.
본문
| ID | 구분 | 제목 | 글쓴이 | 추천 | 조회 | 날짜 |
|---|---|---|---|---|---|---|
| 118 | 전체공지 | 업데이트 내역 / 버튜버 방송 일정 | 8[RULIWEB] | 2023.08.08 | ||
| 2251136 | 아이폰 | Landsknecht™ | 1 | 87 | 18:32 | |
| 2251121 | 아이폰 | 시무라오바상 | 8 | 2735 | 14:35 | |
| 2251113 | 아이폰 | ???? | 4 | 5234 | 11:23 | |
| 2251101 | 아이폰 | Landsknecht™ | 3 | 1565 | 2024.04.18 | |
| 2251068 | 아이폰 | 오덕살맨 | 2 | 3855 | 2024.04.18 | |
| 2251051 | 아이폰 | 서브컬쳐고고학 뉴비 | 9 | 8064 | 2024.04.18 | |
| 2251048 | 아이폰 | Landsknecht™ | 1 | 6527 | 2024.04.18 | |
| 2251047 | 아이폰 | Tentacle | 15 | 29596 | 2024.04.18 | |
| 2251009 | 아이폰 | Landsknecht™ | 6 | 6944 | 2024.04.17 | |
| 2250994 | 아이폰 | Landsknecht™ | 5 | 3216 | 2024.04.17 | |
| 2250993 | 아이폰 | Tentacle | 10 | 12178 | 2024.04.17 | |
| 2250984 | 아이폰 | 라스트리스 | 6 | 8477 | 2024.04.16 | |
| 2250978 | 아이폰 | 사쿠라모리 카오리P | 8 | 7414 | 2024.04.16 | |
| 2250965 | 아이폰 | Landsknecht™ | 6 | 5477 | 2024.04.16 | |
| 2250956 | 아이폰 | Landsknecht™ | 2 | 5202 | 2024.04.16 | |
| 2250930 | 아이폰 | 루리웹-2840409824 | 9 | 4646 | 2024.04.16 | |
| 2250927 | 아이폰 | 루리웹-6308473106 | 3 | 3831 | 2024.04.15 | |
| 2250923 | 아이폰 | Landsknecht™ | 4 | 2308 | 2024.04.15 | |
| 2250877 | 아이폰 | 서브컬쳐고고학 뉴비 | 19 | 20517 | 2024.04.15 | |
| 2250876 | 아이폰 | Landsknecht™ | 5 | 5555 | 2024.04.15 | |
| 2250864 | 아이폰 | 불꽃남자 쟈기만 | 5 | 11603 | 2024.04.14 | |
| 2250814 | 아이폰 | 원히트원더-미국춤™ | 3 | 3185 | 2024.04.13 | |
| 2250745 | 아이폰 | Landsknecht™ | 2 | 4840 | 2024.04.12 | |
| 2250744 | 아이폰 | Landsknecht™ | 12 | 15931 | 2024.04.12 | |
| 2250697 | 아이폰 | 원히트원더-미국춤™ | 4 | 4501 | 2024.04.11 | |
| 2250692 | 아이폰 | Landsknecht™ | 14 | 10970 | 2024.04.11 | |
| 2250682 | 아이폰 | 스텔D | 1 | 5370 | 2024.04.10 | |
| 2250636 | 아이폰 | 라스트리스 | 6 | 11704 | 2024.04.09 | |
(IP보기클릭)172.226.***.***
Otp랑은 다르죠. 대략적으로 설명하자면 Otp는 서로가 약속한 계산식에 시간으로 난수 발생해서 계산한걸 서로 대입해서 맞으면 권한이 열리는 보안방식입니다. 즉, otp 생성기에 표시된 키를 입력할 때 외엔 중간에 통신 할 일이 없으니 안전한겁니다. 반면 Sms나 ars는 중간에 통신을 도청이나 가로챌 가능성이 있으니 보안에 취약한거고, 이렇게 통신을 가로채기 위해 쓰이는것이 본문의 심 스와핑입니다. 기사 읽어보시면 심 스와핑을 막기위해 심에 보안암호 걸고 “otp”활용을 권장하잖아요. Otp가 보안에 있어선 sms나 ars를 통한 키 공유보단 안전합니다.
(IP보기클릭)172.226.***.***
협소하게 보는게 아니라 원래 그런 기술이에요. 진짜 답답하네요.
