스를 위한 요청을 인터셉트하도록 구성됨 - 를 포함하고, 요청에 응답하여, 프록시 엔진은 콘텍스트 데이터베이스 내의 사용자 콘텍스트 데이터에 기초하여 콘텍스트 챌린지를 생성하도록 구성되고, 콘텍스트 챌린지는 프록시 인터페이스를 거쳐 제시되고, 보안 리소스에 대한 액세스는 콘텍스트 챌린지에 대한 정확한 대답이 수신될 때까지 프록시 엔진에 의해 방지되는 콘텍스트 인증 시스템과 같은 요지(장치, 방법, 동작을 수행하기 위한 수단, 또는 머신에 의해 수행될 때 머신이 동작들을 수행하게 할 수 있는 인스트럭션을 포함하는 머신 판독가능 매체)를 포함할 수 있다.
예 16은 네트워크를 거쳐 디바이스에 결합된 패스워드 프록시 서비스를 선택적으로 포함하고, 패스워드 프록시 서비스는 보안 패스워드 볼트를 유지하도록 구성되고; 콘텍스트 챌린지에 대한 정확한 대답이 수신되었음을 나타내는 프록시 엔진에 응답하여, 패스워드 프록시 서비스는 보안 리소스에 대응하는 사용자 크리덴셜 세트로부터 보안 리소스로 크리덴셜을 전송하는, 예 15의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 17은 보안 패스워드 볼트가 복수의 사용자를 위한 복수의 크리덴셜의 기록을 유지하도록 구성되는 것을 선택적으로 포함하기 위해, 예 15 또는 16 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 18은 보안 리소스가 네트워크에 결합된 제 3 자 서버인 것을 선택적으로 포함하기 위해, 예 15 내지 17 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 19는 제 3 자 서버가 은행, 금융 기관, 교육 기관, 정부 서비스, 소셜 네트워크, 이메일 서비스, 미디어 아울렛, 게임 환경, 가상 현실, 또는 대규모 롤 플레잉 게임 중 적어도 하나를 포함하는 것을 선택적으로 포함하기 위해, 예 15 내지 18 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 20은 콘텍스트 챌린지에 대한 정확한 대답이 사용자가 사용자명 또는 패스워드를 기억하거나 입력할 필요성을 제거하는 것을 선택적으로 포함하기 위해, 예 15 내지 19 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 21은 컴퓨팅 디바이스가 컴퓨팅 디바이스로부터 액세스 가능한 소셜 네트워크 상에서의 하나 이상의 소셜 네트워킹 상호작용에 기초하여 질문을 생성하게 하거나 또는 컴퓨팅 디바이스 상의 퍼스널 데이터에 액세스하게 할 수 있는 것을 선택적으로 포함하기 위해, 예 1 내지 8 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 22는 챌린지 질문의 포맷이 날짜 또는 컴퓨팅 디바이스로 수행된 모니터링된 하나 이상의 활동에 응답하여 변화하고, 챌린지 질문을 생성하는데 사용된 콘텍스트 데이터는 단일의 사용자에 특정한 것을 선택적으로 포함하기 위해, 예 9 내지 14 중 임의의 하나 이상의 요지를 포함할 수 있거나 선택적으로 조합될 수 있다.
예 23은 예 9 내지 14 또는 22 중 어느 하나의 방법을 수행하도록 구성된 사용자 인증을 위한 장치와 같은 요지(장치, 방법, 동작을 수행하기 위한 수단, 또는 머신에 의해 수행될 때 머신이 동작들을 수행하게 할 수 있는 인스트럭션을 포함하는 머신 판독가능 매체)를 포함할 수 있다.
예 24는 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여, 컴퓨팅 디바이스가 예 9 내지 14 또는 22중 어느 하나에 따른 방법을 수행하게 하는 복수의 인스트럭션을 포함하는 머신 판독가능 매체와 같은 요지(장치, 방법, 동작을 수행하기 위한 수단, 또는 머신에 의해 수행될 때 머신이 동작들을 수행하게 할 수 있는 인스트럭션을 포함하는 머신 판독가능 매체)를 포함할 수 있다.
이들 비한정적인 예의 각각은 그 자체로 독립적일 수 있고, 또는 다른 예들의 임의의 하나 이상과 임의의 치환 또는 조합으로 조합될 수 있다.

