WO2017142271A1 - 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템 - Google Patents

정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템 Download PDF

Info

Publication number
WO2017142271A1
WO2017142271A1 PCT/KR2017/001547 KR2017001547W WO2017142271A1 WO 2017142271 A1 WO2017142271 A1 WO 2017142271A1 KR 2017001547 W KR2017001547 W KR 2017001547W WO 2017142271 A1 WO2017142271 A1 WO 2017142271A1
Authority
WO
WIPO (PCT)
Prior art keywords
password
junk data
user
input
user authentication
Prior art date
Application number
PCT/KR2017/001547
Other languages
English (en)
French (fr)
Inventor
이명호
Original Assignee
주식회사 프로젝트사공구
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020160150877A external-priority patent/KR101769119B1/ko
Application filed by 주식회사 프로젝트사공구 filed Critical 주식회사 프로젝트사공구
Priority to US16/077,737 priority Critical patent/US10872135B2/en
Priority to CN201780011607.1A priority patent/CN108701183B/zh
Publication of WO2017142271A1 publication Critical patent/WO2017142271A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/308Payment architectures, schemes or protocols characterised by the use of specific devices or networks using the Internet of Things
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/768Arrangements for image or video recognition or understanding using pattern recognition or machine learning using context analysis, e.g. recognition aided by known co-occurring patterns
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Definitions