(IP보기클릭)172.226.***.***
Sms나 ars로 키를 보내는건 otp가 아닙니다. Otp를 풀어서 해석하면야 한번만 쓰는 암호니깐 그리 해석하실 수 있습니다만, 생각해보세요. 이건 그냥 서버가 키를 보내는 통신을 하잖아요. 이게 보안에 취약하니 나온 방식중 하나가 otp인 것입니다.
(IP보기클릭)172.226.***.***
https://youtu.be/T1v2uGbxPGA Otp에 대해 이해 안되시면 이 영상 추천드릴게요.
(IP보기클릭)172.226.***.***
아뇨. 서버가 사용자에게 키를 보내는데 그 키가 보낼때마다 다르니 아 otp구나. 이렇게 생각하시면 otp에 대해 이해를 전혀 못하신겁니다.
(IP보기클릭)211.234.***.***
(IP보기클릭)222.110.***.***
흠, 제가 잘 몰라서 그러는데 sms나 ars가 시대에 뒤떨어진 방식인가요? 둘 다 일단은 otp에 2fa 중 하나로 알고 있었는지라... 어플로 하는 인증과 동급의 보안방식으로 알고 있었거든요. 어플 인증앱으로 하는 게 보안에서 더 안전한가...? 신기신기 | 22.06.18 15:18 | | |
(IP보기클릭)172.226.***.***
알면용취^^
Otp랑은 다르죠. 대략적으로 설명하자면 Otp는 서로가 약속한 계산식에 시간으로 난수 발생해서 계산한걸 서로 대입해서 맞으면 권한이 열리는 보안방식입니다. 즉, otp 생성기에 표시된 키를 입력할 때 외엔 중간에 통신 할 일이 없으니 안전한겁니다. 반면 Sms나 ars는 중간에 통신을 도청이나 가로챌 가능성이 있으니 보안에 취약한거고, 이렇게 통신을 가로채기 위해 쓰이는것이 본문의 심 스와핑입니다. 기사 읽어보시면 심 스와핑을 막기위해 심에 보안암호 걸고 “otp”활용을 권장하잖아요. Otp가 보안에 있어선 sms나 ars를 통한 키 공유보단 안전합니다. | 22.06.18 15:30 | | |
(IP보기클릭)222.110.***.***
sms와 ars는 otp가 맞아요. 다만 otp 생성기가 서버에 있는 거고, 전화번호를 이용해서 otp 숫자만 받고 otp 보안키는 전화기가 대신 갖고 있는 거고... 어플 otp는 보안키를 개인이 보관하고 대신 서버 통신 없이 부여 받을 수 있는 것. 흠, 그거랑 별개로 찾아보니 은근히 횡행하는 것 같네요. 심 스와핑... 어플을 이용한 해킹만 걱정했었는데 중간에 심을 가로 챌 위협이 어플 정보가 노출될 가능성보다 높다는 건 좀 충격적이네요 | 22.06.18 15:33 | | |
(IP보기클릭)211.234.***.***
심 스와핑이 되면 ARS나 SMS는 추가보안 수단 자체가 없죠 2FA는 설치 단말이 바뀔 때마다 앱 자체에서 별도의 비밀번호를 입력하게 만들면 접근 못합니다 | 22.06.18 15:38 | | |
(IP보기클릭)172.226.***.***
알면용취^^
Sms나 ars로 키를 보내는건 otp가 아닙니다. Otp를 풀어서 해석하면야 한번만 쓰는 암호니깐 그리 해석하실 수 있습니다만, 생각해보세요. 이건 그냥 서버가 키를 보내는 통신을 하잖아요. 이게 보안에 취약하니 나온 방식중 하나가 otp인 것입니다. | 22.06.18 15:40 | | |
(IP보기클릭)222.110.***.***
흠, 그렇네요. 그리고 이렇게 보니 지금까지 authy를 썼는데 좀 찝찝해지기도 하고...(sms 인증이나 마찬가지인 관리방식) 번거롭더라도 그냥 구글 인증앱으로 돌아갈까 ㅠ | 22.06.18 15:41 | | |
(IP보기클릭)211.234.***.***
지금 문제시 되는건 암/복호화의 기본 원리를 의미하는게 아니라 접근성 차원에서 보안 결함이 있다는겁니다 심 스와핑을 하면 ARS SMS 기반 본인인증은 전부 뚫리니까요 | 22.06.18 15:41 | | |
(IP보기클릭)172.226.***.***
알면용취^^