Claims (24)

  1. 복수의 인스트럭션을 포함하는 머신 판독가능 저장 매체로서,
    상기 복수의 인스트럭션은 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 상기 컴퓨팅 디바이스로 하여금
    컴퓨팅 디바이스의 사용자 인터페이스를 사용하여 수행된 하나 이상의 사용자 활동을 모니터링함으로써 상기 컴퓨팅 디바이스의 하나 이상의 센서로부터 사용자 특정 콘텍스트 데이터(user specific context data)를 획득하게 하고,
    보안 리소스에 대응하는 크리덴셜(credential)을 상기 컴퓨팅 디바이스 상의 암호화된 프록시 볼트(encrypted proxy vault) 내에 유지하게 하고,
    상기 컴퓨팅 디바이스의 인터페이스를 거쳐 상기 보안 리소스에 대한 액세스 요청을 수신하게 하고,
    상기 크리덴셜과 연관된 상기 보안 리소스의 보안 값을 결정하게 하고,
    상기 사용자 특정 콘텍스트 데이터 내의 콘텍스트 데이터 아이템에 기초한 챌린지 질문(challenge question)을 생성하게 하고,
    상기 컴퓨팅 디바이스의 인터페이스를 거쳐 상기 챌린지 질문을 제시하게 하고,
    상기 컴퓨팅 디바이스의 인터페이스를 거쳐 상기 챌린지 질문에 대한 응답을 수신하게 하고,
    상기 응답의 정확성을 평가하게 하고,
    상기 보안 값이 설정된 보안 레벨보다 큰 것에 응답하여, 제 2 사용자 특정 콘텍스트 데이터 아이템에 기초한 하나 이상의 추가 챌린지 질문을 생성하게 하고,
    상기 응답이 정확한 것에 응답하여 상기 보안 리소스에 상기 크리덴셜을 제공하게 하는
    머신 판독가능 저장 매체.
  2. 제 1 항에 있어서,
    상기 챌린지 질문에 대한 응답이 수신될 수 있는 기간 동안 타이머를 유지하기 위한 인스트럭션을 더 포함하는
    머신 판독가능 저장 매체.
  3. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 상기 컴퓨팅 디바이스로 하여금 상기 응답의 부정적인 평가에 응답하여 상기 보안 리소스에 대응하는 사용자명과 패스워드 조합을 요청하게 할 수 있는 복수의 인스트럭션을 포함하는
    머신 판독가능 저장 매체.
  4. 제 1 항에 있어서,
    상기 컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 상기 컴퓨팅 디바이스로 하여금
    상기 모니터링에 응답하여 복수의 콘텍스트 데이터 아이템을 생성하게 하고,
    상기 복수의 콘텍스트 데이터 아이템으로 상기 사용자 특정 콘텍스트 데이터를 파퓰레이팅
    하게 할 수 있는 복수의 인스트럭션을 포함하는
    머신 판독가능 저장 매체.
  5. 제 4 항에 있어서,
    상기 컴퓨팅 디바이스를 거쳐 사용자 활동을 모니터링하기 위한 인스트럭션은 달력 데이터베이스, 이메일 통신, 문자 메시지, 상기 컴퓨팅 디바이스의 지리학적 위치를 나타내는 데이터, 마이크로폰으로부터의 오디오 신호, 웹브라우징 이력, 소셜 네트워크 상호작용, 또는 사용자 연락처 리스트 중 적어도 하나에 액세스하기 위한 인스트럭션을 포함하는
    머신 판독가능 저장 매체.
  6. 제 1 항에 있어서,
    상기 보안 리소스는 은행 웹사이트, 금융 기관 포털, 교육 기관, 정부 서비스, 소셜 네트워크, 이메일 서비스, 미디어 아울렛(media outlet), 게임 환경, 가상 현실 시스템, 또는 대규모 롤 플레잉 게임 중 적어도 하나를 포함하는
    머신 판독가능 저장 매체.
  7. 제 1 항에 있어서,
    상기 보안 리소스에 대응하는 크리덴셜은 상기 암호화된 프록시 볼트에서 유지되는 사용자명과 패스워드 조합을 포함하는
    머신 판독가능 저장 매체.
  8. 제 1 항에 있어서,
    컴퓨팅 디바이스 상에서 실행되는 것에 응답하여 상기 컴퓨팅 디바이스로 하여금
    제 2 챌린지 질문에 대한 제 2 응답을 수신하게 하고,
    상기 제 2 응답의 정확성을 평가
    하게 할 수 있는 복수의 인스트럭션을 포함하고,
    상기 크리덴셜은 적어도 부분적으로 상기 제 2 응답이 정확한 것에 응답하여 상기 보안 리소스에 제공되는
    머신 판독가능 저장 매체.
  9. 콘텍스트 인증 방법에 있어서,
    컴퓨팅 디바이스의 사용자 인터페이스를 사용하여 수행된 하나 이상의 사용자 활동을 모니터링하는 단계와,
    상기 컴퓨팅 디바이스의 하나 이상의 센서로부터 사용자 특정 데이터를 획득하는 단계와,
    상기 사용자 특정 데이터 및 상기 하나 이상의 사용자 활동으로부터 유도된 사용자 특정 콘텍스트 데이터를 네트워크에 의해 상기 컴퓨팅 디바이스에 결합된 프록시 디바이스에 전송하는 단계와,
    암호화된 볼트(an encrypted vault)에 사용자 크리덴셜 세트를 저장하는 단계와,
    상기 사용자 크리덴셜 세트 내의 크리덴셜과 연관된 보안 리소스의 보안 값을 결정하는 단계와,
    상기 사용자 크리덴셜 세트 내의 사용자명-패스워드 조합에 대한 액세스 요청에 응답하여, 상기 사용자 특정 콘텍스트 데이터에 기초한 챌린지 질문을 생성하는 단계와,
    상기 챌린지 질문에 대한 응답을 평가하여 상기 응답이 정확한지 여부를 판정하는 단계와,
    상기 보안 값이 설정된 보안 레벨보다 큰 것에 응답하여, 제 2 사용자 특정 콘텍스트 데이터 아이템에 기초한 하나 이상의 추가 챌린지 질문을 생성하는 단계와,
    상기 챌린지 질문에 대한 응답이 정확한 경우 보안 리소스에 대응하는 상기 사용자 크리덴셜 세트 중 하나를 상기 네트워크를 통해 상기 보안 리소스에 전송하는 단계를 포함하는
    콘텍스트 인증 방법.
  10. 제 9 항에 있어서,