  • the present invention relates to a password authentication technique that prevents hacking and exposure by using junk data.
  • Passwords are the most widely used for user authentication in various security areas, both offline and online.
  • a password is a set of characters that only the user knows.
  • the password system is a system for authenticating using a password.
  • a user authentication technique refers to a technique used to determine whether a legitimate user is authorized to access.
  • the password system to which user authentication technology is applied ranges from hardware products such as entrance door locks, safe door locks, and vehicle door locks, which are currently most commonly used, to various types including notebook computers, personal computers (PCs), tablet PCs, and smartphones. It is frequently used to unlock the operation of the user terminal, and is frequently used for personal authentication through a user authentication system constructed at each site on the network. In this way, authentication and e-commerce on various websites, online financial settlement, financial services, as well as automated devices such as ATM (Automated Teller Machine) and civil certificate issuers, financial institutions and public institutions that require personal authentication Password systems using characters are widely used.
  • ATM Automate Teller Machine
  • civil certificate issuers financial institutions and public institutions that require personal authentication Password systems using characters
  • the most widely used representative user authentication technology of the prior art is a user authentication technology of a password (password number key) input method.
  • This password input user authentication technology combines the simplicity that a password must have with a certain level of security. The simplicity is emphasized (eg, four digits), resulting in a weak security. For this reason, users are required to have more digit passwords (eg, 8 or more digits), uppercase and lowercase letters, use of special characters, and periodic password changes. As a result, security is strengthened, but at the same time, it causes inconvenience of use, and it has an adverse effect such as loss of password, forgetfulness, input error, input time delay, etc., which is receiving the user's appearance and is raising security problems. .
  • password validity period password lifetime
  • password validity period password lifetime
  • Generating new passwords every two months, remembering them all, and using them differently in different authentication systems is one that ignores or ignores user characteristics or user behavior styles. It seems to be only a procedure and intention to circumvent the responsibility transfer to the employer or administrative regulation. This is like writing down multiple new passwords, storing them elsewhere, or encouraging them to ignore replacement recommendations.
  • the biggest problem is that the password is exposed to the people around by the shoulder surfing, as well as the surrounding exposure when entering the personal terminal as well as steal over the shoulder. Press marks remain on the keypad of the door or touch screen of the personal terminal, or by a secret attacking camera (hereinafter, hidden camera) that detects a password by tracking such slight exposures or traces. There is a problem that the security is vulnerable.
  • a secret attacking camera hereinafter, hidden camera
  • a user authentication technology for drawing a password pattern on a touch screen of a terminal such as a smartphone is used. It was considered to be easier to use than to find characters and to input them individually, to enable quick input operation, and to effectively prevent surrounding exposure because the number of password input keys is not visible to the outside, but the patterns used are relatively simple. Even in the case of the technology, it is not safe from surrounding exposure and shoulder surfing, and in particular, the password pattern marks remain on the screen, so that the password is exposed to the outside during unconsciousness.
  • biometric user authentication technology using biometric information has been proposed, but it is not only expensive and time-consuming to construct the system, but also user registration. It requires careful attention during authentication and authentication, and requires another password input as an alternative to input and authentication errors. As a result, these two authentication processes may be cumbersome for users. It also means that the verification and use phases eventually went back to the original password entry method.
  • biometric user authentication technology made of new technology is unfamiliar technology that users are dealing with for the first time, user's rejection and adaptation period are long due to its application, and it is difficult to popularize and mass spread in a short period of time due to device replacement and economic problems, and security. This creates another problem for safety and safety, requiring verification and countermeasures.
  • the recently commercialized fingerprint authentication is easy to steal fingerprints by other people when the user is drunk or during sleep, authentication errors when foreign matter such as sweat, water, cosmetics, paint on the user's hand,
  • There are still other problems in use such as the use of silicon fingerprinting, which still requires numerous verification procedures.
  • this biometric authentication system is different from person to person and there is no fear of exposure, so it is attracting attention because of its high security and goodwill and marketing effect on new technology.
  • the latest smartphones with fingerprints in Korea are only two years old, and security has been breaking through as a result of illegal theft of fake fingerprints by silicon.
  • the user authentication technology that enhances security is adopted for the password using the most commonly used characters without any objection.
  • one-time password generator OTP: One Time Password
  • OTP One Time Password
  • the random keyboard method using the virtual keyboard causes inconvenience to the user because the characters are newly rearranged randomly every time in order to prevent the takeover of the position value of the input key. Rather, it caused another problem that became more vulnerable to the surrounding exposure, and a new random keyboard password input method was proposed to prevent key logging while increasing readability and user convenience by randomly inserting blank spaces between complementary password input keys. It is used for financial transactions and shopping settlement using internet and internet.
  • the password input keypad provided to the customer by the financial institution has a button for entering a password and a blanking plate installed around the LCD monitor. This is also used to prevent shoulder exposure or ambient surfing that can easily occur when entering a short, simple numeric password.
  • Big data which is currently emerging, is also more important than analyzing data and finding meaningful value data.
  • Most of the data produced by the development of IT is considered to be useless, and most of it has been left unattended, but this vast amount of data has been analyzed by Google's automatic translation system, supercomputer Watson, Amazon book recommendation system, etc. It was born as a technology and is applied to various marketing activities as well as analyzing and predicting user's thoughts and opinions.
  • the present invention provides a user authentication system that further enhances security by comparing a password including input junk data with a password including junk data input in the past, and inferring hacking if at least a predetermined length matches. For the purpose.
  • the user authentication method provides a user authentication system comprising: (a) a password containing junk data from a user, wherein the junk data is included before, after or before and after the password; Receiving an input;
  • Processing as; may include.
  • step (c) if the password including the junk data input from the user is greater than or equal to the threshold length, whether the password including the junk data is equal to the password including the junk data previously input by the threshold length.
  • the determination of whether or not the password including the junk data matches the password including the junk data input in the past by a threshold length is omitted, and the separation is performed. If the extracted password matches the password previously stored in the storage means, the user authentication can be treated as success.
  • the critical length is 9 digits or longer.
  • the threshold length is preferably 9 digits (4 passwords + 5 junk data) when the 4-digit password is currently used.
  • the critical length can be extended longer than this. This is because the use of 6-digit passwords is common in China, and considering the recent increase in the number of password digits from 4 to 8 to 10 digits in Korea, the critical length is 9 digits. In addition to passwords, only one junk data can be used or compared, so the critical length can be extended in consideration of security and user convenience.
  • a pattern comprising junk data consisting of a plurality of digits and a password consisting of four or more digits;
  • a pattern comprising first junk data consisting of a plurality of digits, a password consisting of four or more digits, and second junk data consisting of a plurality of digits;
  • a pattern comprising a first password of three or more digits, junk data of a plurality of digits and a second password of three or more digits;
  • a user authentication system using whether or not to match junk data includes: input means for receiving a password and junk data from a user;
  • the processor when the processor receives a password including junk data from the user through the input means, wherein the junk data is included before, after or before and after the password, the processor separates the junk data from the input password, If the password including the junk data is matched with the password including the junk data input in the past by a threshold length, the user authentication may be treated as a failure even though the separated and extracted password matches the password previously stored in the storage means. Can be.
  • a communication adapter for transmitting and receiving data through a network
  • the communication adapter receives a password including junk data from a remote terminal connected through a network, wherein the junk data is included before, after, or before and after the password.
  • the processor separates the junk data from the password input from the remote terminal, and if the password including the junk data matches the password including the junk data previously input by the threshold length, the separated extracted password is stored in the storage means. User authentication can be treated as a failure even if previously stored passwords match.
  • the processor determines whether the password including the junk data is equal to the password including the previously input junk data by a threshold length. Compare but
  • the comparison of whether the password including the junk data matches the password including the junk data input in the past by a threshold length is omitted.
  • the user authentication can be treated as success.
  • the critical length is 9 digits or longer, and if the threshold length is continuously or discontinuously matched, the user authentication may be treated as a failure even if the password is previously stored in the storage means.
  • the present invention separates and extracts a password having a predetermined number of digits except for one or more pieces of junk data including random digits and random numbers from a password including junk data input from a user, and a password including the input junk data is input in the past. If the password containing the junk data matches at least a certain length, even if the extracted password matches the previously stored password, the user authentication can be treated as a failure, thereby improving security and convenience simultaneously. There is.
  • the door lock of the front door, the opening and closing device of the vehicle door, the safe door lock and the personal computer such as laptop computers, tablet PCs and smartphones and the wearable devices such as smart watches, unlock the lock of the device that is connected to the IoT,
  • Authenticate users in Internet user authentication systems such as computers, smartphones, tablet PCs and notebook computers, and smart TVs connected to servers through a network
  • e-commerce Internet user authentication systems
  • financial institutions' online authentication or financial services such as ATMs
  • ATMs In systems such as civil documents issuing machines, there is an effect that can be simply applied by upgrading the software without changing the existing structure or replacing the device.
  • users can freely replace previously used passwords or use them without making them difficult, complicated, and long, freeing them from password errors, forgetting or losing passwords, and freeing them anywhere. It can be used, and the existing familiar password (password) input method is used as it is, and there is no objection to the adaptation of a new device, a new method, a new authentication system, there is no operation error, and there is a familiar and familiar advantage, so the password can be entered quickly. Therefore, it is possible to secure safety and convenience together in surrounding exposure, shoulder surfing, speculative attack as well as sneak shot exposure.
  • OTP and random virtual keyboards can avoid keylogging, but have a security limitation in that they cannot prevent surrounding exposure or shoulder surfing, which are inevitable due to inputting only a short password key value when inputting a password.
  • a password Every time a password is entered, a random digit of random spontaneous junk data can be entered into the password, so that the password can be concealed in an always different form of random, randomly generated random number combination.
  • people around you have no way to find out the actual password in the junk data that contains the password, and they can't remember long passwords that change all the time, increasing security and convenience.Safety can be secured even when there is no exposure, shoulder surfing, or sneak shot hacking, thereby eliminating the awkward atmosphere and anxiety that people experience when entering passwords in places with people around them.
  • the user can be authenticated using only a password without inputting junk data. Therefore, in a safe situation such as a home or office that does not require special security, users can simply and quickly enter a short password to authenticate the user. There are convenience options that can be used to increase security or increase simplicity.
  • wearable products or IoT devices in which personal information is stored and shared in real time are often used in unsafe spaces without being aware of their surroundings, and the development of IoT technology uses voice, graphics, and video in addition to text input.
  • the password is more likely to be exposed when the controller or device is unlocked or the user is authenticated.
  • the present invention hides and uses the password in the junk data generated by inputting a random random key value. Even if the screen, voice, motion, etc. are exposed to others, the other person can't know the password and use the wearable product or IoT device in awkwardly in front of many people. The reliability of the product by removing the anxiety Of course, it has the effect of increasing convenience and security.
  • FIG. 1 is a block diagram illustrating a hardware configuration of a user authentication system according to the present invention.
  • FIG. 2 is a network diagram showing a connection relationship between a user authentication system and a remote terminal according to the present invention
  • FIG. 3 is a view illustrating a user inputting using an input means or a remote terminal
  • FIG. 4 is a flowchart illustrating a process of a user authentication method using whether or not to match junk data according to the present invention.
  • FIG. 5 is a diagram illustrating an example of a pattern of junk data generated by adding a random key value to an actual password according to the present invention.
  • FIG. 6 is a diagram illustrating three patterns used for user authentication by inputting password and junk data and an example used by illegal exposure or hacking according to the present invention.
  • any part of the specification is to “include” any component, this means that it may further include other components, except to exclude other components unless otherwise stated.
  • the terms “... means”, “... unit”, “module”, etc. described in the specification mean a unit for processing at least one function or operation, which may be implemented in hardware or software, or hardware and software. It can be implemented as a combination of.
  • FIG. 1 is a block diagram illustrating a hardware configuration of a user authentication system according to the present invention.
  • the user authentication system 100 illustrated in FIG. 1 includes a processor 110, an input unit 120, a display unit 130, a storage unit 140, and a communication unit 150.
  • the processor 110 executes the instructions stored in the storage means 140. Meanwhile, the processor 110 displays the password and junk data input through the input means 120 on the display means 130, and compares the password and junk data previously stored in the storage means 140 to be described later.
  • User authentication is a method of user authentication.
  • the input means 120 is a peripheral device provided in the user authentication system 100 and is a device for receiving a password and junk data from the user, and the form is not limited thereto.
  • it may be a keyboard, a mouse, a touch screen, or the like.
  • the input means 120 may be a microphone.
  • the voice of the user may be input and converted into text data to be used as an input value.
  • a keypad of an automated device such as a digital door lock of a front door, a keypad installed on a vehicle door or a safe, a remote controller, an automatic teller machine (ATM), and a civil document issuing machine.
  • ATM automatic teller machine
  • the display means 130 is a device for displaying information to be informed to the user under the control of the processor 110 in a visual, auditory, and tactile manner, and includes a liquid crystal display (LCD), a speaker, and various other known forms. It may be an output device of.
  • LCD liquid crystal display
  • the storage means 140 may load a program including instructions to be executed by the processor 110.
  • the storage means 140 stores the junk data entered and used with the password and the password previously input by the user through the input means 120 in advance.
  • the storage means 140 may be a volatile or nonvolatile local storage such as a hard disk or flash memory, or may be a cloud or remote server or a network attached storage (NAS).
  • a volatile or nonvolatile local storage such as a hard disk or flash memory
  • NAS network attached storage
  • the communication adapter 150 is a device for communicating with a remote terminal 200 connected through a network according to a predetermined communication protocol.
  • the network may be a wired or wireless communication network of various types, such as the Internet network, intranet, mobile communication network.
  • the user authentication system 100 is provided with the above elements, there is no particular limitation on the type of hardware.
  • it may be in the form of a personal computer, laptop, smartphone, tablet computer, smart watch or other wearable device, may be in the form of a server connected to a plurality of remote terminals via a network.
  • FIG. 2 is a network diagram illustrating a connection relationship between a user authentication system and a remote terminal according to the present invention.
  • the user authentication system 100 illustrated in FIG. 2 is connected to a plurality of remote terminals 200 through a network.
  • the user may directly input using the input means 120 provided in the user authentication system 100, but may also be input using the remote terminal 200 connected through a network.
  • the remote terminal 200 communicates with the user authentication system 100 at a remote place, and is a means for inputting junk data together with a password and a password to the user authentication system 100, and is physically separated from the user authentication system 100. It may be a smart phone, a personal computer, a digital door lock of a front door capable of wired / wireless communication, a vehicle door or a safe, an ATM connected to a network, and an automated document dispenser.
  • the remote terminal 200 may be an IoT (Internet of Things) product such as a gas boiler, a light bulb, a power switch, or a speaker capable of wired or wireless communication.
  • IoT Internet of Things
  • the remote terminal 200 may be connected to a wireless communication network, and may be an IoT controller that controls various IoT products by a short range wireless communication method such as Zigbee or Bluetooth.
  • the present invention may be in the form of a mobile device such as a smartphone or a tablet computer interoperating with various IoT products.
  • FIG. 3 is a view illustrating a user inputting by using an input means or a remote terminal
  • FIG. 4 is a flowchart illustrating a process of a user authentication method using whether or not to match junk data according to the present invention.
  • the user may input password or junk data through the input unit 120 or the remote terminal 200.
  • passwords and junk data may include letters, special characters, and symbols, as well as numbers.
  • the user may input by voice.
  • the processor 110 may segment the received data, convert the received data into text data, and use it as an input value.
  • As the algorithm for converting the voice data into the text a known one can be used.
  • FIG. 5 is a diagram illustrating an example of a pattern of junk data generated by adding a random key value to an actual password according to the present invention
  • FIG. 6 illustrates three patterns used for user authentication by inputting a password and junk data according to the present invention.
  • the processor 110 executes the password setting mode (S1).
  • the processor 110 receives a key value of a password set by the user and stores it in the storage means 140 (S2).
  • the password used in the present invention is composed of a password (PW, Password) having a predetermined number of digits that the user wants to set, but at least one junk data (JD, Junk Data) for hiding the password when the password is input in the user authentication step.
  • PW Password
  • JD Junk Data
  • the junk data is generated by the user's involuntary and improper input operation, unlike a password with a certain format and requirements that the user must remember at all times, so the junk data is meaningless and crappy without the necessary information. Is literally useless data, which is randomly inputted by the user before and after or before or after inputting a password (PW) registered by the user as the original password.
  • PW password
  • 5A to 5D illustrate patterns generated by the junk data JD input together with a password input by the user in the user authentication step as an example.
  • (a) shows an example of a pattern consisting of four-digit junk data JD and a four-digit password next to the junk data JD.
  • (b) shows an example of a pattern consisting of a four-digit password and eight-digit junk data JD located next to the password.
  • (c) shows three-digit first junk data JD1, a four-digit password next to the first junk data JD1, and a five-digit second junk data next to the password.
  • the example of the pattern which consists of (JD2) is shown.
  • (d) is a four-digit first password PW1, a five-digit junk data JD next to the password PW1 and a three-digit number next to the junk data JD.
  • the example of the pattern which consists of 2nd password PW2 is shown.
  • the number of passwords and numbers used for the junk data made as described above is not particularly limited. However, the number of passwords may be shorter in view of user convenience, but at least 4 digits, which is the minimum unit of passwords, is preferable, and the number of junk data is freely randomized from 1 to n. It can be used on the fly, but considering the user's convenience and input time, and assuming a guess attack by another person, it is good to limit the actual number of inputs to 10 digits or less.
  • the actual password to be remembered by the user is short and easy to use as a combination of four numbers, but the number (digits) of junk data added before, after, or before the password can be arbitrarily generated and added at will by the user. .
  • the number of less than 10 digits is convenient, but as shown in (b), (c), and (d) of FIG. 5, the number of whole junk data including a password may be used to increase security. It is preferably at least 10 digits long enough.
  • the 8-digit junk data used only four key values of the actual password should be remembered by the user.
  • the Magic number seven, plus or minus Two, published in 1956 the average number of memorable numbers is reported as an average of seven digits.
  • passwords such as (b) and (c) of FIG. 5 are passwords that satisfy both convenience and security.
  • the security is very excellent in surrounding exposure and other people's memories, and among these 12 digits, the user has a four digit '2016' that corresponds to the actual password except the junk data. Just remember that convenience is also excellent.
  • any two-digit five-digit number can be easily memorized, while a nine-digit number with a two-digit number is a memorable combination.
  • the password is easy to memorize to the user, but the password disguised as junk data cannot be seen and memorized by the user even when exposed.
  • the junk data including the password input by the user is described as an example of the pattern shown in FIG.
  • control unit 120 controls the password PW from the user through the key input unit 110, the first junk data JD1 input before the password, and the second junk data input after the password. JD) is input (S3).
  • the user does not always input the junk data JD together with the password as described above.
  • the current situation is a secure situation that does not require security, such as a home or an office where the password and the junk data (JD) do not need to be used together
  • the 12 digits of junk data inputted together with the password are the same, and it is certain that the previously entered (h) is entered in an unstable state in an unstable place, and then the entered ( Since o) is the same as (h), it is judged that (h) has been hacked and used by a camera or the like with ambient exposure.
  • the junk data can be used to predict illegal use by hacking, error handling user authentication, and posting a "hacking risk” warning (S7, S9).
  • the processor 110 extracts the actual password except the first junk data JD1 and the second junk data JD2 from the junk data including the password input in the pattern as described above.
  • the finite-state automaton based A string search algorithm such as search, Brute Force Algorithm, Knuth-Morris-Pratt Algorithm, Rabin-Karp string algorithm, pattern matching algorithm, pattern recognition algorithm, etc. may be used (S4).
  • the user inputs only the actual password without inputting the junk data JD (FIG. 6 (e), (k), (m)), the junk data (S4) in the password extraction step (S4). JD) is not detected, only the password is detected.
  • the processor 110 checks whether the extracted password matches the password stored in the storage means 140, and if it does not match, the processor 110 processes an error because it is an incorrect password, and displays the fact that the extracted password is displayed. 130) (S5, S6).
  • the processor 110 checks whether the extracted password matches the password stored in the storage means 140. If it is found to be inconsistent, it is an incorrect password and error processing is performed to display the fact on the display means 130.
  • the processor 110 determines that the password including the junk data JD is changed by the user in the previous authentication process. It is checked whether or not the input junk data JD is the same as the password stored in the storage means 140, and if it is determined that they do not match with each other as a result of the check (S7, S8).
  • the reason for checking whether the password including the currently input junk data (JD) is identical to the password including the junk data (JD) stored in the storage means 140 by the user input in the previous authentication process is , If a user's previously used password has been exposed to an illegal user by exposure, shoulder surfing, hidden camera or other means, the illegal user may enter the first junk data (JD1), password (PW) and second junk entered by the user. This is because the entire password including the junk data composed of the data JD2 is recognized as one password and '325 2016 11234' is input as it is (FIG. 6 (o)). In consideration of this, the user should be different from previously inputted at least one or more of the random numbers (or letters, special characters, symbols) constituting the first junk data JD1 and the second junk data JD2.
  • the user inputs the password including the input junk data JD in the past authentication process to determine whether the junk data JD stored in the memory 140 matches the passwords included in the past, It is not necessary to determine whether all the junk data (JD) matches the passwords included, but the password including the immediately entered junk data (JD) for a predetermined number of times or a predetermined time including immediately before. It may also be compared to determine whether there is a match.
  • the processor 110 displays the currently input password. Determining that the input by the illegal user or the user's mistake, it is possible to request a second password input (S9), (Fig. 6 (p)).
  • the number of digits of the password including the junk data currently input by the user is greater than or equal to the threshold length, and the number of digits corresponding to the previously used password stored in the memory 140 corresponds to the threshold length-for example, input If the password containing the junk data is 14 digits (FIG. 6 (j)), and the number of matching digits is 9 or more digits, it is determined that the two passwords are the same as the passwords used in the past even if they are not exactly the same as above. Thus, since the currently input password is input by an illegal user or a mistake (accidental) of the user, a second password input can be requested (S9) (Fig. 6 (p)).
  • the password entered by the user is '325 2016 11238', which is a combination of the first junk data JD1, the password PW, and the second junk data (JD2), and the memory
  • the password used in the past stored at 140 is '325 2016 11234' (FIG. 6 (h))
  • the currently input password has the same 11-digit number and different 1-digit number as the password used in the past. It is determined that the same password is entered, and the authentication is rejected by hacking, etc. This is because, although the password is secretly taken with a camera or the like, the entire password can be used as it is (Fig. 6 (o)), but the entire password is intentionally used. This is because some of them may be changed or missing.
  • the secondary password means only the password PW excluding the junk data among the first junk data JD1, the password PW, and the second junk data JD2, and the user recognizes this fact and the actual password. Will enter the four-digit number '2016'. In contrast, an illegal user knows the total number of junk data containing a password, but cannot know only the actual password contained therein, so the first junk data JD1, the password PW, and the second junk data JD2. You will enter a 12-digit number containing). Otherwise, the password key value can be arbitrarily selected from the total 12 digits.
  • the processor 110 compares the input secondary password with the password stored in the memory 140, and if successful, processes the user authentication, and if it does not match, processes the error (S10-). S12).
  • the processor 110 determines that the password is illegally leaked and changes the password to the user through the display means 130. Requests can be made foreseeing and notifying you about illegal hacking, which will help prevent and secure security.
  • the processor 110 may illegally leak the previously input password. It is preferable to notify the user of the possibility of illegal leakage and to request a password change through the display means 130 as well as error handling by judging by the password.
  • Method according to an embodiment of the present invention is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium.
  • the computer readable medium may include program instructions, data files, data structures, etc. alone or in combination.
  • Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks.
  • Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Multimedia (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 패스워드 입력 시 무작위로 발생시킨 정크 데이터(Junk Data)를 이용하여 사용자를 인증하는 기술에 관한 것이다. 이러한 본 발명에 의할 때, 패스워드를 사용자로부터 입력받아 저장해두고, 사용자 인증 단계에서 함께 입력된 정크 데이터 및 패스워드 중에서 메모리에 저장된 원래의 패스워드와 일치하는 패스워드가 존재하는지 판정한다. 이때, 정크 데이터가 포함된 패스워드가 이전의 인증과정에서 입력된 정크 데이터가 포함된 패스워드와 적어도 일정 길이 이상 일치하는 경우 분리 추출된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리함으로써 보안성을 한층 강화할 수 있다.