https://youtu.be/T1v2uGbxPGA Otp에 대해 이해 안되시면 이 영상 추천드릴게요. | 22.06.18 15:42 | | |
(IP보기클릭)211.109.***.***
음 완벽히 이해했어(이해 못함) | 22.06.18 15:43 | | |
(IP보기클릭)211.234.***.***
2FA 앱들은 패킷 암/복호화호 중간자 공격도 막고있고 authy면 앱 자체 비번도 걸 수 있고 사용 가능 단말 갯수와 대상도 지정 가능할텐데 문자인증만으로 환경설정이 열리게 해놓은게 아니라면 심 스와핑 따위는 원천적으로 차단이 됩니다 | 22.06.18 15:44 | | |
(IP보기클릭)222.110.***.***
그건 물리적 otp에 대한 설명이고 잘 알고 있어요. 다만 이제 인증키가 서버에서 있어서 그 때 그 때 부여 받는 otp들(메일 otp, sms otp, 일회용 접속 링크들)이 사실 요즘 오히려 늘어났는데 그게 보안성에 대한 신뢰가 어느정도 확보되어서가 아니라, 그냥 뭐 없는 것보단 낫구나... 이런 식으로 쓰이는 걸 급 깨달은 느낌이라 좀 충격이네요 큐ㅠㅠ | 22.06.18 15:46 | | |
(IP보기클릭)172.226.***.***
알면용취^^
아뇨. 서버가 사용자에게 키를 보내는데 그 키가 보낼때마다 다르니 아 otp구나. 이렇게 생각하시면 otp에 대해 이해를 전혀 못하신겁니다. | 22.06.18 15:49 | | |
(IP보기클릭)172.226.***.***
이해 안되시면 통신 보안 방법을 한번 그려보세요. 인증을 받기위해 sms나 ars로 키를 보내는 방식이랑 otp생성기 혹은 앱으로 인증을 받는 방식을 그려만 봐도 보안 방식이 다르단걸 알텐데요. | 22.06.18 15:51 | | |
(IP보기클릭)222.110.***.***
그건 역으로 otp를 너무 협소하게 보시는 것 같은데요;;; 다만 별개로 똑같은 256비트 암호화 키 방식이라고 공인인증서 인증과 해외 금융 암호화 플러그인이 동급이라고 생각했던 것과 똑같은 부끄러움을 느낍니다. 달걀없음님 말씀대로 '어떻게 뚫리느냐갖 기본원리가 중요한 게 아니다.'라고 하신 게 백번 천번 맞는 말씀이네요. ㅠㅠ | 22.06.18 15:59 | | |
(IP보기클릭)172.226.***.***
알면용취^^
협소하게 보는게 아니라 원래 그런 기술이에요. 진짜 답답하네요. | 22.06.18 16:01 | | |
(IP보기클릭)222.110.***.***
그러면 하루빨리님께서는 (내부적으로는 암호화 처리가 되더라도 그 키가 전화번호+개인정보기에다가 평문발송이기 때문에 보안이 허술한) 웹otp api나 어떻게 부르시나요? 그걸 다르게 보신다면 ... | 22.06.18 16:07 | | |
(IP보기클릭)222.110.***.***
그렇네요. 오래되어서 sms 인증만 기억했는데 새 기기 등록 시 비밀번호 넣었고 기존 기기에 알람 떴던 기억이 나네요! | 22.06.18 16:15 | | |
(IP보기클릭)106.101.***.***
otp는 맞는 거고 표준이 다른거 아닌가요;; 애초에 생성기나 키를 보내거나 받는 기기가 어떤 기기가 되더라도 내부 암호와 전송에 대한 프로세스 표준이 중요한거고 otp표준상 받는 기기에 대한 제한이 없는 걸로 압니다. sms나 ars로 오는 서버 생성 otp들도 otp라는 범주에는 충분히 해당 가능합니다. otp 처리는 sms로 받든 ars로 받든 웹페이지나 추가적인 요청을 웹에서 할텐데 그때 이루어지기 때문에 엄밀히 otp가 맞습니다 | 22.06.18 17:29 | | |
(IP보기클릭)99.233.***.***
