이중 인증
성질이 다른 두 종류의 정보를 조합하여 인증을 하는 인증 방식입니다.
예를 들어 ‘비밀번호’와 ‘인증코드’(시스템이 자동으로 생성하고 등록된 휴대전화의 메일 주소로 송부하여
사용자에게 통지하는 문자열), 이 두 종류의 정보를 사용한 이중 인증 등이 현재 사용되고 있습니다.
이중 인증에서는 두 가지 정보를 조합한다.
비밀번호와 인증코드를 조합하여 인증
인증코드 발행용 서버 : ① 인증코드 발행
ID와 비밀번호 외에 인증 코드를 입력 : ② 로그인
인증서버
비밀번호를 알아내도 인증 코드가 없으면 진행이 안된다.
① 사전 공격으로 비밀번호를 시험한다.
ID : miya@....com
비밀번호 : ceciejg
인증코드 : ______
비밀번호를 알아내도 인증코드가 미입력 : ② 로그인 안 됨
인증서버
이중 인증이 성립하지 않는 예
인증 코드를 수신할 이메일 주소를 로그인 ID에 사용하고 있고, 로그인용 비밀번호와 이메일
수신용 비밀번호가 똑같은 경우, ID와 비밀번호가 유출되면 인증 코드도 손쉽게 손에 넣을 수 있게 됩니다.
인증코드 발행용 서버
① 이메일 주소와 비밀번호를 부정 입수
이메일 주소 (ID) : miya@.....com
비밀번호 : aeiofjaoe
② 부정으로 입수한 ID와 비밀번호로 로그인
③ 인증 코드 발행
④ 부정 입수한 ID와 비밀번호로 인증 코드를 메일로 수신
⑤ ID, 비밀번호, 인증코드로 로그인
출처 : 그림 설명으로 한 번에 이해할 수 있는 보안의 기본(저자 Miyamoto Kunio, Okubo Takao / 출판 위즈플래닛)