• 정보보호학회지
• /
• 제28권1호
• /
• pp.43-47
• /
• 2018

Textual passwords are widely used for accessing online accounts. Despite the problems of current textual passwords, research has shown that there is no other strong alternatives for a textual password due to its simplicity. There has been significant research to make passwords more secure and usable through password composition policies, password managers, password meters, and multi-factor authentications. In this paper, we focus on several key research that investigates and analyzes widely used password composition policies, and summarize the latest research which aims to improve current password composition policies.

• 안보군사학연구
• /
• 통권8호
• /
• pp.421-465
• /
• 2010

Passwords are used in many ways to protect data, systems, and networks. Passwords are also used to protect files and other stored information. In addition, passwords are often used in less visible ways for authentication. In this article, We provides recommendations for password management, which is the process of defining, implementing, and maintaining password policies throughout an enterprise. Effective password management reduces the risk of compromise of password-based authentication systems. Organizations need to protect the confidentiality, integrity, and availability of passwords so that all authorized users - and no unauthorized users - can use passwords successfully as needed. Integrity and availability should be ensured by typical data security controls, such as using access control lists to prevent attackers from overwriting passwords and having secured backups of password files. Ensuring the confidentiality of passwords is considerably more challenging and involves a number of security controls along with decisions involving the characteristics of the passwords themselves.

• 정보보호학회논문지
• /
• 제18권4호
• /
• pp.123-133
• /
• 2008

정보시스템의 확대 및 인터넷 사용의 급격한 증가에 따라 정보보안의 중요성이 대두되고 있다. 그럼에도 불구하고, 우리는 정보보안의 중요성을 심각하지 않게 받아들이고 있다. 본 연구는 조직에서의 보안정책이 정보시스템 사용자의 보안의 식과 개인적 특성에 변화가 있는지 살펴보고, 보안의식과 개인적 특성이 패스워드 사용에 있어서의 보안효과를 가져다주는지 실증분석 하는 것이 궁극적인 목적이다. 구조방정식 모형 기법을 적용한 본 연구모형의 분석결과에 의하면, 보안정책은 개인적 특성과 사용자의 보안의식 향상에 통계적으로 유의한 영향을 미친다. 또한 개인적 특성과 보안의식은 보안효과에 긍정적인 영향을 미치는 것으로 나타났다. 따라서 기업 내의 정보보안은 보안정책을 잘 준수하고 이에 따른 개인적 특성과 보안의식 수준이 향상되었을 때 보다 안전한 패스워드의 보안효과를 거둘 수 있다.

• Asia pacific journal of information systems
• /
• 제18권4호
• /
• pp.1-26
• /
• 2008

Rapid progress of information technology and widespread use of the personal computers have brought various conveniences in our life. But this also provoked a series of problems such as hacking, malicious programs, illegal exposure of personal information etc. Information security threats are becoming more and more serious due to enhanced connectivity of information systems. Nevertheless, users are not much aware of the severity of the problems. Using appropriate password is supposed to bring out security effects such as preventing misuses and banning illegal users. The purpose of this research is to empirically analyze a research model which includes a series of factors influencing the effectiveness of passwords. The research model incorporates the concept of risk based on information systems risk analysis framework as the core element affecting the selection of passwords by users. The perceived risk is a main factor that influences user's attitude on password security, security awareness, and intention of security behavior. To validate the research model this study relied on questionnaire survey targeted on evening class MBA students. The data was analyzed by AMOS 7.0 which is one of popular tools based on covariance-based structural equation modeling. According to the results of this study, while threat is not related to the risk, information assets and vulnerability are related to the user's awareness of risk. The relationships between the risk, users security awareness, password selection and security effectiveness are all significant. Password exposure may lead to intrusion by hackers, data exposure and destruction. The insignificant relationship between security threat and perceived risk can be explained by user's indetermination of risk exposed due to weak passwords. In other words, information systems users do not consider password exposure as a severe security threat as well as indirect loss caused by inappropriate password. Another plausible explanation is that severity of threat perceived by users may be influenced by individual difference of risk propensity. This study confirms that security vulnerability is positively related to security risk which in turn increases risk of information loss. As the security risk increases so does user's security awareness. Security policies also have positive impact on security awareness. Higher security awareness leads to selection of safer passwords. If users are aware of responsibility of security problems and how to respond to password exposure and to solve security problems of computers, users choose better passwords. All these antecedents influence the effectiveness of passwords. Several implications can be derived from this study. First, this study empirically investigated the effect of user's security awareness on security effectiveness from a point of view based on good password selection practice. Second, information security risk analysis framework is used as a core element of the research model in this study. Risk analysis framework has been used very widely in practice, but very few studies incorporated the framework in the research model and empirically investigated. Third, the research model proposed in this study also focuses on impact of security awareness of information systems users on effectiveness of password from cognitive aspect of information systems users.