Description

정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템
본 발명은 정크 데이터(Junk Data)를 이용하여 해킹 예방 및 노출을 방지하는 패스워드 인증 기술에 관한 것이다.
오프라인 및 온라인상의 각종 보안 분야에서 사용자의 인증을 위해 가장 널리 사용되는 것이 패스워드이다. 패스워드란 사용자만이 알고 있는 문자들의 집합으로, 이를 이용해 인증하는 시스템이 패스워드 시스템이다.
일반적으로, 사용자 인증기술이란 접근이 허가된 적법한 사용자인지를 판단하기 위해 사용되는 기술을 의미한다.
사용자 인증기술이 적용되는 패스워드 시스템은, 현재 일반적으로 가장 많이 사용되고 있는 현관 도어락, 금고 도어락, 차량 도어락 같은 하드웨어 제품에서부터 노트북 컴퓨터, 개인용 컴퓨터(PC), 태블릿(tablet) PC 및 스마트폰을 포함하는 각종 사용자 단말기의 동작 개시 시의 잠금해제에도 빈번하게 사용되며, 네트워크상의 각 사이트에서 구축한 사용자 인증시스템을 통하여 개인 인증을 하기 위해 자주 사용되고 있다. 이처럼 각종 웹사이트 상의 인증 및 전자상거래, 온라인상의 각종 금융결제, 금융서비스는 물론 현금자동입출금기(ATM: Automated Teller Machine), 민원증명서발급기 등의 자동화기기, 개인 인증을 필요로 하는 금융기관 및 공공기관 등에서 문자를 이용한 패스워드 시스템이 널리 사용되고 있다.
특히, 정보통신의 발달과 스마트폰의 급속한 보급으로 스마트폰을 통한 전자상거래, 금융거래가 보편화·현실화되면서 개인용 단말기 안에 보관되어 있는 정보의 중요성이 커지게 되었다.
또한 개인의 건강정보, 활동정보 등을 실시간 측정, 저장, 활용하는 스마트워치, 스마트밴드 등의 웨어러블 기기 및 스마트 홈, 커넥티드 카(Connected car) 기술을 현실화시킨 IoT(Internet of Things)의 등장으로 인한 기기간의 연결은 이를 제어·조정·통제하는 디바이스 역할을 하는 휴대용 개인단말기의 락 해제 및 사용자 인증의 중요성이 커질 수밖에 없고, 이에 따라 패스워드를 이용한 사용자 인증과 이에 따른 안전성 확보 및 보안 강화가 더욱 중요해지고 있다.
종래 기술에 의한 사용자 인증기술 중에서 가장 널리 사용되는 대표적인 것이 패스워드(암호 숫자 키) 입력방식의 사용자 인증기술이다. 이 패스워드 입력방식의 사용자 인증기술은 암호가 갖추어야 하는 간편성과 일정 수준의 보안성을 함께 갖추었기 때문인데, 간편성이 강조됨(예: 4자리 숫자)으로 인하여 보안성이 취약해지는 결과를 갖게 되었다. 이와 같은 이유로 보다 많은 자릿수의 패스워드(예: 8자리 이상)와 영문 대소문자, 특수문자 사용, 주기적인 패스워드 교체 등을 사용자에게 요구하게 되었다. 이로 인해 보안성은 강화되었지만 동시에 사용의 불편함을 초래하게 되어, 패스워드 분실 및 망각, 입력오류, 입력시간 지연 등 편의성이 떨어지는 역효과를 갖게 되어 사용자의 외면을 받고 있어 오히려 보안상의 문제점을 키우고 있는 실정이다.
예를 들면, 온라인상에서의 금융 서비스나 상품대금 결제 시, 패스워드 보안에 관련된 패스워드 적정 유효기간(패스워드 수명)으로 알려진 2개월이 지나면 사용자 인증 시에 “패스워드를 교체하라”고 고지하지만, 사용자들 대부분이 이 권고를 무시하고 현재 사용하는 패스워드를 그대로 사용하거나, 어떤 경우에는 두 개의 패스워드를 만들어 놓고 이를 번갈아 교체 사용하고 있는 실정이다. 새로운 신규 패스워드를 2개월에 하나씩 생성해내고, 이를 모두 기억하고, 각기 다른 여러 곳의 인증시스템에서 제각기 다르게 사용해야 한다는 것은 사용자 특성(User Characteristics)이나 사용자 행동 스타일(User Behavior Style)을 무시하거나 도외시한 발상으로 사용자에게의 책임전가나 행정적인 규제를 피해가려는 절차와 의도로 밖에 보이지 않는 것이다. 때문에 다발적으로 발생되는 여러 개의 신규 패스워드를 기록해 두거나, 또다른 곳에 저장을 하게 하거나, 아니면 교체 권고를 무시하게끔 유도하는 것과 다름없는 것이다.
또한 현재 가장 많이 사용되고 있는 패스워드를 이용한 인증기술의 경우, 가장 큰 문제점으로 개인 단말기 입력 시의 주위 노출은 물론 어깨너머로 훔쳐보는 숄더 서핑(Shoulder surfing)에 의해 주위 사람들에게 패스워드가 그대로 노출된다는 것이며, 현관문의 키패드나 개인용 단말기의 터치스크린 상에 누른 흔적이 남아있거나, 이러한 약간의 노출이나 흔적들을 추적하여 패스워드를 알아내는 추측공격(Guessing attack)이나 은밀하게 설치된 카메라(이하, 몰래 카메라)에 의한 노출 등으로 인하여 보안이 취약해지는 문제점이 있다.
종래 기술에 의한 또다른 사용자 인증기술로서 스마트폰과 같은 단말기의 터치스크린 상에서 암호 패턴을 그리는 사용자 인증기술이 사용되고 있다. 문자를 찾아 각각 입력하는 것보다 사용이 편하고, 빠른 입력동작이 가능하고, 패스워드 입력키의 숫자가 외부로 보이지 않기 때문에 주위 노출을 효과적으로 막을 수 있다고 여겨졌지만, 사용하는 패턴들이 비교적 단순한 형태여서 이 인증기술의 경우에도 주위의 노출, 숄더 서핑으로부터 안전하지 못하고, 특히 화면에 암호 패턴 자국이 그대로 남아있어 무의식 중에 패스워드가 외부로 노출되는 문제점이 있다.
이를 극복하기 위한 또다른 사용자 인증기술로서 생체정보(지문, 안면, 홍채, 정맥, 음성 등)를 이용한 생체인식 사용자 인증기술이 제안되고 있지만, 시스템을 구축하는데 비용과 시간이 많이 소요될 뿐만 아니라 사용자 등록과 인증 시 세심한 주의를 필요로 하며, 입력 및 인증 오류 발생 시의 대안으로 패스워드 입력을 또다시 요구하는데 이는 결과적으로 두 번의 인증과정을 거치게 하여 사용자를 번거롭게 만들기도 하지만, 신기술로 인식된 이러한 기술들이 검증 및 사용 단계에서 결국 원론적인 패스워드 입력방식으로 되돌아갔다는 것을 의미하는 것이기도 하다.
특히 이때 사용되는 패스워드 입력 시스템에는 아무런 보안 조치가 취해지지 않아 주위 노출을 막는 완벽한 보안이라는 생체인식 시스템이 최종에는 노출에 취약한 패스워드 입력 시스템에 의존하는 아이러니와 함께 노출에 대한 보안의 취약점을 그대로 방치하고 있는 셈이다.
또한, 신기술로 이루어지는 생체인식 사용자 인증기술은 사용자들이 처음 대하는 생소한 기술일 수밖에 없고 이의 적용으로 인한 사용자들의 거부감과 적응기간이 길고, 기기 교체 및 경제적인 문제로 단기간 내의 대중화 및 대량 보급이 어려우며, 보안과 안전성에 또다른 문제를 야기함으로 이에 대한 검증과 대책이 필요하다.
일례로 최근 상용화된 지문 인증의 경우, 사용자가 만취했을 때나 수면 중에는 타인에 의한 지문 도용이 쉽게 가능한 점, 사용자 손에 땀이나 물, 화장품, 페인트 등 이물질이 묻었거나 상처가 생겼을 경우의 인증 오류 및 실리콘 지문 채취 사용 등 사용상의 또다른 문제점들을 발생시키고 있어 아직은 수많은 검증절차가 필요한 문제점이 있다.
실제, 이 생체인식 인증 시스템은 사람마다 다 다르고 노출될 염려가 없어 보안성이 높다는 이유와 신기술에 대한 호감과 마케팅 효과로 각광을 받고 있지만, 해킹에 의해 미국의 공공기관에서 수백만 건의 지문정보가 대량 유출되는 사건이 발생하는가 하면, 국내에서도 지문이 탑재된 최신 스마트폰이 불과 출시 2년이 채 안되어 실리콘에 의한 모조 지문의 불법 도용으로 철통같다던 보안이 속속 뚫리고 있다.
최근 새롭게 제시된 정맥인식이나 홍채인식 인증 시스템도 한번 해킹을 당하면, 개개인의 고유하고 유일한 생체정보는 다른 것으로 바꾸거나 대체할 수가 없으며 이는 평생 바뀌지 않는 개인 신체정보라는 점에서 탈취당할 경우 해킹, 패스워드 불법사용 같은 1차 범죄 외에도 위조여권, 신분세탁 등 다른 범죄에까지 악용될 소지가 있기 때문에 이에 대한 불안감과 개인 생체정보의 보관과 이용문제 에 따른 사회적 논의 부재, 다양한 상황에서 오랜 기간에 걸쳐 철저하게 이루어져야 하는 검증의 부실로 아직은 사용자의 부적응, 불안감과 함께 사용상의 한계를 드러내고 있다.
이러한 새로운 기술의 검증문제와 편의성 및 사용자 적응문제, 경제적·사회적인 문제점 등으로 인하여, 종래에 거부감 없이 가장 많이 보편적으로 사용되고 있는 문자를 이용하는 패스워드에 보안성을 강화한 사용자 인증기술을 채용하고 있다. 한 예로 종래 기술에 의한 최근의 사용자 인증기술로서 핀테크(Fin-Tech)에 적용되는 일회용 비밀번호 생성기(OTP : One Time Password)와 숫자를 랜덤하게 무작위로 배열하고 이를 가상키보드를 이용해 패스워드를 입력하는 인증방법이 사용되고 있다.
이 기술은 키로거(Keylogger)를 방지할 수 있기 때문에 다른 사용자 인증기술에 비해 높은 보안등급으로 분류되어, 인터넷과 스마트폰 상의 금융 관련 인증에 널리 사용되고 있다. 이질적인 새로운 기술의 채용보다 사용자 적응 및 편리성, 오랜 기간의 검증, 도입의 간편함, 경제적인 이유 등의 장점 때문에 가장 보편적인 방법인 문자(숫자)를 이용한 패스워드 사용자 인증 방법에 보안성을 강화한 인증기술을 채용하고 있는 것이다.
하지만, 가상키보드를 이용한 랜덤키보드 방식은 입력키의 위치값 탈취를 막기 위해 사용 시마다 문자가 임의로 새롭게 재배열되기 때문에 사용자의 불편함을 초래하고, 문자 가독성과 직관력을 떨어뜨려 입력시간 지연 등으로 인해 오히려 주위 노출에 더 취약해지는 또다른 문제를 유발하였고, 이를 보완한 패스워드 입력키 사이에 무작위로 빈칸을 삽입하여 가독성과 사용자 편의성을 높이면서도 키로깅을 막는 새로운 랜덤키보드 패스워드 입력 방식이 제시되어 주로 모바일과 인터넷을 이용한 금융거래, 쇼핑 결제 등에 사용되고 있다.
하지만 이 역시 바뀐 숫자 입력키 위치를 화면 캡쳐하여 입력 패스워드를 탈취할 수 있으며, 이보다 더 큰 문제는 결과적으로 OTP나 랜덤키보드 방식을 채용한 패스워드 시스템 모두 패스워드 입력 시 가장 큰 문제가 되는 주위 노출이나 숄더 서핑을 근본적으로 막을 수 없는 보안성의 한계를 가지고 있다는 것이다.
이러한 주위의 관찰자에 의한 노출에 의해 보안을 유지할 수 없는 문제점은 이미 익히 알려져, 주위 노출에 의한 범죄가 가장 흔하게 일어나는 현관문 디지털 도어락(잠금장치)의 패스워드 입력 시 손동작을 가릴 수 있는 종이덮개를 서울의 한 경찰서에서 주위 노출 예방책으로 각 가정에 배포하고 있는 실정이며(2016년 2월 5일, 한국일보 신문기사 참조), 이는 수십만원을 호가하는 세련된 디자인의 현관 도어락을 종이박스로 덮어놓고 사용하는 우스꽝스러운 모습을 연출하고 있다. 또한 이와 유사한 범죄가 흔히 발생하는 ATM기에는 “주의, 반드시 비밀번호는 타인이나 카메라 등에 노출되지 않도록 손이나 책 등으로 가린 후 입력하십시오”라는 주의 경고를 띄워 적극적인 해킹방어를 포기한 채 사용자에게 위험을 상기시키는 소극적인 예방 정도로 그치고 있으며, 온라인상의 사용자 인증 시에는 모니터에 패스워드를 가리는 아스트리크(****)를 사용하기도 하지만, 이 모두 패스워드 입력 시 언제든지 발생할 수 있는 주위 노출이나, 숄더 서핑, 손동작 노출은 근본적으로 막을 수 없다는 문제점을 스스로 인정한 예이며, 이로인한 사용자의 피해사실을 알면서도 적극적인 해결책을 제시하지 않는 보안 관계자들의 무책임한 행태이기도 하다.
또한, 현재 주위에서 흔하게 볼 수 있는 적극적인 숄더 서핑과 주위 노출 방지 사례 중 하나로, 금융기관에서 고객에게 제공하는 비밀번호 입력 키패드에는 비밀번호를 입력하는 버튼과 액정 모니터 주위에 가림판이 설치되어 있는 것을 볼 수 있는데, 이 역시 숫자로 된 짧고 단순한 패스워드의 입력 시 쉽게 발생하는 주위 노출이나 숄더 서핑을 차단하기 위한 것으로, 거의 모든 은행에서는 일상적으로 간편하게 사용하고 있다.
이처럼 생각만 바꾸면, 간단한 가림판 하나로도 패스워드나 복잡한 암호체계를 특별하거나 어렵게 바꾸지 않더라도 주위 노출을 효과적으로 막는다는 것이 입증되었기 때문에 시중의 모든 은행창구에서 널리 사용되고 있는 것이다. 하지만 이 역시 가림판이 달린 특별한 키패드를 일일이 제공하거나, 이를 사용할 수 있는 장소에 한정되며, ATM기나 핸드폰, 노트북 등 개인용 단말기에는 적용할 수 없고, 온라인상에서도 사용될 수 없는 하드웨어적인 한계와 문제점을 지니고 있다.
문자(숫자) 입력의 패스워드 인증방식에서 또 한 가지 주목해야 하는 것이, 패스워드 입력 시 발생하는 오류 입력정보의 처리 문제이다. 일반적으로 패스워드 입력 시 누구나 몇 번씩 겪어 본 것이 망각(패스워드 분실)이나 착각 혹은 입력 실수, 입력시간 지연에 의한 패스워드 입력 오류이다.
