룸메와 HSBC의 OTP가 어떤 원리로 만들어졌을 지, 생각해보고 있다.
. 문제(궁금한 점)
OTP는 과연 어떤 방식으로든 중앙 서버와 직접 통신을 할까?
. 우영의 가설
복잡하게 통신을 하지 않는 다. 비용이 많이 든다.
정해진 규칙의 몇 개의 숫자가 있고 그 중 어느 것을 입력해도 된다.
단, 한 번 입력한 숫자는 서버에서 폐기되고 다시 입력할 수 없다.
. 나의 가설
OTP는 삐삐처럼 HSBC의 서버와 통신을 한다.
이미 국내에 구축된 삐삐 or 이동통신망 같은 것을 이용할 것이다.
휴대폰처럼 몇 초마다 통신하는 것이 아니라 버튼을 누를 때만
통신하므로 에너지 소비가 많지 않다.
. 나의 반론
100만개 모두가 가능할리는 당연히 없고, 한 번 입력한 숫자를 다시 못 받는 다면 6자리 100만개의 숫자 중 일부를 입력하면 곧 data space가 고갈될 것이다.
그 때마다 OTP를 다시 지급 받아야 한다면 낭비다.
. 실험
HSBC 웹페이지는 한 번만 띄우고 OTP에서 버튼을 연속 5번 눌러서 그 숫자들을 모두 적는 다.
은행 서버에 접속해서 이 5개를 모두 시도해 본다.
. 결과
5개 모두 성공했다. 순서에 상관없었다.
단, 한 번 성공한 것은 다시 되지 않았다.
. 결론
이것으로 OTP가 직접 통신을 하는 지, 하지 않는 지는 알 수 없다.
더 좋은 실험 방법이 없을 까?
저도 그게 항상 궁금했는데.. 연구결과 나오면 알려주시와요~ ㅎ
답글삭제trackback from: HSBC의 OTP (One time password) device.
답글삭제속눈썹님의 블로그에서 트랙백: http://ilashman.cafe24.com/5393 OTP (One Time Password) Device라는것이 인터넷 뱅킹에서도 사용이 되게 됬네요. One Time Password란 한번만 사용할 수 있는 패스워드로, 보통 로..
그냥 코멘트를 남기려다 말이 길어저 트랙백을 날립니다^^;
답글삭제이래보는건 어떨까요?
답글삭제냄비안에서는 휴대폰도 잘 터지지 않는데..
OTP를 냄비나 쇠상자(?)같은것 안에 넣어둔 상태에서 눌러보고 나온 숫자로 실험을 해보면..
결과가 참으로 궁금하네요~ㅋ
OTP본적은 있는데 갖고있지는 않아서요..ㅋ
통신을 하는 것이 아닙니다.
답글삭제시간동기 패스워드의 형태인데요.
그 단말기기에 시계가 내장되어 있어
일정 시간(ex 60초)마다 난수를 발생 시킵니다.
그 난수와 단말기 고유번호를 조합해서 패스워드를 만들게 되죠. 서버에도 단말기기와 시간이 동기되어 돌아가는 시계가 있어 매시간 발생하는 난수가 똑같은 겁니다.
사이트에 이미 단말기 고유번호를 등록해놓았으니
똑같은 패스워드를 생성하는 것이 가능 하겠지요?
이것이 시간동기 원타임 패스워드의 원리 입니다.
시간을 seed로 할 수도 있겠다고 생각했었는 데.
답글삭제역시 그랬군요. ㅎ
위에 테스트 방법에 질문이 있는데요.
답글삭제정확하게 어떻게 테스트를 했는지?
그리고 전체 테스트에 소요된 시간은 어땠는지?
난수를 구한후 인증에 사용하기까지의 시간은 어땠는지?
궁금해용 !!