최근 몇 년 동안 2단계 인증 또는(verification or two-factor authentication) 2FA(2단계 인증) 라는 새로운 보안 개념(security concept) 이 헤드라인을 장식 했습니다. 이 모든 것은 Google 에서 사용자가 사용할 수 있도록 하는 것으로 시작되었으며 그 이후로 Microsoft , Apple 및 Facebook 을 비롯한 많은 회사에서 그들의 예를 따랐습니다 . 게임 회사도 이러한 추세에 합류했습니다. 이중 요소 인증(two-factor authentication) 이 무엇인지 , 어떻게 작동하는지, 왜 활성화해야 하는지, 그리고 어디에서 이 문서를 읽어야 하는지 알고 싶다면:
2단계 인증 또는 확인(authentication or verification) 이란 무엇 입니까?
2단계 인증은 모든 종류의 서비스(이메일, 소셜 네트워킹, 뱅킹 등)에 액세스하려는 개인 또는 법인(person or entity) 의 신원을 확인하기 위한 2단계를 포함 하는 보안 프로세스 입니다. (security process)이 개념은 2단계 검증이라고도 하며 지식 요소(knowledge factor) , 소유 요소(possession factor) 및 고유 요소(inherence factor) 의 세 가지 인증 요소 중 두 가지 이상이 필요합니다 .
기존 인증에는 앞서 언급한 세 가지 요소 중 한두 가지만 포함됩니다. 예를 들어 이메일과 같은 서비스를 사용하려는 경우 기존 인증에는 사용자 이름과 비밀번호를 알아야 합니다. 지식(Knowledge) 은 다양한 방법으로 도용될 수 있으며 사람들은 사용자 이름과 비밀번호(username and password) 를 모두 알아낸 다음 해당 정보를 사용하여 가장하거나 해를 입히는 데 사용할 수 있는 귀중한 정보를 훔칠 수 있습니다.
현실 세계에서 전통적인 검증은 지식 요소(knowledge factor) 와 소유 요소(possession factor) 를 포함할 수 있습니다 . 예를 들어 현금을 인출하기 위해 ATM 에 갈 때 (ATM)직불카드 또는 신용카드(debit or credit card) ( 소지 요소(possession factor) )와 PIN ( 지식 요소(knowledge factor) )을 사용합니다. 그러나 PIN 또는 신용 카드(credit card) 정보는 모두 다양한 방식으로 도용될 수 있으며 승인되지 않은 당사자가 귀하의 돈을 사용하여 온라인 거래를 할 수 있습니다. 이것이 3D Secure 개념이 온라인 신용 및 직불 카드 거래를 위한 추가 보안 계층 을 제공하기 위해 개발된 이유입니다.(security layer)
디지털 세계에서 2단계 인증을 사용할 때 세 번째 요소가 추가됩니다. 소유 요소(possession factor) (보통 스마트폰 또는 휴대폰)입니다. 이 기기는 본인 확인의 2단계에 사용됩니다. 예를 들어, 이메일 계정(email account) 에 로그인할 때 먼저 사용자 이름과 비밀번호(username and password) 를 제공합니다 . 그런 다음 몇 초 후에 만료되는 시간 기반 암호를 제공하라는 메시지가 표시됩니다. 이 비밀번호는 이메일 계정 , 스마트폰으로 보내거나 (email account)Google Authenticator 또는 Microsoft Authenticator 와 같은 인증 앱(authenticator app) 에서 생성할 수 있습니다 .
Some companies and services also provide physical authentication devices that continuously generate the codes you need to use to finalize the verification process. For example, many banks provide physical devices for two-step verification, so that you can access your bank account online. Also, PayPal does this for a number of countries, including the USA.
How does two-factor authentication work?
The implementations for two-step authentication are many, and we do not go into details about all of them because this article would become very long.
가장 널리 사용되는 구현은 TOTP(시간 기반 일회용 암호 알고리즘) 에 기반한 (TOTP - Time-based One-time Password Algorithm)Google 의 접근 방식입니다 . 계정에 대해 2단계 인증이 활성화되면 특수 서버가 몇 초마다 한 번씩 새 비밀번호/코드를 생성합니다. 비밀번호를 공유하는 기기는 2차 인증 단계(authentication step) 에서 입력한 코드가 서버에 있는 코드와 일치하도록 서버와 동기화해야 합니다. 비밀번호를 공유하는 기기가 동기화되지 않은 경우 본인 확인을 완료할 수 없습니다.
이 알고리즘은 온라인에서 가장 인기 있는 알고리즘입니다. Google , Microsoft , Apple , Facebook , Evernote , Dropbox , WordPress , MailChimp , LastPass 를 비롯한 많은 회사에서 사용합니다 .
