One Time Password; 일회용 패스워드

OTP의 장점

• 패스워드를 유추할 수 없다.
• 동기화 방식의 경우, 패스워드의 전송이 이루어지지 않는다.

분류

비동기 방식

• 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다.
• 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다.
• 서버는 반환값을 검증한다.

동기 방식

시간 동기화

• 현재 시간을 이용하여 난수를 생성한다.
• 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다.
• 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다.
• 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다.

이벤트 동기화

• 서버와 OTP기기의 카운트값으로 난수를 생성한다.
• OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다.

기타 방식

거래인증 OTP

• 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성
• 인증번호 값이 일치하는 것에서 더 나아가서 수취인, 금액 등이 일치해야지만 유효

S/KEY 방식

• 해시 체인을 이용한다
• 벨 연구소에서 개발되었으며 유닉스 계열 운영체제에서 사용된다.