• 정보처리학회논문지C
• /
• 제10C권1호
• /
• pp.11-16
• /
• 2003

본 논문에서는 비밀번호 인증만을 사용하는 시스템의 취약점을 보완한 다단계 사용자 인증 시스템을 구현하였다. 제안된 다단계 사용자 인증 시스템은 사용자의 아이디/비밀번호, 스마트카드 그리고 접근제어 정보 등의 4단계 인증이 사용된다. 본 논문에서 제시하는 사용자 인증 시스템은 FreeBSD 커널에 접근제어 기능을 추가한 SecuROS/FreeBSD를 바탕으로 개발되었다. 사용자에 따라 시스템에 접근할 수 있는 범위를 제한하는 기능과 중요 정보를 입력할 때 그 요정이 시스템에서 요청한 것임을 확인할 수 있는 기능을 기공하여 신뢰성을 높였다. SecuROS/FreeB 시스템에는 강제적인. 접근제어와 역할기반 접근제어가 사용되고 있어서 시스템에 접근하는 사용자는 접근하고자 하는 접근제어 정책에 대한 정보도 인증에 사용된다. 이때, 사용자가 요청한 접근제어 정보가 시스템에 정의된 접근제어 규칙에 모두 만족하는 경우에만 시스템 접근이 허가된다.

• 정보처리학회논문지C
• /
• 제10C권6호
• /
• pp.675-682
• /
• 2003

공격자는 시스템에 침입하기 위해 시스템 취약점을 수집한 후, 여러 공격 방법을 통해 루트권한을 획득하여 시스템 정보를 유출 및 변조하며 더 나아가선느 시스템을 파괴한다. 이러한 공격에 대응하기 위해 침입 탐지 및 차단을 위한 보안 시스템들이 많이 개발디어 왔지만, 최근 공격자들은 보안 시스템들을 우회하여 시스템에 침입하기 때문에 많은 문제가 되고 있다. 본 논문에서는 루트권한을 획득한 공격자의 불법행위를 막기 위한 보안커널모듈을 제안한다. 보안커널모듈은 추가적인 패스워드를 통해 시스템의 관리자 인증을 강화하여, 공격자가 중요 파일을 변조하고 루트킷을 설치하는 행위를 막는다. 또한 공격자의 불법 행위에 대한 경고메일을 관리자에게 실시간으로 보내서, 관리자가 메일에 포함된 정보를 통해 새로운 보안 정책을 수립하도록 한다.