이중 인증이 작동하는 방식을 더 쉽게 이해할 수 있도록 많은 사람들이 플레이 하는 인기 온라인 게임 인 (online game)Fortnite 를 예로 들어 보겠습니다. (Fortnite)Epic Games 계정( Fortnite 제작자 )에 대해 2단계 인증(2FA)을 구성한 후에 는 로그인을 위해 사용자 이름과 비밀번호(username and password) 를 제공하는 것만으로는 더 이상 충분하지 않습니다 . 하기 위해서.
추가 암호는 임시이며 본인만 알고 있습니다. 이 코드는 인증 앱(authenticator app) (예: Google Authenticator ) 또는 (Google Authenticator)Epic Games 에서 받은 이메일 메시지 에서만 얻을 수 있으므로 다른 사람이 찾을 수 없어야 합니다 . 이중 인증 코드는 몇 초마다 변경되므로 거의 추측할 수 없습니다.
올바른 이중 인증 코드 를 제공하면 (authentication code)Fortnite 계정(Fortnite account) 에 로그인 됩니다 . 앞으로 30일 동안은 이미 로그인한 기기에서 2FA 코드를 제공할 필요가 없습니다. 그러나 30일이 종료되거나 새 기기에서 로그인을 시도하는 경우에는 유효한 2FA 암호를 다시 입력하십시오.
은행 부문(banking sector) 의 이중 인증
또 다른 인기 있는 접근 방식은 은행 및 신용 카드(credit card) 제공업체에서 사용하는 접근 방식입니다. 3-D Secure 라는 이름 으로 온라인에서 이루어지는 금융 거래를 승인하는 데 사용됩니다. 이 2단계 인증 방법은 돈을 지불하는 가맹점 또는 은행의 도메인, 사용 중인 카드를 발급하는 은행의 도메인, 3-D 프로토콜을 지원하는 인프라의 세 가지 엔터티를 포함합니다.
이 프로토콜은 온라인 거래를 위해 보안 SSL 연결만 사용하며 거래가 승인되려면 (SSL)이름 및 신용 카드 세부 정보와(name and credit card details) 함께 특수 암호가 필요합니다 . 이 암호는 일시적이고 시간 기반일 수도 있고 영구적이고 사용자인 귀하가 설정한 것일 수도 있습니다. 또 다른 중요한 측면은 이 비밀번호가 돈이 지불되는 판매자나 은행에 의해 저장되지 않는다는 것입니다. 암호는 3D 프로토콜에 대한 인프라를 제공하는 서버에서만 알고 있습니다. 따라서 판매자가 해킹당하면 해커는 3D Secure 암호(Secure password) 를 얻을 수 없습니다 .
이중 인증이 필요한 이유는 무엇입니까?
2단계 인증을 사용해야 하는 주된 이유는 자신을 보호하기 위해서입니다. 이 추가 보호 계층을 사용하면 원치 않는 당사자가 온라인에서 귀하의 신원(identity online) 에 액세스 하고 개인 또는 금융 데이터를 훔치는 것을 더 어렵게 만듭니다 .
금융 거래에 3-D Secure를 사용하면 해커가 돈을 훔치는 것이 더 어려워집니다. 그들이 당신의 카드 세부 정보를 복사하는 것은 쉽지만 3-D Secure 암호(Secure password) 를 얻는 데 어려움을 겪을 것 입니다.
이중 인증은 언제 사용해야 합니까?
2차 인증 단계(authentication step) 를 추가하는 것은 모든 사람에게 성가신 일이지만 계정과 데이터를 비공개로 유지하는 데 필요합니다. 최소한 다음 유형의 서비스에 대해 2단계 인증을 활성화하고 사용하는 것이 좋습니다.
- 이메일(E-mail) - 받은 편지함(Inbox) 은 모든 온라인 계정 중에서 가장 많은 양의 개인 데이터를 저장합니다. 사람들은 귀하의 이메일 기록을 감시하고, 은행 및 PayPal 계정(banking and PayPal accounts) 의 사용자 이름을 배우고 , 귀하의 업무, 관계 및 기타 여러 중요한 세부 사항에 대해 자세히 알아볼 수 있습니다. 받은 편지함을 보호하는 것이 가장 먼저 해야 할 일입니다.
- 온라인 뱅킹 및 금융 거래(Online banking & financial transactions) - 온라인 뱅킹을 하는 경우 Amazon , eBay 또는 기타 온라인 상점에서 물건을 구매하는 경우 신용 카드 또는 직불 카드를 보호해야 합니다. 은행에 3D 보안 및 제공하는 2단계 인증 옵션에 대해 문의하여 활성화하고 사용하십시오.
