OTP(One Time Password)

OTP(One Time Password)

매번 다른 난수를 생성하여 인증 시 패스워드를 대신하는 방법으로 이론적으로 가장 안전한 방법이다.

동기화 방식

• 사용자 OTP 생성 매체와 은행의 OTP 인증 서버 사이에 동기화된 기준값에 따라 OTP를 생성하는 방식
• 동기화된 기준값에 따라 시간 동기화와 이벤트 동기화로 분류된다.

시간 동기화 방식(Time Synchronous)

• OTP 생성 매체가 정대진 시간마다 비밀번호를 자동으로 생성하는 것으로 이것을 기준으로 하여 OTP 생성 매체와 서버가 동기화된다.
• 시간을 입력 값으로 동기화하기 때문에 간편하지만 정해진 시간 동안 은행에 OTP를 전송하지 못하면 새로운 OTP가 생성되기를 기다려야 한다.

이벤트 동기화 방식(Event Synchronous)

• OTP 생성 매체와 인증 서버의 동기화된 인증 횟수를 기준으로 생성한다.
• 횟수가 자동으로 동기화되기 때문에 시간 동기화의 불편한 점을 완화한다.

비 동기식(질의응답, Challenge Response)

• 사용자의 OTP 생성 매체와 은행의 인증 서버 사이에 동기화되는 기준값이 없으며 사용자가 직접 임의의 난수를  OTP 생성 매체에 입력하여 OTP를 생성하는 방식이다.
• 사용자가 은행의 OTP 인증서버로부터 받은 질의 값(Challenge)을 OTP 생성 매체에 직접 입력하면 응답 값(Response)
• 사용자가 직접 OTP 생성 매체에 질의 값을 입력하여 OTP를 생성하기 때문에 전자금융 사고 발생 시 명백한 책임소재를 가릴 수 있으며 보안성 또한 높은 방식이다.
• 은행이 별도의 질의 값을 관리해야 한다.