    상기 컴퓨팅 디바이스는 상기 사용자 크리덴셜 세트를 저장하도록 구성된 상기 암호화된 볼트를 포함하는
    콘텍스트 인증 방법.
  11. 제 10 항에 있어서,
    상기 보안 리소스는 상기 사용자 크리덴셜 세트에 포함된 사용자명-패스워드 조합에 응답하여 액세스를 제공하는 웹사이트인
    콘텍스트 인증 방법.
  12. 제 9 항에 있어서,
    하나 이상의 질문에 대한 사용자 응답에 기초하여 사용자의 인식 상태를 결정하는 단계를 더 포함하되,
    상기 사용자 특정 콘텍스트 데이터에 기초한 챌린지 질문을 생성하는 단계는 상기 사용자의 인식 상태에 따라 챌린지 질문의 난이도 레벨(a difficulty level)을 조정하는 단계를 포함하는
    콘텍스트 인증 방법.
  13. 제 9 항에 있어서,
    상기 챌린지 질문에 대한 복수의 부정확한 대답을 생성하는 단계와,
    상기 챌린지 질문, 상기 챌린지 질문에 대한 복수의 부정확한 대답, 및 상기 챌린지 질문에 대한 정확한 대답을 상기 컴퓨팅 디바이스의 디스플레이 상에 표시하는 단계를 더 포함하는
    콘텍스트 인증 방법.
  14. 제 13 항에 있어서,
    상기 하나 이상의 추가 챌린지 질문에 응답하여 추가 입력을 수신하는 단계를 더 포함하고,
    긍정적인 평가는 상기 추가 입력의 긍정적인 평가를 포함하는
    콘텍스트 인증 방법.
  15. 콘텍스트 인증 시스템으로서,
    하나 이상의 센서를 포함하는 디바이스 -상기 하나 이상의 센서는 상기 디바이스를 사용한 사용자 활동에 기초하여 사용자 콘텍스트 데이터를 획득하도록 구성됨- 와,
    프록시 엔진에 결합된 상기 디바이스의 사용자 인터페이스 -상기 프록시 엔진은 상기 사용자 인터페이스 및 상기 하나 이상의 센서를 모니터링하고, 콘텍스트 데이터베이스 내에 상기 사용자 콘텍스트 데이터를 저장하도록 구성됨- 와,
    사용자 크리덴셜 세트를 유지하도록 구성된 보안 패스워드 볼트 -상기 보안 패스워드 볼트는 메모리를 포함하고 상기 프록시 엔진에 결합됨- 와,
    상기 프록시 엔진에 결합된 프록시 인터페이스 -상기 프록시 인터페이스는 상기 사용자 인터페이스에 의해 수신된 보안 리소스를 위한 요청을 인터셉트하도록 구성됨- 를 포함하고,
    상기 요청에 응답하여, 상기 프록시 엔진은 상기 보안 리소스의 보안 값을 결정하고, 상기 콘텍스트 데이터베이스 내의 상기 사용자 콘텍스트 데이터에 기초하여 콘텍스트 챌린지를 생성 -상기 콘텍스트 챌린지는 상기 프록시 인터페이스를 거쳐 제시됨- 하고, 상기 보안 값이 설정된 보안 레벨보다 큰 것에 응답하여, 제 2 사용자 특정 콘텍스트 데이터 아이템에 기초한 하나 이상의 추가 챌린지 질문을 생성하고, 상기 보안 리소스에 대한 액세스는 상기 콘텍스트 챌린지에 대한 정확한 대답이 수신될 때까지 상기 프록시 엔진에 의해 방지되는
    콘텍스트 인증 시스템.
  16. 제 15 항에 있어서,
    네트워크를 거쳐 상기 디바이스에 결합된 패스워드 프록시 서비스를 더 포함하되, 상기 패스워드 프록시 서비스는 상기 보안 패스워드 볼트를 유지하도록 구성되며,
    상기 프록시 엔진이 상기 콘텍스트 챌린지에 대한 정확한 대답이 수신되었음을 나타내는 것에 응답하여, 상기 패스워드 프록시 서비스는 상기 보안 리소스에 대응하는 사용자 크리덴셜 세트로부터 상기 보안 리소스로 크리덴셜을 전송하는
    콘텍스트 인증 시스템.
  17. 제 15 항에 있어서,
    상기 보안 패스워드 볼트는 복수의 사용자를 위한 복수의 크리덴셜의 기록을 유지하도록 구성되는
    콘텍스트 인증 시스템.
  18. 제 15 항에 있어서,
    상기 보안 리소스는 은행 웹사이트, 금융 기관 포털, 교육 기관, 정부 서비스, 소셜 네트워크, 이메일 서비스, 미디어 아울렛, 게임 환경, 가상 현실 시스템, 또는 대규모 롤 플레잉 게임 중 적어도 하나를 포함하는
    콘텍스트 인증 시스템.
  19. 제 18 항에 있어서,
    상기 보안 리소스는 상기 크리덴셜을 수신하도록 구성된 서버를 포함하는
    콘텍스트 인증 시스템.
  20. 제 15 항에 있어서,
    상기 콘텍스트 챌린지에 대한 정확한 대답은 사용자가 사용자명 또는 패스워드를 기억하거나 입력할 필요성을 제거하는
    콘텍스트 인증 시스템.
  21. 제 1 항에 있어서,
    컴퓨팅 디바이스 상에서 실행되는 것에 응답하여, 상기 컴퓨팅 디바이스로 하여금, 상기 컴퓨팅 디바이스로부터 액세스 가능한 소셜 네트워크 상에서의 하나 이상의 소셜 네트워킹 상호작용에 기초하여 질문을 생성하게 하거나 또는 상기 컴퓨팅 디바이스 상의 퍼스널 데이터에 액세스하게 할 수 있는 복수의 인스트럭션을 포함하는
    머신 판독가능 저장 매체.
  22. 제 9 항에 있어서,
    상기 챌린지 질문의 포맷은 날짜 또는 상기 컴퓨팅 디바이스를 사용하여 수행된 모니터링된 하나 이상의 활동에 응답하여 변화하고, 상기 챌린지 질문을 생성하는 데 사용된 상기 사용자 특정 콘텍스트 데이터는 단일 사용자에 특정되는
    콘텍스트 인증 방법.
  23. 삭제
  24. 삭제
KR1020157021108A 2013-03-05 2014-02-27 보안 챌린지 지원 패스워드 프록시 KR101721032B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/785,094 2013-03-05
US13/785,094 US9223950B2 (en) 2013-03-05 2013-03-05 Security challenge assisted password proxy
PCT/US2014/019023 WO2014137744A1 (en) 2013-03-05 2014-02-27 Security challenge assisted password proxy

