2단계 인증, 구글otp, TOTP 가 무어냐

OTP 라 하면, 은행 OTP를 많이 생각할 것이다.
오늘은 인터넷에서 사용하는 OTP에 대해서 알아보겠다.

2단계 인증은 무엇인가?
주로 ID 와 password 을 가지고 어딘가 접속한다.
그런데, 이런 방식이 해킹에 취약하니, 한 단계 더 보안을 넣은 것이다.

2FA (2단계 인증) 종류로는
- 표준 TOTP 이용, 숫자 6자리 입력
- 폰 문자 발송
- 노트북 얼굴인식
- 이메일 발송

등등이 있다.

오늘은 TOTP 에 대해서 알아본다.
특히, 공개표준인 RFC 6238 방식 티오티피에 대해서 알아본다.

- 일반 은행 오티피와 비슷하게 난수 6자리를 발생한다.
- 메인 알고리즘, rfc6238 을 사용하는 앱은 모두 동일한 난수를 발생한다.

  즉, 아래 앱중에서 아무거나 사용해도 된다는 뜻이다.

Google Authenticator
Authy
Duo Mobile
2FAS (2FA Authenticator)
Oracle Authenticator
Microsoft Authenticator
등등 많다.

- 물론 앱마다 장단점이 있는데, 아래 기능을 주로 살표본다.
   등록된 정보 백업 가능
   다른 기기로 import, export 가능

사용법
- 티오티피 앱을 폰에 설치한다.
- 원하는 사이트에서 2FA 등록하려고 하면, QR코드를 보여준다.
- 앱으로 QR코드를 스캔해야 한다. (이는 secret key 를 가져오는 과정이다)
- 그러면, 앱에 등록이 된다. 그리고 숫자 6개를 보여준다.
- 쉽다.

** 여기서 고급 테크닉
- 큐알코드 스캔 말고, 수동으로 secret key를 입력하는 방법도 있다.
   컴퓨터 화면에 시크릿키가 표시된다.

** secret key 를 잘 보관해야 한다.
- 그러면, 폰을 바꿔도 아무 걱정이 없다.
  예를 들어, 오라클에 접속을 하는데, 폰이 망가졌다.
  그럼 새폰에다 TOTP 앱을 설치한다. (아무앱이나 가능)
  그리고, 앱에 오라클 사이트 2FA 등록할때, secret key 를 넣어주면, 과거 폰에서 사용했던 것과 동일한 난수 6개를 받아 올 수 있다.