• 정보처리학회논문지C
• /
• 제12C권7호
• /
• pp.965-972
• /
• 2005

디지털 문화의 보급과 확산에 따라 이제 모든 문서는 디지털 전자 문서로 작성되어 사용되고 있지만, 이러한 디지털 문서가 포함하고 있는 다양한 지적 재산과 기술, 핵심 리소스, 개인 정보 등은 광대한 네트워크의 발달과 해킹 기술의 발달 및 전파로 인해 내외부적으로 많은 위협에 노출되어 있다. 대부분의 가정 및 기업 내부의 PC는 운영체제 자체에서 사용자의 ID와 패스워드를 통해 내부 데이터에 대한 접근을 통제하거나 소프트웨어 및 플래시 메모리와 같은 보안 기술을 이용하여 디지털 문서에 대한 접근을 막고 있지만, 디지털 문서의 활용 및 사용 정책과 중요도 및 가치에 비해 상대적으로 그 기능은 부족한 점이 있다. 따라서, 본 논문은 상대적으로 저가인 RFID 태그와 암호화 기법을 이용하여 향상된 보안성을 보장하는 디지털 문서의 보안 아키텍처를 제시한다. 이는, PC에 저장된 디지털 문서를 암호화하고, 이 문서에 접근하기 위해 필요한 정보들을 RFID 태그에 저장함으로써, 태그를 가지지 않은 다른 내외부자로부터의 접근을 원천적으로 배제하며, 해당 디지털 문서를 직접 암호화함으로써 네트워크 상에서 해당 문서를 공유하거나 전송하는 경우에도, 디지털 문서에 대한 보안성이 유지되도록 한다.

• 융합보안논문지
• /
• 제6권3호
• /
• pp.69-78
• /
• 2006

본 논문에서는 현재 사이버 상에서 이루어지는 모든 인증서의 암호화 형태를 보완하고 개인의 암호사용 부작용과 그 단점들을 해소하기 위한 방안으로서 새로운 형태의 사이버 인증 알고리즘을 구현하여 실제 온라인상에서 적용할 수 있도록 그 방법론을 제시하였으며 수시로 변하는 개인암호 및 인증서를 사용함으로써 좀 더 보안이 유지되는 암호화 기법 시스템을 제안한다. 이 시스템은 특히 은행 및 온라인상에서 통용되고 있는 보안카드나 인증서를 관리함에 있어 기존의 DB를 그대로 이용하면서 암호의 도용과 사이버 범죄로부터 사전에 차단할 수 있는 사전차단 방어 메카니즘에 대해 시뮬레이션하고 있다.

• 정보화정책
• /
• 제25권3호
• /
• pp.95-115
• /
• 2018

본 연구는 조직 구성원들의 보안정책 위반의도를 설명하기 위해 사람-환경 적합 모델(P-E Fit Model: Person-Environment Fit Model)을 기반으로 연구하였다. 보안정책 위반의도에 있어서 조직이 제공하는 보안 환경과 보안에 대한 개인의 가치 간 관계가 어떤 영향을 미치는지 설명하고자 하였다. 조직 구성원이 관찰할 수 있는 보안 환경을 조직의 정보보안 문화와 동료의 보안 준수 행동으로 설정하였고 보안에 대한 개인적 가치는 도덕 이탈 이론에서 제시하는 행동의 재구성, 결과의 왜곡, 조직의 가치감소로 설정하였다. 도덕 이탈 이론의 구성 개념을 바탕으로 조직원의 보안 위반에 대한 인식을 2차 요인(Second Order)으로 측정하였다. 인식의 측정은 조직 내에서 흔히 일어날 수 있는 패스워드 공유 상황을 시나리오로 제시하여 설문을 조사하였다. 연구 결과, 정보보안 문화가 조직의 가치감소에 통계적으로 유의한 영향을 미쳤으나 행동의 재구성과 결과의 왜곡에는 유의한 영향을 미치지 않았다. 동료의 보안 행동은 보안 위반 행동에 대한 재구성, 결과의 왜곡, 조직의 가치감소에 유의한 영향을 미쳤으며 행동의 재구성, 결과의 왜곡, 조직의 가치감소는 조직원의 보안정책 위반의도에 유의한 영향을 미쳤다. 본 연구는 실제 조직 내에서 발생하는 문제를 적용했다는 점에서 실무적인 기여도가 있을 것으로 판단된다.