- 암호 저장(Storing your passwords) - 많은 보안 의식이 있는 사람들이 LastPass , Roboform 또는 KeePass(Roboform or KeePass) 와 같은 서비스를 사용합니다 . 보안을 유지하는 것이 중요합니다. 계정 암호(account password) 가 도난당하면 권한이 없는 당사자가 모든 암호에 액세스할 수 있으며 사용자에게 많은 피해를 줄 수 있습니다.
- 소셜 네트워킹 - 우리 모두는 (Social Networking)Facebook , Twitter 또는 Instagram 과 같은 소셜 네트워크에 많은 개인 데이터를 저장 합니다. 다른 사람들이 귀하의 데이터에 액세스하면 귀하가 비공개로 유지하고 싶은 많은 정보를 찾을 수 있습니다. 예를 들어, 질투하는 파트너가 있다면 이미 당신의 Facebook 비밀번호(Facebook password) 를 알고 있고 당신 이 하는 일을 주시하고 있을 수 있습니다. 자신을 보호하고 이중 인증을 활성화하십시오.
가장 중요한 계정에 대해 이중 인증을 활성화하는 방법
일반적으로 이중 요소 인증을 활성화하면 온라인 계정 에 로그인하고 (account and head)비밀번호 및 보안 설정(password and security settings) 으로 이동해야 합니다 . 그런 다음 계정에 2단계 인증을 사용할 수 있다면 이에 대한 옵션을 찾아야 합니다. 2FA를 사용할 수 있는 경우 활성화한다는 것은 선호하는 방법을 선택하는 몇 가지 단계를 따르는 것을 의미합니다(일반적으로 이메일 또는(email or authenticator app) 스마트폰의 인증 앱을 통한 인증). 이중 인증을 활성화하고 사용하는 데 도움이 되도록 가장 인기 있는 온라인 서비스를 다루는 몇 가지 가이드를 게시했습니다.
- Google 계정(Google account) 에 대한 2단계 인증을 활성화 또는 비활성화하는 방법
- (Approve)Android 를 사용 하여 Microsoft 계정 에 대한 로그인 요청 (Microsoft account)승인 또는 거부
- iPhone 또는 iPad 에서 (iPhone or iPad)Apple ID 에 대한 2단계 인증을 활성화하는 방법
- (Set)Google Authenticator 를 사용하여 (Google Authenticator)Microsoft 계정(Microsoft account) 에 대한 2단계 인증 설정
- 포트나이트(Fortnite) 의 2FA(2단계 인증) 활성화 및 사용 방법
- 블리자드 계정(Blizzard account) 에 이중 인증(2FA) 활성화 및 사용
또한 회사에서 2단계 인증을 쉽게 구현할 수 있는 방법을 찾고 있는 경우 이러한 종류의 우수한 솔루션의 이점에 대한 짧은 문서가 있습니다 . ESET 보안 인증(ESET Secure Authentication) 으로 할 수 있는 7가지 .
모든 계정에서 이중 인증을 활성화했습니까?
이 가이드가 유용하셨기를 바랍니다. 2단계 인증 작동 방식을 이해하는 데 질문이나 문제가 있는 경우 주저하지 말고 아래에 의견을 남겨주세요.
Simple questions: What is two-factor authentication or two-step verification?
In reсent years a new ѕecurity concept has made the headlines - two-step verificatiоn or two-factor authentication (2FA). It all started with Gоogle enabling it for its users, and since then, many companies followed their example, including Microsoft, Apple, and Facebоok. Even gaming companies joined this trend. If you would like to undеrstand what two-factоr authentication is, how it works, why уou should еnable it and whеre read this article:
What is two-step authentication or verification?
Two-factor authentication is a security process that involves two stages for verifying the identity of a person or entity that is trying to access a service of any kind (e-mail, social networking, banking, etc.). This concept is also named two-step verification, and it requires two or more of these three authentication factors: a knowledge factor, a possession factor, and an inherence factor.
Traditional authentication involves only one or two of the three factors mentioned earlier. For example, if you want to use a service like e-mail, traditional authentication involves knowing a username and its password. Knowledge can be stolen in a variety of ways and people can find out both your username and password, and then use that information to pose as you, or steal valuable information that can be used to harm you.
In the real world, traditional verification may involve the knowledge factor and the possession factor. For example, when you go to an ATM to get cash, you use your debit or credit card (possession factor) and the PIN (a knowledge factor). However, both the PIN or the information on your credit card can be stolen in various ways, and unauthorized parties can make online transactions using your money. That's why the 3D Secure concept has been developed to provide an additional security layer for online credit and debit card transactions.
When using two-step verification in the digital world, a third factor is added: the possession factor - usually your smartphone or mobile phone. This device is used for the second stage of verifying your identity. For example, when you sign-in to your email account, you first provide your username and password. Then, you are asked to provide a time-based password that expires in a couple of seconds. This password can be sent to your email account, to your smartphone, or it can be generated by an authenticator app such as Google Authenticator or Microsoft Authenticator.