이는 패스워드 입력이 필요한 수많은 인증 시스템에서 요구하는 패스워드 키값의 요건이 통일되지 않고 4자리, 6자리, 혹은 여덟 자리 숫자 사용, 문자 혼용 등 제각각 모두 다르기 때문인 것이 1차적인 이유이지만, 근래에 들어서는 보안의 중요성이 부각되면서 잦은 패스워드의 교체와 많은 자릿수(8자리 이상)의 패스워드 사용 요구, 거기에 더불어 영문 대소문자, 특수문자의 사용 등 사용자를 고려하지 않은 일방적인 요구로 사용자의 혼란을 가중시키기 때문이다. 사용(편리성)이 어려워지면 보안성이 높아지는 것은 당연한 이치이므로 이는 패스워드 관련 개발자들이 이를 고민하지 않고 편의주의적으로 도외시하고 사용자에게 그 책임을 전가하고 있는 현상이며, 이로 인한 패스워드 입력 오류가 더욱 빈번히 발생하는 문제점이 있다.
상기와 같은 사용자 입력 오류 이외에도 불법 해킹 시도에서도 여러번의 패스워드 키값이 입력되지만 쓸모없는 데이터로 오류 처리하고 패스워드 재입력을 요구한다. 즉, 패스워드 입력 시마다 필연적으로 발생할 수 있는 잘못된 데이터, 즉 오류데이터는 정크 데이터로 분류되어 쓸모없는 취급을 하여 왔다. 이처럼 쓸모없이 버려졌던 패스워드 인증 시의 오류데이터 값들인 정크 데이터(Junk data)는 아무 쓸모가 없다는 인식과 관습적인 행태 때문에 이를 저장, 관리하거나 분류 및 분석하고 리스크 데이터로 활용하여 인증기술에 이용하거나 개발하지 못하고 있다.
현재 부각되고 있는 빅데이터(Big data) 역시 수집의 문제보다는 데이터의 분석과 여기에서 의미 있는 가치 데이터(Value)를 찾아내는 작업이 더 중시되고 있다. IT의 발달로 시시각각 엄청나게 생산되어지는 데이터들은 쓸모없는 것으로 여겨져 대부분 방치되어왔지만, 이 방대한 데이터들은 여러 가지 분석에 의해 구글의 자동번역시스템, 슈퍼컴퓨터 왓슨, 아마존 도서추천시스템 등으로 막강한 위력을 갖춘 혁신 기술로 새로 태어났으며 다양한 마케팅활동에 적용되는 것은 물론 사용자의 생각과 의견까지도 분석하고 예측해내는 단계에까지 와있다.
빅데이터의 예에서 보듯이, 우리도 모르는 사이에 만들어내고 있는 이 쓸모없다고 여겨왔던 데이터들이 어떻게 분류, 분석되고 어떻게 사용되느냐에 따라 중요한 정보를 가진 핵심 가치데이터로 재탄생하게 되는 것처럼, 하루에도 몇 번씩 사용되는 패스워드 인증 시에 발생하는 오류데이터, 해킹 시도에 사용되었던 오류데이터 등 수많은 패스워드 관련 정크 데이터들을 수집, 분석하거나 혹은 유발시켜, 이를 토대로 위험 데이터(Risk data) 등 가치 데이터를 찾아내지 못하는 것은 물론 해킹 예방이나 보안 강화를 위해 이를 적극적으로 활용하지도 못하고 있는 것이다.
본 발명의 목적은 사용자가 원래 패스워드로 등록한 패스워드를 입력하기 이전 및 이후 또는 이전, 이후에 랜덤 키(Random Key)값을 이용해 무작위로, 원하는 자릿수만큼 자유롭게 즉흥적으로 정크 데이터를 생성·입력할 수 있도록 하여, 패스워드 입력이 주위에 노출되거나 입력 동작을 타 관찰자가 주시하고 있어도 무작위의 정크 데이터 안에 포함되어 있는 패스워드 키값을 알아보지 못하도록 하여 패스워드의 주위 노출 및 숄더 서핑, 추측공격을 방지하는 사용자 인증시스템을 제공하는 데에 있다.
특히, 본 발명은 입력받은 정크 데이터가 포함된 패스워드를 과거 입력된 정크 데이터가 포함된 패스워드와 비교하되, 적어도 일정 길이 이상이 일치하는 경우 해킹으로 추단함으로써 보안성을 한층 강화하는 사용자 인증시스템의 제공을 목적으로 한다.
상기와 같은 목적을 달성하기 위하여 본 발명에 의한 사용자 인증 방법은, 사용자 인증 시스템이, (a) 사용자로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받는 단계;
(b) 입력받은 정크 데이터가 포함된 패스워드로부터 정크 데이터를 제외한 패스워드를 분리 추출하는 단계;
(c) 상기 정크 데이터가 포함된 패스워드가, 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는 경우, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드와 일치함에도 불구하고 사용자 인증을 실패로 처리하는 단계;를 포함할 수 있다.
이때, 상기 (c)단계에서, 상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드가 임계길이 이상인 경우, 상기 정크 데이터가 포함된 패스워드가, 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는지 여부를 판정하되,
상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드가 임계길이 미만인 경우, 상기 정크 데이터가 포함된 패스워드가, 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는지 여부의 판정을 생략하고, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드와 일치하면 사용자 인증을 성공으로 처리할 수 있다.
이때, 임계길이는 9자리 또는 그보다 더 긴 길이이며,
상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부를 비교하되, 연속적 또는 불연속적으로 임계길이만큼 일치하는 경우, 상기 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리할 수 있다.
이때, 임계길이는 현재 보편적으로 사용되는 4자리 패스워드를 적용할 경우 9자리(패스워드 4자리 + 정크 데이터 5자리)가 바람직하지만, 이 임계길이는 이보다 더 길게 확대 적용할 수 있다. 왜냐하면, 현재 중국에서는 6자리 패스워드 사용이 일반화되었고, 국내에서도 최근 보안성을 높이기 위해 4자리에서 8~10자리로 패스워드 자릿수를 늘리는 것을 감안하면, 패스워드가 8자리일 경우에 임계길이가 9자리이면 패스워드 외에 정크 데이터를 사용하거나 비교 가능한 개수가 1개밖에 되지 않기 때문에 보안성과 사용자 편의성을 고려하면 임계길이를 확대하여 사용할 수 있다.
한편, 상기 패스워드가 포함된 정크 데이터 패턴은,
복수 개의 자릿수로 이루어진 정크 데이터 및 4개 이상의 자릿수로 이루어진 패스워드를 포함하는 패턴;
복수 개의 자릿수로 이루어진 제1 정크 데이터, 4개 이상의 자릿수로 이루어진 패스워드 및 복수 개의 자릿수로 이루어진 제2 정크 데이터를 포함하는 패턴; 및
3개 이상의 자릿수로 이루어진 제1 패스워드, 복수 개의 자릿수로 이루어진 정크 데이터 및 3개 이상의 자릿수로 이루어진 제2 패스워드를 포함하는 패턴;
가운데 어느 하나의 패턴을 포함할 수 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 일 실시예에 의한 정크 데이터 일치여부를 이용한 사용자 인증 시스템은, 사용자로부터 패스워드 및 정크 데이터를 입력받는 입력수단;
프로세서가 실행할 명령어를 적재하는 저장수단;
상기 저장수단에 적재된 명령어를 순차 실행하는 프로세서;를 구비한다.
이때, 상기 프로세서는 상기 입력수단을 통해 사용자로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받으면, 입력받은 패스워드로부터 정크 데이터를 분리하고, 상기 정크 데이터가 포함된 패스워드가, 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는 경우, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드와 일치함에도 불구하고 사용자 인증을 실패로 처리할 수 있다.
한편, 본 발명의 다른 실시예에 의한 정크 데이터 일치여부를 이용한 사용자 인증 시스템은,
네트워크를 통해 데이터를 송수신하는 통신 어댑터;
프로세서가 실행할 명령어를 적재하는 저장수단;
상기 저장수단에 적재된 명령어를 순차 실행하는 프로세서;를 구비한다.
이때, 상기 통신 어댑터는 네트워크를 통해 연결된 원격 단말로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받으며,
상기 프로세서는 원격 단말로부터 입력받은 패스워드에서 정크 데이터를 분리하고, 상기 정크 데이터가 포함된 패스워드가 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는 경우, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리할 수 있다.
상기 두 실시예에서, 상기 프로세서는 상기 입력받은 정크 데이터가 포함된 패스워드의 길이가 임계길이 이상인 경우, 상기 정크 데이터가 포함된 패스워드가 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는지 여부를 비교하되,
상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드가 임계길이 미만인 경우 상기 정크 데이터가 포함된 패스워드가, 과거 입력된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는지 여부의 비교를 생략하고,
상기 패스워드가 저장수단에 기 저장된 패스워드가 일치하면 사용자 인증을 성공으로 처리할 수 있다.
이때, 임계길이는 9자리이거나 또는 그 이상의 길이이며, 연속적 또는 불연속적으로 임계길이만큼 일치하면 상기 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리할 수 있다.
본 발명은 사용자로부터 입력된 정크 데이터가 포함된 패스워드에서 무작위 자릿수, 무작위 수로 이루어진 하나 이상의 정크 데이터를 제외하고 소정의 자릿수로 이루어진 패스워드를 분리 추출하고, 입력된 정크 데이터가 포함된 패스워드가 과거 입력된 정크 데이터가 포함된 패스워드와 적어도 일정 길이 이상 일치하는 경우, 분리 추출된 패스워드가 미리 저장되어 있는 패스워드와 일치함에도 불구하고 사용자 인증을 실패로 처리함으로써, 보안성과 편리성을 동시에 함께 향상시킬 수 있는 효과가 있다.
패스워드를 길게 하면 보안성은 높아지는 반면에 간편성은 떨어지기 때문에 보안성을 높이기 위해 무한정 패스워드의 자릿수를 많게 할 수는 없다. 하지만 본 발명은, 사용자는 짧은 패스워드만을 기억하고 사용하지만, 패스워드 입력 시에는 패스워드의 전과 후, 또는 전후에 짧은 패스워드를 타 관찰자가 알아채지 못하도록 정크 데이터를 입력하되, 이 정크 데이터는 소정의 자릿수, 소정의 숫자를 일부러 기억하는 것이 아니라 무의식적이며 즉흥적으로 만들어져 아무런 정보나 의미를 갖지 않는 무작위의 숫자를 임의로 무작위 개수만큼 자유롭게 입력하기 때문에 간편성과 보안성을 동시에 획기적으로 높일 수 있게 된다.
또한, 현관문의 도어락, 차량 도어의 개폐장치, 금고 도어락과 노트북 컴퓨터, 태블릿 PC 및 스마트폰 등 개인 단말기와 스마트워치 등 웨어러블 기기, IoT와 연동되는 기기의 잠금장치의 잠금 상태를 해제하거나, 유무선의 네트워크를 통해 서버와 연결된 컴퓨터, 스마트폰, 태블릿 PC 및 노트북 컴퓨터, 스마트TV 등의 인터넷 사용자 인증 시스템에서 사용자를 인증하거나, 전자상거래, 금융기관의 온라인 인증이나 금융서비스, 현금자동입출금기(ATM) 및 민원서류발급기 등의 시스템에서 기존의 구조를 변경하거나 기기의 교체 없이 소프트웨어만 업그레이드 하여 간단하게 적용할 수 있는 효과가 있다.
또한, 사용자 입장에서는 이전부터 사용하고 있던 패스워드를 새로 교체하거나 어렵고 복잡하고 길게 만들지 않고 그대로 사용할 수 있음으로써 패스워드 오류나 패스워드 망각, 분실 등에서 자유롭고, 주위의 노출에 신경 쓸 필요가 없어 장소에 구애 받지 않고 자유로운 사용이 가능해지며, 현재의 익숙한 패스워드(비밀번호) 입력방식을 그대로 사용하게 되어 새로운 기기, 새로운 방법, 새로운 인증 시스템의 적응에 대한 거부감과 작동 오류가 없고 친숙하고 익숙한 이점이 있어 패스워드의 빠른 입력이 가능하여 주위 노출, 숄더 서핑, 추측 공격은 물론 몰래카메라 노출에서도 안전성과 편리성을 함께 확보할 수 있는 효과가 있다.
특히 OTP나 랜덤 가상키보드는 키로깅을 회피할 수는 있지만 패스워드 입력 시 짧은 패스워드 키값만을 입력하기 때문에 입력 시 필연적으로 발생하는 주위 노출이나 숄더 서핑을 막을 수 없는 보안상의 한계를 지니고 있으나, 본 발명은 패스워드 입력 시마다 패스워드에 무작위 자릿수의 무작위의 즉흥적인 정크 데이터를 함께 입력하여, 일정하지 않고 불규칙하게 생성되는 항상 다른 형태의 숫자 조합 안에 패스워드를 감출 수 있기 때문에, 설령 패스워드 입력 동작이 주위의 사람들에게 노출되더라도 주위 사람들은 패스워드가 포함된 정크 데이터 안에 있는 실제 패스워드를 알아낼 방법이 없고, 항상 바뀌는 긴 패스워드를 기억할 수도 없어 보안성과 편리성이 함께 높아지는 것은 물론, 패스워드 입력 방식에서 현재 기술로는 근본적으로 막을 수 없는 주위 노출과 숄더 서핑, 몰래카메라 해킹에서도 안전성을 함께 확보할 수 있어, 주변 사람들이 함께 있는 장소에서의 패스워드 입력 시 겪는 어색한 분위기와 불안감도 사라지게 된다.