Publications (2)

Publication Number Publication Date
KR20150105395A KR20150105395A (ko) 2015-09-16
KR101721032B1 true KR101721032B1 (ko) 2017-03-29

Family

ID=51489624

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157021108A KR101721032B1 (ko) 2013-03-05 2014-02-27 보안 챌린지 지원 패스워드 프록시

Country Status (5)

Country Link
US (2) US9223950B2 (ko)
EP (1) EP2965253B1 (ko)
KR (1) KR101721032B1 (ko)
CN (1) CN104969231B (ko)
WO (1) WO2014137744A1 (ko)

Families Citing this family (152)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10069837B2 (en) * 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10685355B2 (en) * 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US10917431B2 (en) * 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US9838373B2 (en) * 2010-11-29 2017-12-05 Biocatch Ltd. System, device, and method of detecting a remote access user
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US9531733B2 (en) * 2010-11-29 2016-12-27 Biocatch Ltd. Device, system, and method of detecting a remote access user
US11210674B2 (en) 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US20240080339A1 (en) * 2010-11-29 2024-03-07 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US20130263230A1 (en) * 2012-03-30 2013-10-03 Anchorfree Inc. Method and system for statistical access control with data aggregation
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9578060B1 (en) 2012-06-11 2017-02-21 Dell Software Inc. System and method for data loss prevention across heterogeneous communications platforms
US9501744B1 (en) 2012-06-11 2016-11-22 Dell Software Inc. System and method for classifying data
US9223950B2 (en) 2013-03-05 2015-12-29 Intel Corporation Security challenge assisted password proxy
US9282098B1 (en) * 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US20140304789A1 (en) * 2013-04-05 2014-10-09 International Business Machines Corporation Convenient one-time password
CN103200077B (zh) * 2013-04-15 2015-08-26 腾讯科技(深圳)有限公司 一种语音通话时数据交互的方法、装置及系统
EP3014463A4 (en) * 2013-06-24 2017-03-08 Intel Corporation Contextual display apparatus and methods
US9298898B2 (en) 2013-07-18 2016-03-29 At&T Intellectual Property I, L.P. Event-based security challenges
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US10362026B2 (en) 2013-12-16 2019-07-23 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US10841297B2 (en) 2013-12-16 2020-11-17 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications
US10866711B1 (en) 2013-12-16 2020-12-15 Amazon Technologies, Inc. Providing account information to applications
US9473491B1 (en) 2014-12-16 2016-10-18 Amazon Technologies, Inc. Computing device with integrated authentication token
CN105099674B (zh) * 2014-04-17 2018-09-07 华为技术有限公司 用户认证方法、认证装置和终端
US9418567B1 (en) * 2014-04-23 2016-08-16 Google Inc. Selecting questions for a challenge-response test
CN105205386A (zh) * 2014-06-25 2015-12-30 腾讯科技(深圳)有限公司 移动终端应用程序密码保护方法和装置
US9380057B2 (en) * 2014-07-29 2016-06-28 Lexisnexis Risk Solutions Inc. Systems and methods for combined OTP and KBA identity authentication
US10375063B2 (en) 2014-07-29 2019-08-06 Lexisnexis Risk Solutions Inc. Systems and methods for combined OTP and KBA identity authentication utilizing academic publication data
CN105426744B (zh) * 2014-09-22 2019-02-01 阿里巴巴集团控股有限公司 一种密码保护问题的设置方法和装置
EP3486851A1 (en) * 2014-10-06 2019-05-22 Emo Oil Ltd Apparatus, system and method of tokenisation of payment card data
EP3035640B1 (en) * 2014-12-19 2021-03-24 Orange Method for authenticating a device
US10404701B2 (en) * 2015-01-21 2019-09-03 Onion ID Inc. Context-based possession-less access of secure information
US10326748B1 (en) * 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US20160262017A1 (en) * 2015-03-04 2016-09-08 Microsoft Technology Licensing, Llc Personal assistant authentication
US9886572B2 (en) * 2015-03-05 2018-02-06 International Business Machines Corporation Lie vault
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9569626B1 (en) 2015-04-10 2017-02-14 Dell Software Inc. Systems and methods of reporting content-exposure events
US9842220B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9641555B1 (en) 2015-04-10 2017-05-02 Dell Software Inc. Systems and methods of tracking content-exposure events
US9563782B1 (en) 2015-04-10 2017-02-07 Dell Software Inc. Systems and methods of secure self-service access to content
CN104808901A (zh) * 2015-04-14 2015-07-29 广东小天才科技有限公司 一种基于锁屏的信息采集方法和装置
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
