AutoPassword는 어떤 보안 문제를 해결하는가?

AutoPassword는 모든 온라인 서비스에 대한 피싱 및 파밍 공격 문제를 해결하고 2FA/MFA 및 암호 관리자의 취약점을 제거한다.

사용자 자격 증명을 도용하는 가장 일반적인 방법은 피싱 및 파밍 공격이다. AutoPassword는 온라인 서비스에서 사용자에게 먼저 제공된다. 따라서 해커가 사용자의 터미널에서 사용자의 자격 증명을 훔칠 가능성이 없다. 또한 사용자가 모바일로 온라인 서비스의 진위 여부를 먼저 확인할 수 있어 파밍 공격의 피해를 입을 가능성이 없다.

또한 기존 2FA/MFA 및 Password Manager의 취약점 문제를 해결한다. 기존의 모든 사용자 인증 기술은 서비스가 항상 정품이라는 가정 하에 단방향 사용자 인증을 기반으로 작동한다. 이 때문에 사용자 터미널이 가짜 온라인 서비스에 연결될 때 취약할 수 있다. 기존 기술은 가짜 온라인 서비스가 사용자의 자격 증명을 수락하고 동일한 디자인을 화면에 표시하는지 여부를 구별할 수 없었다. 암호 관리자가 가짜 웹 사이트에서 사용되는 경우 온라인 서비스의 진위 여부를 먼저 확인하지 않고 암호 필드에 암호를 자동으로 입력한다. 사용자의 단말이 가짜 온라인 서비스에 연결되어 있으면 2FA나 MFA도 도움을 줄 수 없다. AutoPassword는 기존 사용자 인증 기술을 무시하지 않는다. 다만 OTP, PKI, Biometrics 등 기존 사용자 인증에 서비스 인증만 추가한다. 이는 사용자가 서비스를 먼저 눈으로 확인할 수 있는 유일한 상호인증 기술이다. 또한 AutoPassword는 자동 AutoPassword를 시각적으로 표시하기 때문에 사용자의 기대를 능가한다. 따라서 AutoPassword는 서비스가 정품이라는 확신을 주기 때문에 사용자가 표준 사용자 암호를 입력할 필요가 없다.

엄밀히 말하면 AutoPassword만이 사용자가 온라인 서비스의 진위 여부를 먼저 확인하고 온라인 서비스가 사용자의 진위 여부를 확인할 수 있도록 하는 상호 인증 시스템이다. OTP, PKI 및 생체 인식과 같은 기존 사용자 인증 위에 서비스 인증의 추가 계층을 추가한다.

기존 인증 기술은 사용자가 온라인 서비스를 전혀 인증할 수 없도록 하는 반면, AutoPassword는 Kerberos 및 PKI와 같은 기존의 다른 상호 인증 기술에 비해 사용자가 눈으로 온라인 서비스의 진위 여부를 확인할 수 있도록 하고, 사용자 ID와 암호를 입력하여 클라이언트 시스템과 서버 시스템 사이에서 내부적으로만 실행된다.

기존의 상호 인증 기술을 사용하더라도 사용자가 온라인 서비스의 진위 여부를 먼저 확인하지 못한다면, 사용자는 여전히 가짜 서비스의 희생양이 될 수 있다. 실제로 상호 인증을 사용한다고 주장하는 일부 기술은 그러한 목적으로 개발되지도 않았으며, 사용자가 온라인 서비스의 진위 여부를 확인하기 위한 것이 아니라 도청 및 재생 공격을 방지하기 위해 만들어졌다.

AutoPassword는 상호 이중 인증자 및 다중 인증자로서 피싱 및 파밍 공격으로부터 사용자를 완전히 보호한다.