또한, 정크 데이터를 입력하지 않고 패스워드만으로도 사용자 인증이 가능하기 때문에, 특별한 보안이 필요 없는 자택이나 사무실 등 안전한 상황에서는 간편하고 빠르게 짧은 패스워드만을 그대로 입력하여 사용자 인증을 할 수 있어, 사용자의 선택에 따라 보안성을 높일 수도, 간편성을 높일 수도 있는 선택 사용이 가능한 편리함이 있다.
또한, 패스워드 입력 시 생성되는 오류 데이터를 활용하지 못하는 OTP나 랜덤 가상키보드를 활용한 인증 방법과 달리, 설령 몰래 카메라나 숄더 서핑, 노출 등에 의해 패스워드가 해킹되었다 하더라도 현재 입력된 정크 데이터와 이전에 입력되어 저장된 정크 데이터와의 비교를 통해 해킹된 패스워드라는 것을 사전에 미리 인식하여 위험 경고 예보를 할 수 있으며, 이후 2차로 정크 데이터가 제외된 실제 패스워드 입력을 요청하여 사용자 인증을 확실하게 다시 하게 되므로, 노출이나 해킹에 의한 불법 사용자 인증을 예방 및 차단할 수 있는 효과가 있다.
특히 개인정보가 실시간 저장·공유되는 웨어러블 제품이나 IoT 기기의 경우, 주변을 의식하지 못하고 개방된 불안전한 공간에서도 자주 사용하게 되는 것은 물론 IoT 기술의 발달로 텍스트 입력 외에도 음성, 그래픽, 영상 등을 사용하게 됨으로써, 컨트롤러나 디바이스의 락 해제나 사용자 인증 시 주변에 패스워드가 노출될 가능성이 더욱 높아지지만, 본 발명은 무작위의 랜덤키값을 입력하여 생성한 정크 데이터 안에 패스워드를 숨겨 사용하기 때문에 패스워드를 입력하는 화면, 음성, 동작 등이 주위에 노출되어도 타인은 패스워드를 알아챌 수가 없어 웨어러블 제품이나 IoT 기기를 여러 사람 앞에서도 어색하지 않게 사용하게 되고, 보안관련 사용자 불안감 1위가 "디바이스 사용 시의 주위 노출"이라는 불안감을 없애줌으로써 제품의 신뢰도 향상은 물론 편리성과 보안성을 함께 높이는 효과가 있다.
도 1은 본 발명에 의한 사용자 인증 시스템의 하드웨어 구성을 예시한 블록도이며,
도 2는 본 발명에 의한 사용자 인증 시스템과 원격단말의 연결관계를 도시한 망구성도이며,
도 3은 사용자가 입력수단 또는 원격단말을 이용하여 입력하는 모습을 예시하는 도면이며,
도 4는 본 발명에 의한 정크 데이터 일치여부를 이용한 사용자 인증 방법의 처리과정을 도시한 플로우차트이며,
도 5는 본 발명에 의해 실제 패스워드에 랜덤키값이 추가되어 생성된 정크 데이터의 패턴 예시를 나타낸 도면이며,
도 6은 본 발명에 의해 패스워드와 정크 데이터를 입력하여 사용자 인증에 사용된 3가지 패턴과 불법 노출이나 해킹에 의해 사용된 예시를 나타낸 도면이다.
- 도면 부호의 설명 -
100 : 사용자 인증 시스템
110 : 프로세서
120 : 입력수단
130 : 표시수단
140 : 저장수단
150 : 통신수단
200 : 원격단말
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 발명에 대해 구체적으로 설명하기로 한다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...수단", "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
아래에서는 첨부한 도면을 참고하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
도 1은 본 발명에 의한 사용자 인증 시스템의 하드웨어 구성을 예시한 블록도이다.
도 1에 도시된 사용자 인증 시스템(100)은 프로세서(110), 입력수단(120), 표시수단(130), 저장수단(140) 및 통신수단(150)을 구비한다.
프로세서(110)는 저장수단(140)에 저장된 명령어를 실행한다. 한편, 프로세서(110)는 입력수단(120)을 통해 입력되는 패스워드 및 정크 데이터를 표시수단(130)에 표시함과 함께, 저장수단(140)에 미리 저장되어 있는 패스워드 및 정크 데이터들을 비교하여 후술하는 사용자 인증방법으로 사용자 인증을 실시하는 역할을 한다.
입력수단(120)은 사용자 인증 시스템(100)에 구비된 주변기기로서 사용자로부터 패스워드 및 정크 데이터를 입력받기 위한 장치로서, 그 형태에는 제한을 두지 아니한다.
예컨대, 키보드나 마우스, 터치스크린 등일 수 있다.
또는, 입력수단(120)은 마이크일 수 있다. 사용자의 음성을 입력받아 이를 텍스트 데이터로 변환하여 입력값으로 사용할 수 있다.
이외에도, 현관문의 디지털 도어락, 차량 도어나 금고에 설치된 키패드, 리모콘, 현금자동입출금기(ATM) 및 민원서류발급기 등 자동화기기의 키패드 등 다양한 형태로 구현될 수 있다.
표시수단(130)은 프로세서(110)의 제어를 받아 사용자에게 알려주고자 하는정보를 시각적, 청각적, 촉각적인 방식에 의해 표시하기 위한 장치로서, 액정표시장치(LCD), 스피커, 기타 알려진 다양한 형태의 출력장치일 수 있다.
저장수단(140)은 프로세서(110)가 실행할 명령어가 포함된 프로그램을 적재할 수 있다. 한편, 저장수단(140)은 사전에 사용자에 의해 상기 입력수단(120)을 통해 입력된 패스워드 및 패스워드와 함께 입력되어 사용된 정크 데이터를 저장한다.
이러한 저장수단(140)은 하드 디스크나, 플래쉬 메모리 등 휘발성 또는 비휘발성의 로컬 스토리지이거나, 또는 클라우드나 원격지 서버나 NAS(Network Attached Storage)일 수 있다.
통신 어댑터(150)는 네트워크를 통해 연결되는 원격단말(200)과 소정의 통신규약에 따라 통신하기 위한 장치이다.
이때, 네트워크는 인터넷 망이나, 인트라넷, 이동통신망 등 알려진 다양한 형태의 유무선 통신망일 수 있다.
이러한 사용자 인증 시스템(100)은 상기와 같은 요소를 구비하는 것이라면 하드웨어의 형태에는 특별한 제한을 두지 아니한다.
예컨대, 개인용 컴퓨터나 랩탑, 스마트폰, 타블렛 컴퓨터의 형태일 수도 있으며, 스마트 워치나 기타 웨어러블 디바이스, 네트웍을 통해 다수의 원격 단말과 연결되는 서버의 형태일 수 있다.
도 2는 본 발명에 의한 사용자 인증 시스템과 원격단말의 연결관계를 도시한 망구성도이다.
도 2에 예시된 사용자 인증 시스템(100)은 다수의 원격단말(200)과 네트워크를 통해 연결된다.
사용자는 사용자 인증 시스템(100)에 구비된 입력수단(120)을 이용하여 직접 입력을 할 수도 있으나, 네트워크를 통해 연결된 원격단말(200)을 이용하여 입력할 수도 있다.
원격단말(200)은 원격지에서 사용자 인증 시스템(100)과 통신하며, 사용자 인증 시스템(100)으로 패스워드 및 패스워드와 함께 정크 데이터를 입력하기 위한 수단으로, 사용자 인증 시스템(100)과 물리적으로 분리된 스마트폰, 개인용 컴퓨터, 유무선 통신이 가능한 현관문의 디지털 도어락, 차량 도어나 금고, 네트워크에 연결된 현금자동입출금기(ATM) 및 민원서류발급기 등 자동화기기일 수 있다.
이외에도, 원격단말(200)은 유무선 통신이 가능한 가스보일러, 전구, 전원스위치, 스피커와 같은 IoT(Internet of Things) 제품일 수 있다.
또는, 원격단말(200)은 무선 통신망에 연결되며, 지그비(Zigbee)나 블루투스(Bluetooth)와 같은 근거리 무선 통신 방식에 의해 각종 IoT 제품을 콘트롤하는 IoT 콘트롤러일 수도 있다.
그 외에도, 이와 같은 다양한 IoT 제품과 연동되는 스마트폰이나 타블렛 컴퓨터 등의 모바일 디바이스의 형태일 수도 있다.
이외에도, 상기의 정의를 만족하는 것이라면 하드웨어의 형태에 제약을 두지 아니한다.
도 3은 사용자가 입력수단 또는 원격단말을 이용하여 입력하는 모습을 예시하는 도면이며, 도 4는 본 발명에 의한 정크 데이터 일치여부를 이용한 사용자 인증 방법의 처리과정을 도시한 플로우차트이다.
사용자는 도 3에 예시된 바와 같이, 입력수단(120) 또는 원격단말(200)을 통해 패스워드 또는 정크 데이터를 입력할 수 있다.
도 3의 예에서는 숫자를 터치하여 입력하는 것으로 도시하였으나, 이는 예시적인 것으로 패스워드와 정크 데이터는 숫자는 물론, 문자 및 특수문자, 기호가 사용될 수 있다.
입력수단(120)이 마이크인 경우, 사용자는 음성으로 입력할 수도 있다.
프로세서(110)는 입력받은 데이터를 분절화하여 텍스트 데이터로 변환한 다음 이를 입력값으로 사용할 수 있다. 음성 데이터를 텍스트로 변환하는 알고리즘은 공지의 것을 사용할 수 있다.
도 5는 본 발명에 의해 실제 패스워드에 랜덤키값이 추가되어 생성된 정크 데이터의 패턴 예시를 나타낸 도면이며, 도 6은 본 발명에 의해 패스워드와 정크 데이터를 입력하여 사용자 인증에 사용된 3가지 패턴과 불법 노출이나 해킹에 의해 사용된 예시를 나타낸 도면이다.
이하, 도 3 내지 도 6을 참조하여 본 발명에 의한 정크 데이터 일치여부를 이용한 사용자 인증 방법에 대하여 살펴보기로 한다.
사용자가 이전에 패스워드 설정모드를 수행하지 않아 최초로 패스워드 설정을 요청하거나 이미 설정된 패스워드의 변경을 요청하는 경우 프로세서(110)는 패스워드 설정모드를 실행한다(S1).
이어서, 프로세서(110)는 사용자가 설정하는 패스워드의 키(Key)값을 입력받아 저장수단(140)에 저장한다(S2).
본 발명에 사용되는 패스워드는 사용자가 설정하고자 한 소정의 자릿수를 가진 패스워드(PW, Password)로 이루어지지만, 사용자 인증단계에서의 패스워드 입력 시에는 상기 패스워드를 감추기 위한 하나 이상의 정크 데이터(JD, Junk Data)와 함께 입력이 이루어진다.
상기 정크 데이터는 사용자가 항시 기억해야 하는 일정한 형식과 요건을 갖춘 패스워드와는 달리, 사용자의 무의식적이고 즉흥적인 입력 동작에 의해 생성되기 때문에 필요한 정보가 없는 무의미하고 엉터리인 ‘정크 데이터(Junk data)’란 말 그대로 아무 쓸데없는 데이터로, 사용자가 원래 패스워드로 등록한 패스워드(PW)를 입력하기 이전 및 이후 또는 이전, 이후에 사용자에 의해 무작위로, 원하는 자릿수만큼 즉흥적으로 자유롭게 입력되어 생성, 사용된다.
도 5의 (a) 내지 (d)는 사용자 인증단계에서 사용자에 의해 입력되는 패스워드와 함께 입력되는 정크 데이터(JD)에 의해 만들어지는 패턴을 예로 들어 나타낸 것이다. 여기서, (a)는 4자리 수의 정크 데이터(JD)와 상기 정크 데이터(JD)의 다음에 위치하는 4자리 수의 패스워드로 이루어진 패턴의 예를 나타낸 것이다. (b)는 4자리 수의 패스워드와 상기 패스워드의 다음에 위치하는 8자리 수의 정크 데이터(JD)로 이루어진 패턴의 예를 나타낸 것이다. (c)는 3자리 수의 제1 정크 데이터(JD1), 상기 제1 정크 데이터(JD1)의 다음에 위치하는 4자리 수의 패스워드 및 상기 패스워드의 다음에 위치하는 5자리 수의 제2 정크 데이터(JD2)로 이루어진 패턴의 예를 나타낸 것이다. (d)는 4자리 수의 제1 패스워드(PW1), 상기 패스워드(PW1)의 다음에 위치하는 5자리 수의 정크 데이터(JD) 및 상기 정크 데이터(JD)의 다음에 위치하는 3자리 수의 제2 패스워드(PW2)로 이루어진 패턴의 예를 나타낸 것이다.
상기와 같이 이루어지는 패스워드와 정크 데이터에 사용되는 숫자의 개수는 특별하게 한정되지 않는다. 단지, 패스워드를 구성하는 숫자의 개수는 사용자의 편의성을 감안할 때 짧을수록 좋겠지만, 패스워드 구성의 최소단위인 4자릿수 이상이 바람직하고, 정크 데이터를 구성하는 개수는 1개부터 n개까지 자유롭게 무작위로 즉흥적으로 사용할 수 있지만, 사용자의 편의성과 입력시간을 고려하고, 타인에 의한 추측공격을 가정할 경우 현실적인 실제 입력 개수는 10자릿수 이하로 한정하는 것이 좋다.
즉, 사용자가 기억해야 하는 실제 패스워드는 짧고 간편하게 4개의 숫자 조합으로 사용하지만, 패스워드의 전과 후 또는 전 후에 추가하는 정크 데이터의 개수(자릿수)는 사용자가 임의로 무작위하게 자유롭게 마음대로 생성해 추가할 수 있다.
단, 사용자의 편의성을 고려한다면 10자리 미만의 개수가 편리하지만, 도 5의 (b), (c), (d)에서와 같이 패스워드가 포함된 정크 데이터 전체의 숫자 개수는 보안성을 높이기 위해서는 적어도 10자리 이상의 충분히 긴 길이인 것이 바람직하다. (b), (c)의 경우, 사용한 정크 데이터 8자리를 제외하면 사용자가 기억해야 하는 실제 패스워드의 키값은 4개밖에 되지 않는다. 참고로, 1956년 발표된 조지 밀러(George A. Miller)의 연구논문 “The Magic number seven, plus or minus Two”에 의하면, 사람이 외울 수 있는 숫자의 일반적인 개수는 평균 7자리 수로 보고되고 있다. 이를 감안할 때, 도 5의 (b)와 (c)같은 패스워드는 편의성과 보안성을 모두 만족하는 패스워드이다.