US10250540B2 (en) * 2015-06-29 2019-04-02 Accenture Global Services Limited Idea generation platform for distributed work environments
US10305911B1 (en) * 2015-07-06 2019-05-28 Amazon Technologies, Inc. Systems and methods for managing access to web content
WO2017009836A1 (en) * 2015-07-15 2017-01-19 Otorize Ltd. System and method for cognition-dependent access control
US9864852B2 (en) * 2015-07-27 2018-01-09 Amazon Technologies, Inc. Approaches for providing multi-factor authentication credentials
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US9817958B1 (en) * 2015-08-25 2017-11-14 Symantec Corporation Systems and methods for authenticating users
US9875373B2 (en) * 2015-09-28 2018-01-23 International Business Machines Corporation Prioritization of users during disaster recovery
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
GB2534459B (en) * 2015-11-19 2018-08-01 F Secure Corp Improving security of computer resources
US10404697B1 (en) 2015-12-28 2019-09-03 Symantec Corporation Systems and methods for using vehicles as information sources for knowledge-based authentication
US10326733B2 (en) 2015-12-30 2019-06-18 Symantec Corporation Systems and methods for facilitating single sign-on for multiple devices
CN106991298B (zh) * 2016-01-21 2021-02-02 斑马智行网络(香港)有限公司 应用程序对接口的访问方法、授权请求方法及装置
US10097528B2 (en) * 2016-02-27 2018-10-09 Ncr Corporation Non-repeatable challenge-response authentication
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US9887990B2 (en) 2016-04-25 2018-02-06 International Business Machines Corporation Protection of application passwords using a secure proxy
US10565664B2 (en) 2016-06-07 2020-02-18 International Business Machines Corporation Controlling access to a vault server in a multitenant environment
US10375114B1 (en) 2016-06-27 2019-08-06 Symantec Corporation Systems and methods for enforcing access-control policies
US10462184B1 (en) 2016-06-28 2019-10-29 Symantec Corporation Systems and methods for enforcing access-control policies in an arbitrary physical space
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
CN106888201A (zh) * 2016-08-31 2017-06-23 阿里巴巴集团控股有限公司 一种校验方法及装置
US10321313B2 (en) * 2016-09-09 2019-06-11 Dell Products L.P. Enabling remote access to a service controller having a factory-installed unique default password
US10469457B1 (en) 2016-09-26 2019-11-05 Symantec Corporation Systems and methods for securely sharing cloud-service credentials within a network of computing devices
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
US10212157B2 (en) 2016-11-16 2019-02-19 Bank Of America Corporation Facilitating digital data transfers using augmented reality display devices
US10158634B2 (en) 2016-11-16 2018-12-18 Bank Of America Corporation Remote document execution and network transfer using augmented reality display devices
US10943229B2 (en) 2016-11-29 2021-03-09 Bank Of America Corporation Augmented reality headset and digital wallet
US10339583B2 (en) 2016-11-30 2019-07-02 Bank Of America Corporation Object recognition and analysis using augmented reality user devices
US10600111B2 (en) 2016-11-30 2020-03-24 Bank Of America Corporation Geolocation notifications using augmented reality user devices
US10685386B2 (en) 2016-11-30 2020-06-16 Bank Of America Corporation Virtual assessments using augmented reality user devices
US10607230B2 (en) 2016-12-02 2020-03-31 Bank Of America Corporation Augmented reality dynamic authentication for electronic transactions
US10481862B2 (en) 2016-12-02 2019-11-19 Bank Of America Corporation Facilitating network security analysis using virtual reality display devices
US10586220B2 (en) 2016-12-02 2020-03-10 Bank Of America Corporation Augmented reality dynamic authentication
US10311223B2 (en) 2016-12-02 2019-06-04 Bank Of America Corporation Virtual reality dynamic authentication
US10109096B2 (en) 2016-12-08 2018-10-23 Bank Of America Corporation Facilitating dynamic across-network location determination using augmented reality display devices
US10109095B2 (en) 2016-12-08 2018-10-23 Bank Of America Corporation Facilitating dynamic across-network location determination using augmented reality display devices
US10210767B2 (en) 2016-12-13 2019-02-19 Bank Of America Corporation Real world gamification using augmented reality user devices
US10217375B2 (en) 2016-12-13 2019-02-26 Bank Of America Corporation Virtual behavior training using augmented reality user devices
US10623401B1 (en) 2017-01-06 2020-04-14 Allstate Insurance Company User authentication based on telematics information
US20180212958A1 (en) * 2017-01-26 2018-07-26 Teltech Systems, Inc. Two Factor Authentication Using SMS
