인증 (Authentication)

의미

• 한 Entity의 Identity에 대해, 다른 사람에게 확신을 주는, 신뢰 기반 ID 분류의 핵심 요소 - [1]
• 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위 - [2]
• 컴퓨터 시스템 사용자의 신원을 증명하는 행위, 식별과 달리 신원을 확인하는 과정 (개인 데이터의 유효성 검사) - [3]

Factors

• 최소 2개의 Factor, 바람직하게는 3개의 Factor를 모두 확인하는 것이 좋은 방법(multi-factor) - [3]
  1. Knowledge Factor : User가 아는 것(knows)
     • Password, Partial password, pass phrase, PIN (Personal Identification Number)
     • 보안 질문, 특정 패턴의 질문에 대한 답변(Challenge response)
  2. Ownership Factor : User가 소유한 것(has)
     • ID Card, Security Token, Hardware Token(휴대폰에 내장), Software Token
  3. Inference Factor : User만이 가지고 있는 것(is or does)
     • 지문, DNA, 서명, 얼굴인식, 음성인식 등
• single factor는 가장 취약한 authentication! - [3]

차이점

• VS 인가/권한부여 (Authorization)
  • 인증(Authentication)은 User의 신원을 확인하는 과정
  • 인가/권한부여(Authorization)은 제한된 작업 집합에 권한을 부여
    • Authorization이 Authentication 직후에 발생하는 경향이 있지만, Authorization이 Authentication을 전제로 하진 않음

---

Reference

1. 위키백과 "디지털 정체성", https://ko.wikipedia.org/wiki/%EB%94%94%EC%A7%80%ED%84%B8_%EC%A0%95%EC%B2%B4%EC%84%B1
2. 대한민국 전자서명법 제 1장 2조 6호, https://ko.wikisource.org/wiki/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85%EB%B2%95#%EC%A0%9C2%EC%9E%A5_%EA%B3%B5%EC%9D%B8%EC%9D%B8%EC%A6%9D%EA%B8%B0%EA%B4%80
3. 위키백과 "Authentication", https://en.wikipedia.org/wiki/Authentication