왜냐하면, 패스워드를 포함한 정크 데이터를 이루는 숫자가 모두 12자리이므로 주위 노출이나 타인의 기억 등에서 보안성이 매우 우수하고, 이 12자리 중에서 사용자는 정크 데이터를 제외한 실제 패스워드에 해당하는 4자리 숫자 ‘2016’만 기억하면 되므로 편리성 또한 우수하다고 할 수 있다.
이는 조지 밀러의 연구논문에 따르면, 7자리 숫자를 기준으로, 여기서 2자리가 작은 5자리 숫자는 누구든지 쉽게 외울 수 있는 반면, 2자리가 큰 9자리 숫자는 외울 수 없는 숫자조합이 된다. 즉, 사용자에게는 암기하기 쉬운 패스워드이지만, 정크 데이터로 위장된 패스워드는 노출되어도 곁에서 이를 보고 외울 수가 없게 된다.
도 6의 (c)와 (n)의 경우처럼, 주변에 관찰자들이 많아 부득이 긴 숫자인 16자리 숫자나 19자리 숫자가 입력될 경우, 패스워드로 사용하기에는 매우 긴 숫자이지만 사용자는 4자리의 패스워드만 기억하기 때문에 아무런 부담 없이 이 긴 숫자조합을 편하게 입력하게 되고, 패스워드 입력 시 고의로 주위 노출을 유발한다 해도 주위 관찰자들은 이 긴 숫자 조합 중에서 실제 패스워드 4개를 알아낼 수도 없고, 또한 인간의 기억범위와 능력으로는 이 긴 숫자 조합을 기억할 방법이 없어 주위 노출이나 숄더 서핑에서 확실한 안전을 보장하게 된다.
이하, 설명에서는 사용자에 의해 입력되는 패스워드를 포함한 정크 데이터가 도 5의 (c)와 같은 패턴인 것을 예로 하여 설명한다.
사용자 인증모드에서 제어부(120)는 키 입력부(110)를 통해 사용자로부터 패스워드(PW)와 상기 패스워드의 이전에 입력되는 제1 정크 데이터(JD1) 및 상기 패스워드의 이후에 입력되는 제2 정크 데이터(JD)를 입력받는다(S3).
이때 사용자가 항상 상기와 같이 패스워드와 함께 정크 데이터(JD)를 입력하는 것은 아니다. 예를 들어, 사용자가 현재 상황이 패스워드와 정크 데이터(JD)를 함께 사용하지 않아도 되는 자택이나 사무실 등 보안이 필요 없는 안전한 상황이라고 판단될 때, 도 6의 (e), (k), (m)과 같이 간단한 실제 패스워드만을 빠르고 간편하게 입력할 수 있다.
도 6에서 제시한, 수집된 정크 데이터 사용 예시를 자세히 비교·분석해보면, 상기의 예시와 같이 (e), (k), (m)은 실제 패스워드만을 사용해 인증한 경우로 안전한 장소에서 사용된 것임을 알 수 있고, 4자리 패스워드와 6자리 이상의 정크 데이터, 즉 10자릿수 이상을 입력하여 사용한 (a), (c), (f), (g), (h), (j), (n), (o)의 경우 주위가 불안전하거나 불안한 상태에서 입력된 패스워드라는 것을 알 수 있다.
특히 이 중 (h)와 (o)의 경우, 패스워드와 함께 입력된 정크 데이터 12자릿수가 동일하고, 먼저 입력된 (h)가 불안전한 곳에서 불안한 상태로 입력된 것이 확실하고, 이후 입력된 (o)가 (h)와 동일하므로, (h)가 주위 노출, 몰래 카메라 등에 의해 해킹되어 사용된 것이 (o)라는 판단을 하게 된다. 이렇게 정크 데이터를 이용해 해킹에 의한 불법 사용을 예측하여 사용자 인증을 에러 처리하고 “해킹 위험”경고를 게시할 수 있다.(S7, S9)
상기 예시에서 알 수 있듯이 패스워드 입력 시 수시로 발생, 생성되지만 쓸모없다고 여겨왔던 패스워드 오류값들인 정크 데이터의 수집 및 정크 데이터 생성을 유도하고 이를 저장, 분류, 분석하여 가치 데이터를 찾아내고 이를 이용해 해킹이나 불법 노출 사용 등을 사전 예측할 수 있게 된다.
프로세서(110)는 상기와 같은 패턴으로 입력된 패스워드가 포함된 정크 데이터 중에서 제1 정크 데이터(JD1)와 제2 정크 데이터(JD2)를 제외한 실제 패스워드를 추출하게 되는데, 이를 위해 Finite-state automaton based search, Brute Force Algorithm, Knuth-Morris-Pratt Algorithm, Rabin-Karp string algorithm 등의 문자열 검색 알고리즘이나 패턴 매칭 알고리즘, 패턴 인식 알고리즘 등을 사용할 수 있다(S4).
만약, 상기와 같이 사용자가 정크 데이터(JD)를 입력하지 않고 실제 패스워드만을 입력한 경우(도 6의 (e), (k), (m)), 상기 패스워드 추출단계(S4)에서 정크 데이터(JD)는 검출되지 않고 패스워드만 검출된다.
프로세서(110)는 상기 추출된 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하는지의 여부를 확인하여 일치하지 않는 것으로 판명되면, 이는 올바르지 않은 패스워드이므로 에러 처리하고, 그 사실을 표시수단(130)에 표시한다(S5, S6).
만약, 상기와 같이 사용자가 정크 데이터(JD)를 입력하지 않고 실제 패스워드만을 입력한 경우에도 프로세서(110)는 상기 추출된 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하는지의 여부를 확인하여 일치하지 않는 것으로 판명되면, 이는 올바르지 않은 패스워드이므로 에러 처리하고, 그 사실을 표시수단(130)에 표시한다.
그러나, 상기 확인 결과 상기 추출된 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하는 것으로 판명되면, 프로세서(110)는 상기 정크 데이터(JD)가 포함된 패스워드가 이전의 인증과정에서 사용자가 입력한 정크 데이터(JD)가 포함된 패스워드로서 저장수단(140)에 저장된 것과 일치하는지 여부를 확인하고, 상기 확인 결과 서로 일치하지 않는 것으로 판명되면 사용자 인증을 성공으로 처리한다(S7, S8).
이와 같이 현재 입력된 정크 데이터(JD)가 포함된 패스워드가 이전의 인증과정에서 사용자가 입력하여 저장수단(140)에 저장된 정크 데이터(JD)가 포함된 패스워드와 일치하는지의 여부를 확인하는 이유는, 사용자가 이전에 사용한 패스워드가 노출이나 숄더 서핑, 몰래 카메라나 다른 수단에 의해 불법 사용자에게 노출된 경우 그 불법 사용자는 사용자가 입력한 제1 정크 데이터(JD1), 패스워드(PW) 및 제2 정크 데이터(JD2)로 이루어진 정크 데이터가 포함된 패스워드 전체를 하나의 패스워드로 인식하여 ‘325 2016 11234’를 그대로 입력하기 때문이다(도 6의 (o)). 이를 감안하여 사용자는 제1 정크 데이터(JD1)와 제2 정크 데이터(JD2)를 이루는 랜덤의 숫자(또는 문자, 특수문자, 기호) 중에서 적어도 하나 이상의 숫자나 자릿수가 이전에 입력한 것과 달라야 한다.
상기 입력된 정크 데이터(JD)가 포함된 패스워드를 과거의 인증과정에서 사용자가 입력하여 메모리(140)에 저장된 정크 데이터(JD)가 포함된 패스워드들과 일치 여부를 판정할 때에, 과거에 입력되었던 모든 정크 데이터(JD)가 포함된 패스워드들과의 일치 여부를 판정해야만 하는 것은 아니며, 바로 직전을 포함하여 미리 정해진 회수만큼 또는 미리 정해진 시간만큼 이전에 입력된 정크 데이터(JD)가 포함된 패스워드와 일치 여부를 비교 판정할 수도 있다.
따라서, 상기 확인 결과 상기 정크 데이터(JD)가 포함된 패스워드가 저장수단(140)에 저장되어 있는 정크 데이터(JD)가 포함된 패스워드와 각각 일치하는 것으로 판명되면, 프로세서(110는 현재 입력된 패스워드가 불법 사용자에 의해 입력된 것이거나 혹은 사용자의 실수에 의한 입력으로 판단하여, 2차 패스워드 입력을 요청할 수 있다(S9), (도 6 (p)).
한편, 사용자에 의해 현재 입력된 정크 데이터가 포함된 패스워드의 자릿수가 임계길이 이상이고, 메모리(140)에 저장되어 있는 과거에 사용된 패스워드와 일치하는 자릿수가 임계길이에 해당하는 경우 - 예컨대, 입력된 정크 데이터가 포함된 패스워드가 14자리(도 6 (j))이고, 이 중 일치하는 자릿수가 9자리 이상일 경우, 두 패스워드가 상기와 같이 완전히 똑같이 일치하지 않더라도 과거에 사용되었던 패스워드와 동일한 것으로 판단하여, 현재 입력된 패스워드가 불법 사용자에 의해 입력된 것이거나 혹은 사용자의 실수(우연)에 의한 입력이므로 2차 패스워드 입력을 요청할 수 있다(S9), (도 6 (p)).
사용자에 의해 현재 입력된 정크 데이터가 포함된 패스워드의 길이가 임계길이 이하로 짧거나(도 6의(b), (i), (l)) 정크 데이터 입력 없이 패스워드만 사용한 경우(도 6의(e), (k), (m)) 안전한 장소에서 사용된 것이고, 정크 데이터가 포함된 패스워드의 입력된 자릿수가 임계길이 이상으로 긴 경우, 주위가 불안한 상태에서 입력되었다는 것으로 판단하는 것이다.
한편, 이 중 9자리가 예전에 입력되었던 패스워드와 동일하다는 것은 앞서 제시한 밀러의 논문에 의하면 9자리 수는 사람이 외울 수 있는 범위를 넘어가는 자릿수이기 때문에, 이 정도 길이의 수가 일치한다면 해킹으로 판단할 수 있다.
좀 더 상세히 예를 들어 설명하자면, 현재 사용자가 입력한 패스워드가 제1 정크 데이터(JD1)와 패스워드(PW)와 제2 정크 데이터((JD2)의 조합으로 이루어진 ‘325 2016 11238’이고, 메모리(140)에 저장되어 있는 과거에 사용된 패스워드가 ‘325 2016 11234’일 경우(도 6의 (h)), 현재 입력된 패스워드는 과거에 사용된 패스워드와 11자리 수가 동일하고 1자리 수가 다르지만 과거와 동일한 패스워드를 입력했다고 판단하여 해킹 등으로 예측하여 인증을 거부한다. 왜냐하면, 몰래카메라 등으로 패스워드를 촬영한 후 전체 패스워드를 동일하게 그대로 사용할 수도 있지만(도 6의 (o)), 의도적으로 전체 패스워드 중 일부를 변경하거나 누락하여 사용할 수도 있기 때문이다.
이 경우를 자세히 살펴보면, 1자리를 제외한 11자리 수인 ‘32520161123’이나 2자리를 제외한 10자리 수 ‘3252016112’를 인간의 머리로는 암기하여 재현할 수 없기 때문에 이 긴 숫자의 조합이 과거에 사용된 것과 동일하다면, 해킹이 아니고서는 기억해서 사용할 수 있는 숫자의 조합이 아닌 것이다.
같은 관점에서, 사용자가 15자리 수의 정크 데이터가 포함된 패스워드를 입력할 경우, 입력한 패스워드 15자리 수가 과거의 패스워드와 모두 일치하거나, 15자리 수 중 1자리가 다르고 14자리 수가 일치하거나, 2자리가 다르고 13자리 수가 일치하거나....15자리 수 중 6자리가 다르고 9자리 수가 일치하는 패스워드라면 각각 모두 해킹으로 판단하여 2차 패스워드 입력을 요청한다(S9).
반드시 연속적으로 일치하지 않더라도 도합하여 9자리 이상이 순차 일치하는 경우에도 해킹으로 판단하여 2차 패스워드 입력을 요청할 수 있다(S9).
상기 2차 패스워드란 상기 제1 정크 데이터(JD1) 및 패스워드(PW), 제2 정크 데이터(JD2) 중에서 정크 데이터를 모두 제외한 패스워드(PW)만을 의미하는 것으로, 사용자는 이 사실을 인지하고 실제 패스워드인 4자리의 숫자 ‘2016’을 입력할 것이다. 이에 반하여, 불법 사용자인 경우 패스워드가 포함되어 있는 정크 데이터의 전체 숫자는 알고 있지만 그 안에 들어있는 실제 패스워드만을 알 수는 없으므로 제1 정크 데이터(JD1) 및 패스워드(PW), 제2 정크 데이터(JD2)를 포함하는 12자리의 숫자를 입력할 것이다. 아니면, 이 전체 12자리 숫자들 중에서 패스워드 키값을 임의로 선택하여 입력할 수밖에 없게 된다.
프로세서(110)는 이때 입력된 2차 패스워드를 메모리(140)에 저장되어 있는 패스워드와 비교하여 일치하는 것으로 판명되면 사용자 인증에 대해 성공으로 처리하고, 일치하지 않는 것으로 판단되면 에러 처리한다(S10-S12).
이때, 입력된 2차 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하지 않는 경우, 상기 프로세서(110)는 패스워드가 불법 유출된 것으로 판단하여 표시수단(130)을 통해 사용자에게 패스워드 변경을 요청할 수 있어, 불법 해킹에 대한 사전 예측 및 고지가 가능하여 예방과 보안을 강화할 수 있게 된다.
단, 상기와 같이 입력된 2차 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하지 않는 경우, 해킹일 수도 있지만 혹은 사용자의 실수에 의한 것일 수도 있으므로, 미리 설정된 횟수(예: 3회)에 걸쳐 2차 패스워드 입력을 요청하여 계속해서 입력된 2차 패스워드가 저장수단(140)에 저장되어 있는 패스워드와 일치하지 않는 경우, 상기 프로세서(110)는 바로 이전에 입력된 패스워드가 불법 유출(해킹)에 의한 패스워드로 판단하여 에러 처리함과 아울러 표시수단(130)을 통해 사용자에게 불법 유출의 가능성을 알리고 패스워드 변경을 요청하는 것이 바람직하다.
본 발명의 일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속한다.