US10803190B2 (en) * 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
US20180241745A1 (en) * 2017-02-20 2018-08-23 Giovanni Laporta Method and system for validating website login and online information processing
US20180241743A1 (en) * 2017-02-21 2018-08-23 Google Inc. Integrated Second Factor Authentication
US10812981B1 (en) 2017-03-22 2020-10-20 NortonLifeLock, Inc. Systems and methods for certifying geolocation coordinates of computing devices
US10171438B2 (en) 2017-04-04 2019-01-01 International Business Machines Corporation Generating a password
US10606990B2 (en) * 2017-07-06 2020-03-31 Ebay Inc. Machine learning system for computing asset access
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
US10637871B2 (en) 2017-07-25 2020-04-28 Oracle International Corporation Location-based authentication
US11163869B2 (en) * 2017-10-27 2021-11-02 International Business Machines Corporation Identity authentication without entry of password
US10616261B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment based on data history
US10607013B2 (en) * 2017-11-30 2020-03-31 Bank Of America Corporation System for information security threat assessment and event triggering
US10824734B2 (en) 2017-11-30 2020-11-03 Bank Of America Corporation System for recurring information security threat assessment
US10826929B2 (en) 2017-12-01 2020-11-03 Bank Of America Corporation Exterior data deployment system using hash generation and confirmation triggering
US11627193B2 (en) * 2017-12-07 2023-04-11 Oracle International Corporation Method and system for tracking application activity data from remote devices and generating a corrective action data structure for the remote devices
US20190199722A1 (en) * 2017-12-19 2019-06-27 Advanta Computer, LLC Systems and methods for networked computing
US10812460B2 (en) 2018-01-02 2020-10-20 Bank Of America Corporation Validation system utilizing dynamic authentication
US10764068B2 (en) 2018-01-30 2020-09-01 EMC IP Holding Company LLC Computer system employing challenge/response protocol with detection of non-unique incorrect responses
US10728218B2 (en) * 2018-02-26 2020-07-28 Mcafee, Llc Gateway with access checkpoint
US11281760B2 (en) 2018-07-18 2022-03-22 Samsung Electronics Co., Ltd. Method and apparatus for performing user authentication
US10831870B2 (en) * 2018-08-28 2020-11-10 International Business Machines Corporation Intelligent user identification
US11616774B2 (en) * 2019-01-17 2023-03-28 Blackberry Limited Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts
US11750585B2 (en) 2019-09-30 2023-09-05 Acumera, Inc. Secure ephemeral access to insecure devices
US11134081B2 (en) * 2019-10-31 2021-09-28 International Business Machines Corporation Authentication mechanism utilizing location corroboration
KR20210107439A (ko) 2020-02-24 2021-09-01 엘지전자 주식회사 카트부 및 이를 포함하는 스마트 유모차
KR102307516B1 (ko) * 2020-03-11 2021-09-30 주식회사 비엠캠프 문답 기반 콘텐츠 공유 방법 및 문답 기반 콘텐츠 공유 시스템
US11611589B2 (en) 2020-06-05 2023-03-21 Seagate Technology Llc Data storage system with powered move attack protection
US11468525B2 (en) 2020-06-16 2022-10-11 Bank Of America Corporation Coordination platform for generating and managing authority tokens
US11374914B2 (en) * 2020-06-29 2022-06-28 Capital One Services, Llc Systems and methods for determining knowledge-based authentication questions
US20220197989A1 (en) * 2020-12-21 2022-06-23 International Business Machines Corporation Gamification-based multi-factor authentication
US11223489B1 (en) * 2021-02-23 2022-01-11 Garantir LLC Advanced security control implementation of proxied cryptographic keys
US11785007B2 (en) * 2021-05-07 2023-10-10 Capital One Services, Llc Email processing for improved authentication question accuracy
US11418329B1 (en) 2021-05-28 2022-08-16 Garantir LLC Shared secret implementation of proxied cryptographic keys
US11218317B1 (en) 2021-05-28 2022-01-04 Garantir LLC Secure enclave implementation of proxied cryptographic keys
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords
WO2023106621A1 (ko) * 2021-12-08 2023-06-15 삼성전자주식회사 사용자를 인증하기 위한 클라우드 서버 및 이의 동작 방법
CN116170238B (zh) * 2023-04-26 2023-07-07 北京中宏立达科技发展有限公司 一种基于服务身份标识密钥的认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050097320A1 (en) * 2003-09-12 2005-05-05 Lior Golan System and method for risk based authentication
US20100037046A1 (en) * 2008-08-06 2010-02-11 Verisign, Inc. Credential Management System and Method
US20130042327A1 (en) * 2011-08-12 2013-02-14 Palo Alto Research Center Incorporated Guided implicit authentication