Some companies and services also provide physical authentication devices that continuously generate the codes you need to use to finalize the verification process. For example, many banks provide physical devices for two-step verification, so that you can access your bank account online. Also, PayPal does this for a number of countries, including the USA.
How does two-factor authentication work?
The implementations for two-step authentication are many, and we do not go into details about all of them because this article would become very long.
The most popular implementation is Google's approach based on the TOTP - Time-based One-time Password Algorithm. When two-step verification is enabled for your account, a special server generates a new password/code once every couple of seconds. The device sharing the password with you needs to be synchronized with the server so that the code you enter during the second authentication step matches the one on the server. If the device sharing the password is out of sync, you cannot complete the verification of your identity.
This algorithm is the most popular one found online. Many companies use it, including Google, Microsoft, Apple, Facebook, Evernote, Dropbox, WordPress, MailChimp, and LastPass.
To make it easier for you to understand how two-factor authentication works, let's take for example Fortnite, a popular online game that many people play. Once you have configured two-factor authentication (2FA) for your Epic Games account (the creators of Fortnite), it is no longer enough just to provide your username and password to log in. You also have to provide a secondary passcode to be able to do that.
The additional passcode is temporary, and you are the only one who knows it. No one else should be able to find it, as you can only get this code from an authenticator app (such as Google Authenticator) or from an email message you receive from Epic Games. The two-factor authentication codes change every couple of seconds, so they should be almost impossible to guess.
If you provide the correct two-factor authentication code, you are signed into your Fortnite account. For the next 30 days, you do not have to provide 2FA codes on the device on which you already signed in. However, at the end of the 30 days or if you try to log in from a new device, you have to provide a valid 2FA passcode again.
Two-factor authentication in the banking sector
Another popular approach is the one used by banks and credit card providers. It is named 3-D Secure, and it is used for approving financial transactions that are made online. This method of two-step verification involves three entities: the domain of the merchant or the bank to which the money is being paid, the domain of the bank which issues the card being used and the infrastructure that supports the 3-D protocol.
This protocol uses only secure SSL connections for making online transactions and, for a transaction to be approved, you need a special password, alongside your name and credit card details. This password may be temporary and time-based, or it may be permanent and set by you, the user. Another important aspect is that this password is not stored by the merchant or the bank to which money is being paid. The password is known only by the servers providing the infrastructure for the 3-D protocol. Therefore, if the merchant is hacked, hackers cannot get your 3-D Secure password.
Why do you need two-factor authentication?
The main reason why you should use two-step verification is to protect yourself. By using this additional layer of protection, you make it harder for unwanted parties to access your identity online and steal personal or financial data.
When using 3-D Secure for financial transactions, you make it harder for hackers to steal your money. It is easy for them to copy your card details but they are going to have a hard time getting your 3-D Secure password.
When should you use two-factor authentication?
Adding a secondary authentication step is annoying for everyone but necessary to keep our accounts and data private. We highly recommend that you enable and use two-step verification at least for the following types of services:
- E-mail - your Inbox stores the biggest amount of personal data out of all your online accounts. People can spy on your email history, learn the username for your banking and PayPal accounts, learn more about your work, your relationships, and many other important details. Securing your inbox is the first thing you should do.
- Online banking & financial transactions - if you do online banking, if you purchase stuff from Amazon, eBay or other online shops, you must secure your credit or debit card. Ask your bank about 3-D secure and the two-step verification options they offer, enable them and use them.
- Storing your passwords - many security conscious people use services like LastPass, Roboform or KeePass. Securing them is crucial. If your account password is stolen, unauthorized parties have access to all your passwords and can do a lot of harm to you.
- Social Networking - we all store lots of personal data on social networks such as Facebook, Twitter, or Instagram. If others get access to your data, they might find many things you would rather keep private. For example, if you have a jealous partner, they may already know your Facebook password and keep an eye on what you do. Protect yourself and enable two-factor authentication.
How to enable two-factor authentication for your most important accounts
In general, enabling two-factor authentication means that you have to log in to your online account and head to your password and security settings. Then, if you can use two-factor authentication for your account, you should find an option for it. If 2FA is available, enabling it means following a couple of steps in which you choose the method you prefer (usually, that is authentication via email or authenticator app on a smartphone). To help you out in enabling and using two-factor authentication, we have published a few guides that cover some of the most popular online services:
Also, if you are looking for an easy way to implement two-factor authentication in your own company, here is a short article about the benefits of an excellent solution of this kind: 7 things you can do with ESET Secure Authentication.
Have you enabled two-factor authentication on all your accounts?
We hope that you found this guide useful. If you have any questions or issues with understanding how two-step verification works, do not hesitate to leave a comment below.