OTP에 대해 잘 아시는것 같은데 지금 주제하고는 좀 상관 없을지 모르지만 평소에 제가 궁금하던거 하나 혹시 대답해 주실수 있을까요? OTP가 30초 주기로 새로 생성되잖아요. 근데 OTP프로토콜이라고 해야 하나, 표준이라고 해야 하나, 이거는 어느 시점에서든 그 시점에 유효한 OTP 딱 하나만 사용 가능한데, 이걸 현재거와 그전것 둘다 유효한 OTP로 받아주도록 할 수는 없었던건가요? 왜 우리 다들 항상 그렇잖아요. 인증앱에 갔더니 현재 OTP의 유효기간이 한 5초정도 애매하게 남은… 그거 입력하는 동안이 다음걸로 바뀌는 경우도 많고, 아니면 바뀌기 전에 입력할 수 있을지 모르겠어서 그냥 5초 기다리다가 다음거 나오면 그거 입력하기… 솔직히 몇초 기다리면 될뿐이니 어찌보면 별거 아니긴 한데 이게 제 생각에는 어느 시점에서든 현재 OTP과 그 바로 전것 두개가 동시에 유효하도록 했으면 방금 제가 말한 이런 아주 사소한 (심리적인, 특히 빨리빨리의 민족 한국인들은 강하게 느낄만한) 불편함이 없지 않았을까요? 코드가 두개가 유효하다는 이유때문에 딱히 보안에 크게 문제될 것도 없을거 같고, 그리고 애초에 정 그 부분이 걱정되면 새로운 OTP작성 주기를 30초가 아닌 15초로 줄여버리면 되는것이고. OTP를 쓸때마다 이거 만들면서 이부분을 아무도 생각을 안한건가, 이거 아무도 개선할 생각을 안하는건가. 매번 궁금하더라구요. | 22.06.18 21:33 | | |
(IP보기클릭)175.223.***.***
Otp 알못인 제가 대신 설명 드리면... 일단 시간마다 바뀌는 otp는 totp라 부르는데 이 totp는 시간 자체가 암호화의 요소입니다. 30초를 1분주기, 2분 주기, 15초 주기 이렇게 바꾸는 건 되지만 두 개가 동시에 입력 가능한 건 one time pass가 아니기도 하고 새로 알고리즘을 짜야 할테니 어렵습니다. 30초인 이유는 국제표준규격이기 때문입니다. 그걸 바꿔봐야 고생만 하고 호환 안되고 욕만 먹기 때문에 그렇게 만드느니 HOTP를 사용할 거에요. 참고로 HOTP는 sms 인증에 쓰이는 otp인데, 내가 13번 버튼(인증요청)을 눌러서 13개의 6자리 코드를 받았다면 서버도 누른 횟수를 기억했다가 1~12번까지의 코드는 무시하는 기법입니다. | 22.06.18 22:09 | | |
(IP보기클릭)99.233.***.***
잘 납득하기 어렵네요. 하루빨리님이 랑크한 유튜브 영상의 끝부분에도 나오지만 유저의 기기와 서버의 시계가 오차가 있을 경우 보정하는 메커니즘이 이미 있고, 그게 바로 여러개의 OTP를 동시에 기억했다가 맞춰주는 방식인데 (사실 “기억한다”라는것도 어폐죠. 그때그때 시간에 따라 해시로 생성해 매칭하는거니까), 이미 있는 이 기능을 단순히 시간 오차보정뿐 아니라 사용자 편의를 위해서도 사용하자는건데, 기술적으로 불가능하다는 얘기는 전혀 납득이 안되네요. | 22.06.18 22:22 | | |
(IP보기클릭)99.233.***.***
하루빨리님 말씀마따나 OTP (즉 TOTP)의 개념을 이해 못하고 계신듯… | 22.06.18 22:31 | | |
(IP보기클릭)175.223.***.***
아 그것도 표준의 영역입니다. 사실 totp 규격은 스마트폰, 즉 실시간 시간 보정이 이루어져 있는 걸 기반으로 합니다. 그래서 그런 보정이 표준에 없는 건데... 아까 말한 것처럼 그런 걸 새로 만든다는 건 어려운 일이니까요. 신뢰도나 otp앱 호환성에서요. 트히 간단한 사이트 접속같은 거면 몰라도 뱅킹 등에선 더욱 보수적일 수밖에 없습니다. 참고로... 검색해보니 은행 otp는 딱 정해진 표준이 없어서 보정값도 다 다른데, 한국은 경우 otp 규격이 통일되어 있어서(ITU-T X.1153) 시간보정을 비롯한 온갖 호환이 되는거고 외국은 은행 별로 otp 하나씩 질러야 할 정도로 표준이 없고 보정 수치도 은행마다 다르다고 합니다. | 22.06.18 22:41 | | |
(IP보기클릭)175.223.***.***
