안녕하세요.. 도저히 답을 찾기 어려워 여기 질문하게 됬습니다.. ㅠㅠ
회사에서 모바일 로그인시 지문인증을 도입하려고 하는데,
2-factor인증이 원칙입니다.
그래서 id, pw를 입력하고(1factor) 해당 내용이 맞으면 핸드폰에 있는 지문으로 인증(2factor)라고
생각을 했는데요.
여기서. client간(핸드폰에등록된 지문이 맞나)부분으로는 이 기기가 본인 것이라는것을 증명하여도
해당 id/pw 소유자의 지문이다라는 것을 증명할 수 없어 two- facor의 기능을 하지 못한다는 소리를 들었습니다.
즉 다른사람의 id, pw를 해킹하여 본인 핸드폰의 등록된 지문으로 로그인 가능할 수 있다라고 생각되는데요,,
그렇다면,,, 아이디와 지문의 매핑값을 가지고 인증해야한다는 소리인데,, 지문은 생체정보라 가지고 있지 않는것이 좋을 것 같고, 또 다른 곳에서는 지문을 따로 서버에 저장하지 않고 OS에 있는 지문으로만 인증을 한다고 들었습니다.
제가 이해한것 처럼 이경우 two-factor가 아닌것이 맞는지,, OS자체의 지문으로는 two-factor가 도저히 불가능한건지 알고 싶습니다.
혼자 생각하고 검색해보는데 마땅히 원하는 대답이 없고 정보를 들으면 들을수록
더욱 수렁에 빠지는 기분이 듭니다..
제가 이해하는게 다 맞는지도 모르겠는 지금..
저처럼 지문과 id/pw의 2-factor 인증에 대해 고민해보시고
또 실제로 구현해보신 경험이 있으신분이 있다면 도와주십시오 ㅠ
어렵고 긴 글 읽어주셔서 감사합니다.
2017-09-07(목) 17:13:11에 작성 되었습니다. 2017-09-08(금) 13:30:26에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
6개의 답변이 있습니다.
사전에 미리 지문 등록을 다 하지 않았나요??? 예를 들어 출입 기기에서 지문을 입력해서
출입하는 경우에도 이 지문은 누구 아무개 지문이다 라고 사전에 미리 등록하잖아요
신규 입사자도 입사할때에 다 그런 절차를 거치고 있습니다.
그래서 해당 DB 를 기본으로 인증 절차를 거치면 되지 않을까 싶네요
답변들어갑니다..^^~
자 2Factor 와 2Channel 이란 개념부터..정립하면 이렇습니다.
2Factor 는 2가지 수단(ID,공인인증서,지문.Pin 등등...여러 방법이 있죠(으로 인증하는 것이고요.
2Channel 은 2가지 물리적 장비(PC,모바일,전화. 시계..등등)로 인증하는 것이라 생각하시기 바랍니다..
즉 PC에서 ID 로 로긴하고 또 PC에서 공인인증서 로긴하면..2factor 1Channel 인증입니다.
PC에서 ID로 로긴하고 모바일에서 ID로긴 또하면..1factor 2Channel 인증이죠..
제일 좋은건 2Factor 2Channel 인증입니다..즉 PC에서 ID 인증하고 모바일로 지문인증한다..이런식이죠..
말씀하신 타인의 ID 를 가지고 다른사람이 자기 핸폰에 저장된 지문으로 인증한다..이거는 불가능합니다.
FIDO표준에 대해 공부를 약간만 해보시면 알수 있는 내용입니다..지문을 등록시킬때.. ID 와 본인인증을 거쳐
등록시키기 때문입니다..
즉 그사람의 ID 와 그사람의 지문이 매칭됩니다..지문은 당연히 클라이언트쪽에서 검증을 하지만 등록 데이터는
서버모듈에 저장되어 있어 검증을 거쳐 인증됩니다...(이부분 이해가 안되시면 FIDO 를 공부하셔야 합니다.^^)
쓰신내용으로 보면...잘못 이해하고 계신것이 보입니다..OS에 지문이 있다는 내용은 무슨이야긴지요?^^
지문은 폰에 안전한 영역에 저장된다고 보시면 됩니다.예를들면.USIM의 보안영역 이나 폰자체 보안영역 이겠지요..^^
물론 범죄를 하려고 일부러..남의 핸드폰에..등록시 부터.강제적으로.자신의 지문을 등록할수도 있겠지만
이런 경우는 범죄라 하니..예외입니다..(예를 들면. 내가 주민증을 훔쳐서 위조해서 그사람처럼 산다고 하면
경찰이나 신고에 걸리지 않는 한 그 사람행세하며 살 수 있겠죠..)
일단 정상적인 경우에는 자기의 핸드폰은 자기가 가지고 있고 중요한 지문정보는 자신이 직접 등록한다고
전제해야 합니다.
그럼 참고하시고요.. 추가 문의는 멜주시기 바랍니다.^^~
인사정보와 (ID/PW) 지문 DB 의 연동을 하면 무리없을 듯한데요 ?
ID/PW DB를 지문인식 서버에 인터페이스하면 (생성/삭제/만료 시)
2 팩터인증이 완성되지 싶습니다.
세콤에서 지문인식 출근을 하고 있어요
세콤 db에 계정을 연동하여 연결해쓰고있슴니다
보안시설이 되어있다면 련계해보시는건 어떨지요
요즘 지정맥( 손가락 혈관) 인증쪽도 영업을 많이 하고 있는 것 같던데, 지정맥 인증쪽도 한번 검토해 보세요.
관련 장비에 기술적인 문제까지 함께 제안을 받아서 진행한다면 괜찮을 것 같다는 생각이 드네요.
검증도 받지 않은 외부 기기(사용자 핸드폰)에 승인을 요청해서 인증을 한다는게 기본적으로 잘못된 것 같네요.
핸드폰에 설치된 앱이 정상적인 앱인지 아닌지도 판단하기 어렵고 인증 과정에 대한 인터페이스에 대한 확인 조차도 되지 않은 기기를 어떻게 믿고 인증 용도로 사용하려는지...
인증 용도의 기기라면 엄격하게 자체적으로 검증된 내부 기기만을 사용해야될것 같네요.
OS 자체의 지문이란 게 무엇을 의미하는 지 잘 모르겠네요.
특정인에 대한 지문을 검증하려면 검증을 위한 생체 정보가 미리 확보되어 있어야 하지 않을까요..?
개인 정보법과 같은 법적 문제라면 생체정보를 획득하기 위한 절차라던지, 보관에 있어서 법에서 정한 절차와 방법에 따라서 처리해야 할 것 같고요.
전문 지식이 없는 상태에서 혼자서 하기는 어려운 내용이라 생각되네요.
전문 업체의 도움을 받으셔야 할 것 같고, 장비 도입 비용이라든지, 알고리즘 구현 및 개발/도입을 위한 비용도 충분히 고려해서 생각해야 할 것 같네요.