AWS의 MFA 활성화를 예로 TOTP를 대략적으로 설명
2241 단어 MFAauthenticatorgoogleTOTPAWS
MFA에는 TOTP라고 하는 구조가 사용되고 있는 것 같습니다만, 이 구조가 잘 모르고 처음으로 로그인할 때 당황해 버렸으므로 조사해 보았습니다.
※인증 아마추어가 조사한 결과이므로 잘못이 있을지도 모릅니다. 지적해 주시면 기쁩니다.
MFA 활성화 흐름
작동하기 전에 먼저 AWS를 활성화하는 단계를 설명합니다.
① AWS 콘솔에서 MFA를 활성화하기 위해 브라우저에 QR 코드 표시
② 스마트 폰으로 Google Authenticator 앱을 설치하고 ①의 QR 코드를 읽습니다.
③앱에 6자리 숫자가 표시되므로 이 숫자를 [MFA 코드 1]에 입력. 30초가 경과하면 숫자가 전환되므로 전환 후 숫자를 [MFA 코드 2]에 입력
④ 향후 AWS에 로그인할 때는 MFA 코드를 입력하라는 메시지가 표시되므로 스마트폰으로 Google Authenticator를 시작하여 표시되는 숫자를 입력하여 로그인한다.
※어플리의 명칭입니다만 iOS에서는 Google Authenticator, Android에서는 Google 인증 시스템이 되고 있습니다
거친 메커니즘
AWS에서 MFA 설정을 할 때 QR 코드를 표시하지만 이 때 비공개 키가 생성되었습니다. 이것을 Google Authenticator에서 읽으면 서버와 클라이언트에 개인 키가 저장됩니다.
QR 코드를 읽으면 앱에서 6자리 숫자가 표시됩니다. 이 숫자는 일회용 비밀번호이며 30초마다 다른 숫자로 전환됩니다.
이 숫자를 생성하고 있는 알고리즘이 TOTP(Time-Based One-Time Password Algorithm)입니다.
TOTP란?
특정 시간에 카운터가 서버와 클라이언트에서 동일하면 서버와 클라이언트가 개인 키를 공유하기 때문에 동일한 확인 코드가 계산되어야하므로 서버와 클라이언트에서 확인 코드의 계산 결과가 일치하는지 여부 에서 인증을 할 수 있다고 하는 것이 TOTP 알고리즘이다.
※『Google 인증 시스템의 구조』에서 인용
30초마다 숫자가 바뀌는데 이 숫자를 입력하면 AWS에 로그인할 수 있는 것이 이상했습니다. 그러나 TOTP의 구조를 알고 보면 납득할 수 있었습니다.
보안 강화를 위해 다 요소 인증이나 2단계 인증이 주목 받고 있기 때문에 얼마든지 구조를 이해할 수 있다면 언젠가 도움이 될 것 같습니다.
참고로 한 기사
h tps : // 기침? 기주 b. 이오 / 2016 / 03 / 26 / 오오 g ぇ 맞는 치치카 r /
htps : // v.ぁsss d. jp / e tc /와 tp-i mp ぇ 멘들 온 푸레 py teon /
Reference
이 문제에 관하여(AWS의 MFA 활성화를 예로 TOTP를 대략적으로 설명), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/soonlabo/items/992ab55f07e6e372f6f2텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)