| [ garbages ] in KIDS 글 쓴 이(By): cookie () 날 짜 (Date): 2012년 06월 15일 (금) 오후 05시 31분 53초 제 목(Title): OTP 해킹 주의. OTP One time password는 그동안 상대적으로 매우 안전한 two factor authentication 수단으로 여겨져 금융거래등에서도 고액의 거래등에 가장 안전한 인증수단으로 사용되어 왔다. 그러나 디아3 게시판을 보니 그것도 옛말. 방법은 이렇다. 겜방 PC에 원격제어 프로그램이나 가짜 디아블로 클라이언트 (즉 로긴 창만 emulate 하는 가짜)을 깔아두고 사용자가 그 PC에서 디아블로 서버에 로긴을 시도하며 OTP 발생기를 사용하여 패스워드를 입력하면 그걸 바로 실시간으로 전송받아 그 패스워드가 무효화 되기 전에 재빨리 (대략 수초 ~수십초 정도의 여유가 있음) 해커가 그 패스워드로 로긴하여 계정을 털어감. 즉 PC가 안전하지 않으면 OTP도 무용지물. 참으로 간단하고도 놀라운 해킹방식이 아닐수 없다. 이걸 방지하려면 챌린지-리스폰스 방식으로 바꾸로 사용자의 IP 정보를 기록해 두었다가 리스폰스 체크시에 소스 IP 도 같이 체크하는 식으로 바꾸어야 함. |