• 목록
  • 아래로
  • 위로
  • 0
  • OAUTH2
  • 조회 수 512

post-thumbnail

Multi-factor authentication

보안에 관심이 있는 사람이라면 한 번씩은 Multi-factor authentication을 들어보았을 것 이다. 이는 단순히 ID Password만으로 인증하는 방식이 아니라 OTP등 다른 추가적인 인증 기기나 SMS, Email과 같은 수단으로 인증코드를 전송 하면서 계정에 추가적인 보안계층을 도입하는 것을 말한다.
국내에서는 인지도가 비교적 낮지만 최근에는 별도의 하드웨어 보안키를 이용해서 인증을 하기도 한다.

(아래는 Namecheap의 Two-Factor Authentication 설정화면)

Webauthn

 

Webauthn은 fido2 하드웨어 보안 토큰을 웹에서 사용할 수 있도록하는 W3C에서 표준화한 자바스크립트 API 표준이다. https://en.wikipedia.org/wiki/WebAuthn

 

개발을 시작하면서

 

Webauthn은 기본적으로 사용자를 비대칭 암호화 기술로 확인한다, 보통 RS256이나 ES256을 많이 사용한다.
인증 플로우나 기타 자세한 내용은 라엘님 블로그를 참조하자.

나는 기본적으로 backend 서버로 go언어의 echo 프레임워크로 개발했다.
(사실은 labstack/echo 처음 써본다)
go언어가 기본적으로 crypto 라이브러리가 풍부하고 손에 익어서 사용했다.

나는 fido2를 지원하는 하드웨어 보안키가 없기 때문에 Chrome의 webauthn 디버거와 스마트폰의 TPM을 사용했다.

인증 과정에서는 클라이언트에서 hex로 인코딩해서 XHR 통해서 서버로 전송했다.

키 등록시에는 create 버튼을 누르면 navigator.credentials.create를 사용해서 인증기기에서 키를 생성하고 PublicKey와 ID를 export 한다.
그 다음 이를 서버에서 유저 정보에 보관한다.

키를 사용할 때는 서버에서 challenge를 생성해서 클라이언트에 보낸다.
클라이언트는 navigator.credentials.get을 호출하여 challenge를 자신의 개인키를 이용하여 서명하고 서버에 response 를 전송한다, 서버는 이를 다시 해당유저의 공개키로 검증하고 AuthenticatorData를 파싱해서 Relying Party Hash와 counter를 확인한뒤 클라이언트에게 인증권한을 부여한다.

결론

webauthn과 fido2는 나의 생각보다 훨씬 완성도 높은 기술이였다.
앞으로 자주 활용사례가 보일듯하다. 인증 구현하는것은 그다지 어렵지는 않았다. 다만 CBOR 디코딩에서 조금 어렵기는 했지만..
그리고 구글이나 마이크로소프트 Github에서도 사용하는 기술이니 한번쯤 시도해 보면 좋은 경험이 될것이다.

결과물을 MIT라이선스로 공개합니다. 필요한경우 참조해도 좋습니다.^^
https://github.com/lemon-mint/webauthn-demo-server
(Star✨도 한번씩 눌러주세요^^)

Velog: https://velog.io/@icemint/webauthn

webauthn은 기본적으로 사용자를 비대칭 암호화 기술로 확인한다, 보통 RS256이나 ES256을 많이 사용한다.나...

 

이니스프리님 이니스프리 포함 1명이 추천

추천인 1

댓글 0

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 마스터 24.09.05.16:25 2428
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 9476
공지 낚시성 불법도박 홍보 게시글을 주의하세요. 9 image 네모 네모 22.08.09.18:13 2902
공지 슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64 네모 네모 18.06.17.20:25 17756
5675 ..! 사이트 메뉴에 아이콘이 추가되었네요! 5 TVJ title: 열려라 맛스타의 자물쇠TVJ 17.03.29.23:30 152
5674 크롬 접속 문제 해결에 대해 도움을 주신 분들께 감사드립니다 4 이니스프리 이니스프리 17.03.30.01:01 228
5673 하도 안와서 이제야 인사드립니다 :) 4 LuneStar LuneStar 17.03.30.01:41 203
5672 조만간 세린 서버는 정리할 예정입니다. 5 마스터 마스터 17.03.30.02:18 315
5671 스타크래프트1 오픈베타 시작되었네요 9 이니스프리 이니스프리 17.03.30.18:56 258
5670 헌재 디아블로3 시즌 10 시작해서 게임하는중 ㅋ 1 핫슈 17.04.02.22:51 156
5669 아시는 분에게 중국 홍커연맹 공격 수단을 알아내다 1 Seia Seia 17.04.02.23:10 195
5668 중요!! 배치파일 하시는 분들에게!! 9 Seia Seia 17.04.02.23:54 479
5667 출석이 .. 1 대전댁 title: 은메달대전댁 17.04.03.07:13 205
5666 워드로 블로그 오픈ㅋ 1 핫슈 17.04.03.18:19 225
5665 역시.. 배너의 힘이란!? 1 Seia Seia 17.04.04.01:56 178
5664 악성코드 제거라는 배치를 하나 찾았는데.. 도통 무슨 뜻인지 모르겠내요...? 5 Seia Seia 17.04.04.02:19 419
5663 도메인 기관이전과 서버 이전이 맞물리네요...(문의사항 포함) 2 여우나라 title: Fox여우나라 17.04.04.11:41 208
5662 오늘 문득 나무위키에서 study for us hosting을 검색해봤습니다. 12 NoYeah NoYeah 17.04.04.22:11 257
5661 제 서버 웹서버를 NGINX에서 Apache 로 옮길까 생각중입니다. 4 title: 은메달도다 17.04.06.00:04 199
5660 html 공부하다가 호스팅하라는 부분이 있어서 찾아왔습니다. 6 설명충 17.04.06.10:33 209
5659 자동로그인 오류 7 ljhw0512 17.04.08.18:02 179
5658 헐 이것좀 보세요! 2 TVJ title: 열려라 맛스타의 자물쇠TVJ 17.04.08.22:13 152
5657 ..! 새로운 게임이 등장했군요! 6 image TVJ title: 열려라 맛스타의 자물쇠TVJ 17.04.08.22:17 188
5656 드디어 50 레벨 이네요. 6 하루살이 title: 황금 서버 (30일)하루살이 17.04.09.11:39 170