IEEE Student Innovation Contest의 first prize 수상작인데 패스워드의 문제점을 상당부분 해결한 수작이다.
패스워드의 문제점은 다른 사람이 어떤 방법으로건 패스워드를 알아낸 경우 그 사람의 시스템에 불법적인 억세스를 막을 방법이 없다는 것이다. 그 대안으로 지문/홍채인식등의 방법을 사용하기도 하지만 그 경우 별도의 하드웨어가 필요하기 때문에 추가적인 비용이 필요하게 된다.
그에 비해 Safelock은 별도의 하드웨어를 사용하지 않고 현재의 패스워드를 사용하는 시스템에도 소프트웨어만으로 기능을 추가할 수 있다.
동작 원리는 사람마다 키보드를 사용하는 입력 스타일이 다른 점을 이용하는 것이다. 사람마다 키를 누르고 다음 키를 누를때까지의 간격, 키를 누르고 있는 시간, 키를 누르는 압력등이 다 다르다. 그렇기 때문에 사용자의 패스워드 뿐 아니고 이 추가정보를 같이 기록해 놓고 사용자가 패스워드를 입력하면 타이핑에서 이 정보들을 추출한 다음 normalize해서 기록되어 있는 정보와 비교하는 것이다.
이 입력 스타일이 해당 오차범위 이내에 들어가지 않으면 설사 정확한 패스워드를 입력했다 하더라도 시스템에 로그인 할 수 없다.
또한 Safelock은 사용자가 반복적으로 잘못된 패스워드를 입력하는 경우 그 사용자의 입력 스타일을 기록하고 분석해서 정해진 횟수 이상 잘못된 패스워드를 입력하면 그 사람은 '잠재적으로 위험한 사용자'로 기록해서 아예 시스템을 잠궈 버린다.
그렇기 때문에 실수로 패스워드가 유출되었거나 키로그 소프트웨어등을 사용해서 다른 사람이 암호를 알게 되었다 하더라도 입력 스타일이 다르기 때문에 시스템에 로그인 할 수 없게 된다.
특히 최근에는 컴퓨터에 키로그 소프트웨어를 설치하거나 별도의 하드웨어를 연결하지 않더라도 옆방에서 키보드가 눌릴 때 발생되는 아주 미약한 전자기파를 받아 분석해서 어느 키가 눌렸는지 확인할 수 있기 때문에 이 기술은 시스템의 security를 획기적으로 강화시켜 줄 수 있다.
제가 보기엔 그다지 유용해 보이진 않는데 그 이유는...
답글삭제일반적인 키보드에서 얻을수 있는 정보가 키와 키 사이의 시간차 정도일텐데(압력은 일반키보드에서 구할수 없죠)
그 정도라면 키로거를 쫌만 업그레이드하면 전부 저장됩니다.
그러면 위의 safelock도 무용지물이 될꺼 같네요.
참어려운 분야죠..이쪽도...
@펩시맨 - 2009/10/12 21:54
답글삭제저게 보기보다 상당히 유용합니다. 키보드의 압력은 감지하지 못해도 각 키가 눌릴때와 놓아질 때 키 스캔코드가 발생되기 때문에 눌려있는 시간은 충분히 감지가 가능합니다.
그런데 키로거가 업그레이드 해서 각 키 누르는 시간간격과 눌려있는 시간을 기록해준다고 해도 실제 입력할 때 그 정보대로 누르는게 거의 불가능합니다. 키 사이나 눌려있는 시간간격이라는게 몇 초 단위가 아니고 몇십 ms 단위이고 예를 들어 abcde를 누른다고 해도 a와 b, b와 c, c와 d, d와 e의 간격이 다 다르고 각 키가 눌려있는 시간도 다르기 때문에 그 습관을 다른 사람이 보고 그대로 따라하는게 매우 힘듭니다.
싸인이라는게 엉터리 같아 보여도 실제로 널리 사용되고 있고 싸인의 위조를 찾아낼 수 있는것과 유사한 원리입니다.