Claims (11)

  1. 사용자 인증 시스템에 의한 사용자 인증 방법에 있어서,
    (a) 사용자로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받는 단계;
    (b) 입력받은 정크 데이터가 포함된 패스워드로부터 정크 데이터를 제외한 패스워드를 분리 추출하는 단계;
    (c) 상기 정크 데이터가 포함된 패스워드가 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드와 임계길이만큼 일치하는 경우, 상기 분리 추출된 패스워드가 기 저장된 패스워드와 일치함에도 불구하고 사용자 인증을 실패로 처리하는 단계;를 포함하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  2. 제1항에 있어서,
    상기 (c)단계에서, 상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드의 길이가 임계길이 이상인 경우, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부를 비교하되,
    상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드의 길이가 임계길이 미만인 경우, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부의 비교를 생략하고, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드가 일치하면 사용자 인증을 성공으로 처리하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  3. 제1항에 있어서,
    상기 (c)단계에서, 상기 임계길이는 9자리 또는 그보다 더 긴 길이이며,
    상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부를 비교하되, 연속적 또는 불연속적으로 임계길이만큼 일치하는 경우,
    상기 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  4. 제1항에 있어서,
    상기 패스워드가 포함된 정크 데이터 패턴은,
    복수 개의 자릿수로 이루어진 정크 데이터 및 4개 이상의 자릿수로 이루어진 패스워드를 포함하는 패턴;
    복수 개의 자릿수로 이루어진 제1 정크 데이터, 4개 이상의 자릿수로 이루어진 패스워드 및 복수 개의 자릿수로 이루어진 제2 정크 데이터를 포함하는 패턴; 및
    3개 이상의 자릿수로 이루어진 제1 패스워드, 복수 개의 자릿수로 이루어진 정크 데이터 및 3개 이상의 자릿수로 이루어진 제2 패스워드를 포함하는 패턴;
    가운데 어느 하나의 패턴을 포함하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  5. 제1항에 있어서,
    상기 (b) 단계에서, 문자열 검색 알고리즘, 패턴 매칭 알고리즘 및 패턴 인식 알고리즘 가운데 어느 하나를 이용하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  6. 제1항에 있어서,
    상기 (c) 단계 이후,
    (d) 정크 데이터를 제외한 패스워드만을 입력하라는 메시지를 표시하는 단계; 및
    (e) 사용자로부터 재차 패스워드가 입력되면 저장수단에 기 저장된 패스워드와 일치여부를 판정하여, 일치하는 경우 사용자 인증을 성공으로 처리하는 단계;를 더 포함하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  7. 제6항에 있어서,
    상기 (e) 단계에서, 사용자로부터 재차 입력된 패스워드가 저장수단에 기 저장된 패스워드와 일치하지 않는 경우, 해킹위험 경고처리를 수행하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 방법.
  8. 사용자로부터 패스워드 및 정크 데이터를 입력받는 입력수단;
    프로세서가 실행할 명령어를 적재하는 저장수단;
    상기 저장수단에 적재된 명령어를 순차 실행하는 프로세서;를 구비하되,
    상기 프로세서는 상기 입력수단을 통해 사용자로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받으면, 입력받은 패스워드로부터 정크 데이터를 제외한 패스워드를 분리 추출하고, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드가 임계길이만큼 일치하는 경우, 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드와 일치함에도 불구하고 사용자 인증을 실패로 처리하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 시스템.
  9. 네트워크를 통해 데이터를 송수신하는 통신 어댑터;
    프로세서가 실행할 명령어를 적재하는 저장수단;
    상기 저장수단에 적재된 명령어를 순차 실행하는 프로세서;를 구비하되,
    상기 통신 어댑터는 네트워크를 통해 연결된 원격 단말로부터 정크 데이터가 포함된 패스워드 - 이때, 정크 데이터는 패스워드의 이전, 이후 또는 이전 및 이후에 포함됨 - 를 입력받으며,
    상기 프로세서는 입력받은 패스워드로부터 정크 데이터를 제외한 패스워드를 분리하고, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드가 임계길이만큼 일치하는 경우, 상기 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 시스템.
  10. 제8항 및 제9항 가운데 어느 한 항에 있어서,
    상기 프로세서는 상기 입력받은 정크 데이터가 포함된 패스워드의 길이가 임계길이 이상인 경우, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부를 비교하되,
    상기 사용자로부터 입력받은 정크 데이터가 포함된 패스워드의 길이가 임계길이 미만인 경우, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부의 비교를 생략하고,
    상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드와 일치하면 사용자 인증을 성공으로 처리하는 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 시스템.
  11. 제10항에 있어서,
    상기 프로세서는, 상기 정크 데이터가 포함된 패스워드와 과거 입력되어 기 저장된 정크 데이터가 포함된 패스워드의 일치 여부를 비교하며, 연속적 또는 불연속적으로 임계길이만큼 일치하면 상기 분리 추출된 패스워드가 저장수단에 기 저장된 패스워드가 일치함에도 불구하고 사용자 인증을 실패로 처리하되,
    상기 임계길이는 9자리 또는 그보다 더 긴 길이인 것을 특징으로 하는 정크 데이터 일치여부를 이용한 사용자 인증 시스템.
PCT/KR2017/001547 2016-02-16 2017-02-13 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템 WO2017142271A1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/077,737 US10872135B2 (en) 2016-02-16 2017-02-13 User authentication method and authentication system using match with junk data
CN201780011607.1A CN108701183B (zh) 2016-02-16 2017-02-13 利用垃圾数据是否一致的用户认证方法及认证系统