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
JP4813001B2 (ja) 2000-04-08 2011-11-09 オラクル・アメリカ・インコーポレイテッド ストリーミング中のメディアの再同期化
GB0211488D0 (en) 2002-05-18 2002-06-26 Univ Aston Information embedding method
US20040073629A1 (en) 2002-10-10 2004-04-15 International Business Machines Corporation Method of accessing internet resources through a proxy with improved security
US7475146B2 (en) 2002-11-28 2009-01-06 International Business Machines Corporation Method and system for accessing internet resources through a proxy using the form-based authentication
US7783891B2 (en) * 2004-02-25 2010-08-24 Microsoft Corporation System and method facilitating secure credential management
US20060026286A1 (en) 2004-07-06 2006-02-02 Oracle International Corporation System and method for managing user session meta-data in a reverse proxy
US8006289B2 (en) * 2005-12-16 2011-08-23 International Business Machines Corporation Method and system for extending authentication methods
EP1870804A1 (en) * 2006-06-22 2007-12-26 Microsoft Corporation Dynamic software localization
US8689287B2 (en) * 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
US7861289B2 (en) 2006-09-22 2010-12-28 Oracle International Corporation Pagelets in adaptive tags in non-portal reverse proxy
US20090119756A1 (en) * 2007-11-06 2009-05-07 International Business Machines Corporation Credential Verification using Credential Repository
US8161534B2 (en) 2008-11-13 2012-04-17 Palo Alto Research Center Incorporated Authenticating users with memorable personal questions
US8910251B2 (en) * 2009-03-06 2014-12-09 Facebook, Inc. Using social information for authenticating a user session
US20100281059A1 (en) * 2009-05-01 2010-11-04 Ebay Inc. Enhanced user profile
US8401522B2 (en) * 2011-02-21 2013-03-19 Carmela R. Crawford Systems, methods and apparatus for authenticating access to enterprise resources
US20130014236A1 (en) 2011-07-05 2013-01-10 International Business Machines Corporation Method for managing identities across multiple sites
US9304662B2 (en) 2011-08-25 2016-04-05 Vmware, Inc. User interface virtualization techniques
US8776194B2 (en) * 2012-02-01 2014-07-08 Amazon Technologies, Inc. Authentication management services
US8584219B1 (en) * 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
US8955058B2 (en) * 2012-11-15 2015-02-10 International Business Machines Corporation Automatically generating challenge questions inferred from user history data for user authentication
US9223950B2 (en) 2013-03-05 2015-12-29 Intel Corporation Security challenge assisted password proxy