그리고 찾아보니 totp 표준에 보정이 이예 앖는 건 아닌데 소비자의 눈에 보이게 하지 않고 잘못된 otp가 들어왔을 때 거절은 무조건 해야하지민 이전 시간-이후시간 otp와 비교해서 서버시간과 기기시간을 동기화 후 이를 재인증 때 반영한다고 합니다. https://datatracker.ietf.org/doc/html/rfc6238 | 22.06.18 23:02 | | |
(IP보기클릭)175.223.***.***
저 영상이나 하루빨리님 얘기는 하드웨어 otp만을 대상으로 하고 otp 앱을 칭할 때는 얘기가 좀 달라져요. 안될공학 채널도 하드웨어 otp 외에 다른 얘기는 안하고 있고요. 제가 틀린 건 많이 부끄럽게도 현행 hotp에서 sms나 메일의 보안 취약성을 생각 안했던 것이지 otp 관련 얘기에서는 딱히 틀린 부분이 없습니다. Ps. 저 원문을 보니 30초는 권장이지 필수가 아니라고 하네요. 업체에 따라선 그 시간을 1분 등으로 늘이는 방식으로 소비자의 편의를 도모할 수 있겠어요! | 22.06.18 23:09 | | |
(IP보기클릭)119.195.***.***
그런 시점에선 그냥 입력하시면 과하게 넘어간거 아니면 시간 조금 넘어갔어도 패스될겁니다. 은행 OTP는 직접 안해봐서 확신을 못하겠는데 휴대폰에서 흔히 사용하는 구글인증기 계통으로 인증할때는 확실히 몇초 넘어가는거 정도는 패스하는걸 확인한 적이 있습니다. 어차피 3-5회까진 연속 실패는 허용해 주니까 그냥 틀리면 다시 입력하지 같은 마인드로 입력하시면 될거 같습니다. | 22.06.19 01:13 | | |
(IP보기클릭)121.144.***.***
위에 영상 보니까 시간 지금 앞 뒤로 세가지 미리 뽑아놔서 좀 늦게 입력해도 된다고 하네요 그리고 그걸로 시간 보정도 하는듯 | 22.06.19 03:11 | | |
(IP보기클릭)121.190.***.***
sms,ars도 otp(one time password)는 맞아요. 그냥 방식이 여러가지인 건데 시간 동기화만 otp라고 할 순 없어요. https://en.m.wikipedia.org/wiki/One-time_password 맞는걸 아니라고 하시니 답답한 거겠죠. | 22.06.19 12:03 | | |
(IP보기클릭)222.110.***.***
(IP보기클릭)172.226.***.***
그럼 심 주인이 비번을 모르짆아요;;; 어떤기기든 사용자가 직접 비번 바꾸라고 초기 비번이 있는거죠. | 22.06.18 16:00 | | |
(IP보기클릭)222.110.***.***
요즘은 기본적으로 랜덤부여가 추세여요. 공유기같은 거 생각하시면 쉬울듯! 그리고 심카드는 랜덤부여가 아니더라도 가입 시 의무변경 요청하는 식의 보완도 될거고. | 22.06.18 16:02 | | |
(IP보기클릭)222.110.***.***
Bachelor
헉. 아마 예전에 설정하셨을 거에요. 아직 한국 기준으론 usim pin 관련 뭐가 바뀐 적은 없어서... 혹시 잠겼다면 유심카드에 있는 puk 확인하면 해제 된다고 합니다! | 22.06.18 17:15 | | |
(IP보기클릭)211.203.***.***
(IP보기클릭)222.110.***.***
막 전문장비 이런 식으로 하는 게 아니라 피싱이더라고요. 찾아보니 ㄷㄷ | 22.06.18 16:10 | | |
(IP보기클릭)211.203.***.***
kt 심 스와핑 피해자들의 경우 공통적으로 코인하는 사람들이던데..앱이나 이런 걸 통해서 유출된 후 위에 작업을 거쳐서 털렸다고 봐야겠군요. 근데 통신사에서는 이런것을 탐지하는 시스템이 없는것인지 좀 의아하네요. | 22.06.18 16:17 | | |
(IP보기클릭)172.226.***.***
(IP보기클릭)172.226.***.***
어차피 코인 안 하는데 할 필요 없나 흐음 | 22.06.18 18:34 | | |
(IP보기클릭)99.240.***.***