OTP(One-Time Password)의 동기화 방법

비동기 방식

- 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다.

- 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다.

- 서버는 반환값을 검증한다.

동기 방식

  시간 동기화

- 현재 시간을 이용하여 난수를 생성한다.

- 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다.

- 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다.

- 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다.

  이벤트 동기화

- 서버와 OTP기기의 카운트값으로 난수를 생성한다.

- OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다.

기타 방식

  거래인증 OTP

- 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성

- 인증번호 값이 일치하는 것에서 더 나아가서 수취인, 금액 등이 일치해야지만 유효

  S/KEY 방식

- 해시 체인을 이용한다. 벨 연구소에서 개발되었으며 유닉스 계열 운영체제에서 사용된다.

OTP의 장점

- 패스워드를 유추할 수 없다.

- 동기화 방식의 경우, 패스워드의 전송이 이루어지지 않는다.