많은 분들이 블리자드 OTP를 불신하고 계십니다. OTP를 해도 털렸다는 의견들이 부지기수이고, 게시판을 봐도 블리자드 OTP 쓰레기라는 분들 많습니다.
이에 OTP에 대해서 간단하게 검색해서 공부를 해봤습니다. 본내용을 토대로 최대한 쉽게 써보겠습니다.
OTP는 원(one) 타임(time) 패스워드(password). 즉 한번쓰고 버리는 1회용 패스워드입니다. 용도는 아이디와 비밀번호의 보안성이 취약하자, 2차적 비밀번호로써 쓰이고 있습니다. 탄생배경등은 생략하겠습니다.
OTP는 보통 다 같다라고 생각하는데, 여러종류로 나뉩니다. 블리자드OTP는 시간동기화 방식이므로 3번만 읽으셔도 됩니다.
1. 키방식 비밀번호의 해쉬코드로 비교하는 방식입니다. 예를 들면 "디아블로3만세" 라는 문장은 a9b3bbe0g02gg 식의 값으로 표현이 가능합니다. 이걸 그냥 쓰면 위험하니깐 여러번 조합을 합니다. 뒤섞고 볶고 난리칩니다. 이 조합횟수를 OTP인증센터와 사용자가 서로 공유를 한뒤 비교를 합니다. 조합횟수 제한이 있어서 일정기간 동안 초기화를 해줘야하지만, 2달전에 생성했던 한번도 안쓴 OTP번호를, 오늘 써도 인증이 됩니다. 조합횟수로 비교하기때문에 생성시간과는 아무런 상관이 없습니다.
2. 챌린지리스폰스 방식 키방식은 여기저기서 해커들에게 씹고 뜯고 맛보고 즐기기 쉽기때문에 나온 방식입니다. 조합횟수말고, 사용자와 OTP인증센터 가 하나의 복잡한 수(난수), 예를 들어 조낸 긴 숫자라던가 랜덤으로 영문숫자 조합된 조낸긴 문장같은걸 그때, 그때 매번 공유한후, 이 난수를 기준으로 조합된 OTP번호를 인증하는 방식입니다. OTP인식기 같은곳에 토큰OTP를 띡! 하고 대는 순간 서로 난수를 공유하게 되므로, 뚫기가 매우 힘든 OTP입니다.
3. 시간동기화 방식 챌린지리스폰스 방식이 너무너무 귀찮은 나머지 나온 방식입니다. 복잡한 알고리즘이 있지만, 간단하게 설명해서 OTP 일련번호 + 현재시간의 조합을 토대로 내부적으로 OTP번호를 생성합니다. 물론 OTP인증센터에도 똑같이 생성을 한후, OTP인증을 요청할때 대조하여 패스여부를 확인합니다. 처음에 OTP신청할때 일련번호및 OTP번호를 확인, 등록하는이유가 이것입니다. OTP인증센터 쪽과 자신의 핸드폰 혹은 PC의 시간이 안맞는 경우가 있기때문에 일반적으로 OTP의 인증시간은 약 1분 30초정도 유지가 됩니다. OTP번호가 사라지고 새번호가 생성이되어도, 약 15초에서 30초가량은 사라졌던 번호를 쓸수 있습니다.
4. 이벤트 동기화 방식 OTP 인증센터와 사용자의 카운터를 기준으로 하는 OTP방식입니다. 카운터가 뭐냐면 말그대로 1, 2, 3, 4 같은 겁니다. 요이땅! 하면 카운터를 세면서 OTP번호를 복잡한 알고리즘을 바탕으로 생성해서 OTP인증센터에 보내면, OTP인증센터도 같은 카운터로 OTP인증번호 생성후 비교합니다. 예를 들면 23번째 카운터를 가지고 OTP번호 생성후, 이걸 OTP인증센터에 보내면 OTP인증센터도 23번째로 OTP번호를 생성후에 비교하는거죠. 그러나 사용자가 심심해서 23번째, 24번째 OTP번호 막 생성후에 25번째 OTP번호를 인증할려고 하면, OTP센터는 23번째 OTP로 비교하려고 하기때문에 인증이 안됩니다. 그래서 +- 5회까진 인증가능. 머 이런식으로 봐줍니다. 시간동기화 처럼요.
**본문과 별상관없는 요약 ** 말하고자 하는건 뭐냐면, 1. 블리자드 OTP는 표준 시간동기화 방식 OTP를 사용하고 있다. 2. 한번 생성된 OTP는 1분 30초가량 지속된다. 즉 번호 사라졌어도 기억만 하고 잇다면 사용이 가능하다. 3. 로그인 성공과 상관없이 OTP는 1분 30초후에 폐기된다. 즉시폐기가 되지않는 이유는 OTP서버에 많은 부하가 따르기때문이다.이는 여타 다른 OTP와 동일하다. 4. 시간동기화방식 OTP는 5초간격으로 같은 아이디 비번, 같은 OTP를 사용하여 로그인한다면 로그인이 가능하다. 5. 이걸 막으려면 시간동기화방식 + 이벤트 동기화 방식 OTP를 도입하여, 한번 인증한 OTP의 카운터를 늘려, 즉시폐기와 같은 효과를 주어, 중복 OTP사용을 금지해야한다. 근데 안한다 블리자드 이새끼들. 돈이 많이 들어서 근가.
글쓰기