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR20160017561 2016-02-16
KR10-2016-0017561 2016-02-16
KR1020160150877A KR101769119B1 (ko) 2016-02-16 2016-11-14 정크 데이터 일치여부를 이용한 사용자 인증 시스템 및 방법
KR10-2016-0150877 2016-11-14

Publications (1)

Publication Number Publication Date
WO2017142271A1 true WO2017142271A1 (ko) 2017-08-24

Family

ID=59625252

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/001547 WO2017142271A1 (ko) 2016-02-16 2017-02-13 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템

Country Status (2)

Country Link
CN (1) CN108701183B (ko)
WO (1) WO2017142271A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10956558B2 (en) * 2018-10-31 2021-03-23 Microsoft Technology Licensing, Llc Methods for increasing authentication security
CN114640446A (zh) * 2022-03-25 2022-06-17 中国农业银行股份有限公司 一种密码防偷窥方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110051174A (ko) * 2009-03-10 2011-05-17 주식회사 케이티 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
JP2011113523A (ja) * 2009-11-30 2011-06-09 Kyocera Mita Corp ユーザ認証装置
KR20120010602A (ko) * 2010-07-20 2012-02-06 한국모바일인증 주식회사 이동통신 시스템을 통해 보안이 강화된 사용자 인증 처리 방법 및 이에 이용되는 이동통신 단말기
US20150205942A1 (en) * 2012-07-12 2015-07-23 Rowem Inc. Password Authentication System And Password Authentication Method Using Consecutive Password Authentication
KR20150113366A (ko) * 2014-03-28 2015-10-08 신원국 패스워드 인증 장치 및 그 장치의 운용 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070040983A (ko) * 2005-10-13 2007-04-18 엘지전자 주식회사 전자 단말기의 사용자 검증 방법 및 그 전자 단말기
JP5434531B2 (ja) * 2009-11-30 2014-03-05 富士通株式会社 残置設定方法および装置
JP2012133717A (ja) * 2010-12-24 2012-07-12 Panasonic Corp パスワード入力認証装置及びこれを用いた携帯端末装置
CN203584123U (zh) * 2013-12-04 2014-05-07 青岛众音科技发展有限公司 可拨打电话报警的指纹保险柜
CN105095701A (zh) * 2014-05-06 2015-11-25 黄熙镜 一种用户认证的方法、装置和终端设备
CN104537300B (zh) * 2014-12-25 2019-05-17 绵阳艾佳科技有限公司 安全密码设置及验证方式

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110051174A (ko) * 2009-03-10 2011-05-17 주식회사 케이티 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
JP2011113523A (ja) * 2009-11-30 2011-06-09 Kyocera Mita Corp ユーザ認証装置
KR20120010602A (ko) * 2010-07-20 2012-02-06 한국모바일인증 주식회사 이동통신 시스템을 통해 보안이 강화된 사용자 인증 처리 방법 및 이에 이용되는 이동통신 단말기
US20150205942A1 (en) * 2012-07-12 2015-07-23 Rowem Inc. Password Authentication System And Password Authentication Method Using Consecutive Password Authentication
KR20150113366A (ko) * 2014-03-28 2015-10-08 신원국 패스워드 인증 장치 및 그 장치의 운용 방법

Also Published As

Publication number Publication date
CN108701183A (zh) 2018-10-23
CN108701183B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
KR101769119B1 (ko) 정크 데이터 일치여부를 이용한 사용자 인증 시스템 및 방법
Mali et al. Advanced pin entry method by resisting shoulder surfing attacks
CA2777248C (en) System and method for improving security of user account access
US20090276839A1 (en) Identity collection, verification and security access control system
WO2015199501A1 (ko) 가변 키패드와 생체 인식을 이용한 본인 인증 방법 및 시스템
Schlöglhofer et al. Secure and usable authentication on mobile devices
Guerar et al. Using screen brightness to improve security in mobile social network access
WO2020159328A1 (ko) 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말
Rajarajan et al. Shoulder surfing resistant virtual keyboard for internet banking
Abiew et al. Design and implementation of cost effective multi-factor authentication framework for ATM systems
Boonkrong et al. Methods and threats of authentication
WO2017142271A1 (ko) 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템
Valarmathi et al. Shoulder surfing attack trusted verification–a survey
Arun Kumar et al. A survey on graphical authentication system resisting shoulder surfing attack
KR101223649B1 (ko) Uip를 이용한 사용자 인증 방법 및 인증 시스템
KR101632582B1 (ko) 랜덤키가 포함된 패스워드를 이용한 사용자 인증 방법 및 시스템
KR101993057B1 (ko) 안구 움직임 인식을 이용한 안전한 비밀번호 입력 장치 및 방법
KR20110121251A (ko) 사용자 제스처를 이용한 사용자 인증 방법 및 장치
KR20170101145A (ko) 랜덤 키를 이용한 해킹 및 노출 방지 패스워드 시스템 및 사용자 인증 방법
Kaushik et al. A novel graphical password scheme to avoid shoulder-surfing attacks in android devices
Rawal et al. Manage the Identification and Authentication of People, Devices, and Services
Hemamalini et al. Graphical password authentication using hybrid pin keypad
Pais et al. Illusion PIN: tricking the eye to defeat shoulder surfing attack by using hybrid images
WO2016122090A1 (ko) 일회용 접속코드를 이용한 사용자 인증 방법
US20230306104A1 (en) Technology for providing password security

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17753432

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 10.12.2018)

122 Ep: pct application non-entry in european phase

Ref document number: 17753432

Country of ref document: EP

Kind code of ref document: A1