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050097320A1 (en) * 2003-09-12 2005-05-05 Lior Golan System and method for risk based authentication
US20100037046A1 (en) * 2008-08-06 2010-02-11 Verisign, Inc. Credential Management System and Method
US20130042327A1 (en) * 2011-08-12 2013-02-14 Palo Alto Research Center Incorporated Guided implicit authentication

Also Published As

Publication number Publication date
CN104969231B (zh) 2017-11-14
EP2965253A1 (en) 2016-01-13
US9794228B2 (en) 2017-10-17
EP2965253A4 (en) 2016-11-02
EP2965253B1 (en) 2018-07-18
US20140259130A1 (en) 2014-09-11
WO2014137744A1 (en) 2014-09-12
US20160057110A1 (en) 2016-02-25
US9223950B2 (en) 2015-12-29
KR20150105395A (ko) 2015-09-16
CN104969231A (zh) 2015-10-07

Similar Documents

Publication Publication Date Title
KR101721032B1 (ko) 보안 챌린지 지원 패스워드 프록시
US11159501B2 (en) Device identification scoring
US11019048B2 (en) Password state machine for accessing protected resources
US10515232B2 (en) Techniques for facilitating secure, credential-free user access to resources
US9491155B1 (en) Account generation based on external credentials
US10038690B2 (en) Multifactor authentication processing using two or more devices
US20160212100A1 (en) Transparent proxy system with automated supplemental authentication for protected access resources
US9838384B1 (en) Password-based fraud detection
US10171495B1 (en) Detection of modified requests
US20190026456A1 (en) Methods and Apparatus for Authentication of Joint Account Login
US9801061B2 (en) Multi-factor user authentication based on decoy security questions
EP3903468B1 (en) Credential loss prevention
Yadav et al. A Security and Usability Analysis of Local Attacks Against FIDO2
Russell Bypassing multi-factor authentication
US20220400108A1 (en) Tokenizing authentication information
Buttar et al. Conversational AI: Security Features, Applications, and Future Scope at Cloud Platform
Mooney et al. Your guide to authenticating mobile devices
Marimuthu et al. A Novel Way of Integrating Voice Recognition and One Time Passwords to Prevent Password Phishing Attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant