Mimul's Developer World - Digital Identity category

Awt와 Servlet으로 Captcha 기능 구현

Sun, 20 Apr 2008 10:30:07 GMT

구현 아이디어는 Awt를 가지고 Captcha에 해당하는 숫자나 문자를 표현하고 값의 비교는 세션이나 쿠키를 통해 비교해는 기능을 구현해 보았습니다.

1. HttpServlet을 상속받아 CaptchaImageServlet 구현

package com.mimul.web;

import java.awt.Color;
import java.awt.Font;
import java.awt.Graphics2D;
import java.awt.Rectangle;
import java.awt.image.BufferedImage;
import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.RandomStringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

import com.sun.image.codec.jpeg.JPEGCodec;
import com.sun.image.codec.jpeg.JPEGImageEncoder;

public class CaptchaImageServlet extends HttpServlet {
	 private static final long serialVersionUID = 
	     -5392776069139170498L;
    private static final String CONTENT_TYPE = "image/jpeg";
    private static final Log log = 
         LogFactory.getLog(CaptchaImageServlet.class);
    
    protected void doGet(HttpServletRequest request, 
       HttpServletResponse response) throws ServletException, 
         IOException {
        response.setContentType(CONTENT_TYPE);
        response.setHeader("Pragma", "No-cache");
        response.setHeader("Cache-Control", "no-cache");
        response.setDateHeader("Expires", 0);
        
        String captchCode = 
           RandomStringUtils.randomAlphanumeric(4);
        captchCode = captchCode.toLowerCase();
        
        BufferedImage image = new BufferedImage(80, 30, 
            BufferedImage.TYPE_INT_RGB);
        Graphics2D grap2D = image.createGraphics();
        Font font = new Font("Bookman Old Style", Font.BOLD, 25);
        grap2D.setFont(font);
        grap2D.setColor(Color.white);
        grap2D.fill(new Rectangle(image.getWidth(), 
          image.getHeight()));
        grap2D.setColor(Color.BLUE);

        for (int i = 0; i < ((int) (Math.random() * 60) + 20); ++i) {
            grap2D.fill(new Rectangle((int) (Math.random() * 
                    image.getWidth()),
                    (int) (Math.random() * image.getHeight()), 1, 1));
        }
        grap2D.setPaint(Color.black);
        grap2D.drawString(captchCode, 3, 23);
        grap2D.dispose();
        
        HttpSession session = request.getSession();
        session.setAttribute("captchacode",captchCode);
        try {
            JPEGImageEncoder encoder = 
               JPEGCodec.createJPEGEncoder(
               response.getOutputStream());
            encoder.encode(image);
        } catch (Exception ex) {
            log.info(ex);
        }
    }
}

2. web.xml 추가

 
<servlet>
	<description>Captcha Image Servlet Servlet</description>
	<display-name>CaptchaImage servlet</display-name>
	<servlet-name>CaptchaImageServlet</servlet-name>
	<servlet-class>com.mimul.web.CaptchaImageServlet</servlet-class>
</servlet>

<servlet-mapping>
	<servlet-name>CaptchaImageServlet</servlet-name>
	<url-pattern>/captchacode</url-pattern>
</servlet-mapping>

3. Client에서 사용 방법

3.1 jsp 코드

<input id="code" name="code" type="text" value=""/>
<img src="<@http.basePath/>captchacode" alt="Captcha Code" 
  onclick="this.src='<@http.basePath/>captchacode?now=' 
  + new Date().getTime()" />

3.2 Servlet 코드

String code = request.getParameter("code");
String sessionCode = 
 (String)request.getSession().getAttribute("captchacode");

if(StringUtils.isBlank(code)){
	errors.add(getText("errors.required", 
	  new Object[]{getText("comment.code")}));
}else{
	if(!code.equals(sessionCode)) {
		errors.add(getText("errors.codeerror"));
	}
	mv.addObject("code", code);
}

패스워드 생성기

Sun, 13 Apr 2008 15:14:00 GMT

패스워드의 길이와 심벌(문자종류)을 체크기능 선택을 통해 강한 패스워드를 생성해주는 툴들입니다. 강한 패스워드를 원하시면 아래의 사이트로 방문하여 강한 패스워드 만드는데 도움이 되세요.

패스워드 강도 체크하는 오픈 소스

Sat, 29 Mar 2008 09:54:00 GMT

보안에 대한 인식이 강화되고 있는 상황에서 패스워드에 대한 강도를 알려주는 오픈 소스가 있어 소개해 드립니다. 가입이나 패스워드 변경 시 적용하여 고객으로 하여금 예측이 불가능한 패스워드를 기입하도록 유도하는데 효과가 있을것으로 보입니다.

1. Javascript/Java PasswordCheck Meter

문자열(대/소문자), 숫자, 특수문자를 가지고 패스워드 강도를 측정했습니다. Javascript외에 Java 소스도 제공하고 있습니다.

데모 사이트 : http://www.mimul.com/examples/password/passwdmeter.html

2. Password Strength Meter like Google

1번 예와 비슷하고 Javascript를 활용하여 패스워드의 강도를 측정하게 해줍니다. 그리고 측정 기준은 아래와 같습니다.

패스워드 길이 : 5 Points: Less than 4 characters, 10 Points: 5 to 7 characters, 25 Points: 8 or more
문자열 : 0 Points: No letters, 10 Points: Letters are all lower case, 20 Points: Letters are upper case and lower case
숫자 : 0 Points: No numbers, 10 Points: 1 number, 20 Points: 3 or more numbers
특수문자 : 0 Points: No characters, 10 Points: 1 character, 25 Points: More than 1 character
조합 : 2 Points: Letters and numbers, 3 Points: Letters, numbers, and characters, 5 Points: Mixed case letters, numbers, and characters
결과 값 : >= 90: Very Secure, >= 80: Secure, >= 70: Very Strong, >= 60: Strong, >= 50: Average, >= 25: Weak, >= 0: Very Weak

데모 사이트 : http://www.mimul.com/examples/password/demo.html

3. Password Meter

EXT JavaScript library기반으로 패스워드의 강도를 체크하는 오픈 소스입니다. 대/소문자 및 숫자, 심벌등을 조합하여 강도를 체크하는 기준으로 삼았습니다.

데모 사이트 : http://www.mimul.com/examples/password/passwd2.html

4. Password Strength Meter

자체 Javascript로 만든 패스워드 강도 체크 라이브러리입니다. 패스워드 강도 결과치 측정 기준은 아래 데모 사이트에 가면 상세히 알 수 있습니다.

데모 사이트 : http://www.mimul.com/examples/password/pwd_meter/

5. Prototype/Scriptaculous Password Strength Meter

Prototype/Scriptaculous를 활용한 패스워드 강도 체크.

데모 사이트 : http://www.mimul.com/examples/password/prototype_scriptaculous.html

6. JQuery Password Strength Meter

Jquery를 활용한 패스워드 강도 체크.

데모 사이트 : http://mimul.com/examples/password/jquery/jquerypwdcheck.html

[참고 사이트]

http://justwild.us/examples/password/
http://www.codeandcoffee.com/2007/07/16/how-to-make-a-password-strength-meter-like-google-v20/
http://testcases.pagebakers.com/PasswordMeter/
http://www.passwordmeter.com/
http://ajaxorized.com/?p=14
http://simplythebest.net/scripts/ajax/ajax_password_strength.html
http://phiras.wordpress.com/2007/04/08/password-strength-meter-a-jquery-plugin/

Identity Management 시스템을 구축하기 위해 필요한 이슈 정리

Fri, 18 Jan 2008 14:52:00 GMT

Identity Management 시스템을 구축하기 위해서 준비되어야할 정책에 관련된 전반적인 내용들을 카테고리화 했습니다. Identity 관련하여 기획하시는 분들에게 정책 결정에 도움이 될 거 같아서 공유합니다. 관련 정책 이슈 내용은 OpenID와 ID Federation을 같이 고민해 보았습니다.
부족한 부분이나 수정되어야 할 부분이 있으면 댓글 부탁드립니다. 좀더 정리가 필요해 보입니다.

1. Access Control Policy

정의 : 인증 리소스의 접근 제어를 관리하고 가이드함
User : 자신의 identity를 입증할 경우 자신의 리소스 접근을 허용함
Owner : 전체 User를 관리하는 사용자, 모든 User의 리소스 접근을 허용하나 접근 로그로 추적이 가능하여야 함
접근 감시 : 누가 어떤 정보에 접근했는지 관리가 되어야 하고 6개월 이상 보관되어야 함

2. Authentication Policy

정의 : 인증에 관한 절차, 방식, 레벨, 감시 등의 정보를 가이드함
UserID : Unique한 정보이고 Naming and Certificates 정책에 의해 생성됨
인증 방식
. 인증 타입 : OpenID 수용 여부, ID Federation(타 도메인 등등) 수용
. 인증 방식 : 쿠키를 통한 SSO를 처리하고 서비스에서 도메인 쿠키 셋팅함, 타도메인일 경우 쿠키 정보와 세션 정보를 디비에서 관리하여 진입 Consumer 사이트에서 사용자가 아이디 입력 후 IDP로 아이디 정보 제공하여 SSO 처리

인증 레벨
. Casual : 패스워드 없이 단순한 토근 정보를 쿠키 설정으로 인증 처리
. Standard : ID와 PASSWORD의 조합
. Secure : ID와 PASSWORD의 조합에 부가적으로 Security Token 공유
. Critical : ID와 PASSWORD의 조합에 부가적으로 분산된 Two Factor Authentication(OTP, BIO 등) 수
인증 API : 인증 정보는 데이터 베이스에서 저장하고 웹 방식과 AUTH API(TCP/IP, SOAP, REST 방식 등)를 정의함

인증 감시
. 인증 시도 User의 필수 정보는 로그나 DB로 관리(6개월 이상)하여 악용사례를 예방할 수 있어야 함
. DDos 공격, 악의적 인증 정보 추측 등을 예방할 수 있어야 함

3. Data Confidentiality Agreement

직원, 개발/운영자, 제휴사, Third party 관련자들에게 고객 데이터의 신뢰 확보를 위한 수단을 강구하여야 함(약관 및 책임 이행 서약서 등)
고객 데이터 제공시 필요한 프로세스
. 암호화 : 동기 방식의 암호화 알고리즘 사용
. 폐기 기한 : 제휴 서비스 종료시에 자동 폐기
. 접근 레벨 : 접근 권한 관리
. 제휴 서비스간의 개인 정보 연동 및 권한 : 개인정보 공유 항목 정의 및 권한/개인 정보 동기화

가입 정보는 최소화할하여 진입 장벽을 없앨 것

4. Encrypt Policy

공인된 암호화 알고리즘(동기/비동기 포함)을 사용하고 가이드를 배포함
고객 일부 정보는 암호화함(패스워드, 주민번호, 신용카드/계좌 번호 등)
Third Party와 정보 연동시에는 필히 암호화 알고리즘을 사용할 것

5. Password Policy

영/숫자/특수 문자 혼용 가능하며 복잡도 기준을 마련하여 심플한 패스워드는 제외하고, 패스워드 길이는 6-12자 이내 사용 등 정의
암호화 되어 저장됨
사용자에게 패스워드는 주기적(30, 60, 90일 등의 기준에 의해)으로 변경 요청함
Two Factor Authentication과 연동 가능하도록 설계 및 아키텍처 구성함
악의적 사용자 및 해킹 의심 가입자일 경우 관리회사에서 강제 패스워드 변경 가능 및 본인 확인 프로세스 적용할 수 있음

6. Naming and Certificates

가입 정보
. UserId : 6 ~ 12자이내로 OpenID행태, 이메일, 전화번호 등 제휴 사이트에 따라 다양한 아이디가 수용가능해야 하고 생성 규칙인 이메일, OpenID, 전화번호 등의 생성 규칙에 준함
. 이름(40자 이내), 닉네임(40), 이메일(40), 생년월일(12), 성별(1), 우편번호(10), 국가(40), 언어(40), 타임존(40) 이 제공되며 주소, 전화번호, 지역 등은 서비스에 따라 별개로 관리함

Unique identitier : User Sequence Number(usn)를 사용함
가입정보 공개 여부는 사용자가 판단할 수 있도록 함
가입 인증을 위해서 OpenID일 경우 이메일 인증을 추가함
Federation 아이디들은 기존의 실명 확인 정보를 확인하여 매핑(본인 확인 거침) 함
로깅 : 연동/인증 정보는 로그과 6개월 이상 보관하여야 함
미성년 고객에 대한 관리 수단이 있어야 함(부모 동의 등)
개인 정보는 항상 신뢰성 보장 활동(아이디 상태 관리, 개인 정보 현행화)을 주기적으로 함

7. Federation Policy

OpenID 스펙 위에 제휴사의 인증 API를 통해 다른 인증 수단을 추가하는 방안 마련
제휴사와는 제휴를 통해 Federation 수단을 추가하고 사용자에게는 고지 의무를 가지므로 매핑 단계에서 가입과 동의, 약관 정보를 법규에 위반하지 않게 추가하여야 함
상호(제휴사와 인증 Provider)는 Security Token은 필수적으로 공유되어야 하고 필요한 개인정보는 고객 선택권에 따라 서비스로 정보가 연동될 수 있어야 함

8. Privacy Policy

개인 고객은 개인이 identity를 확인하여 정보를 관리할 수 있음
법인 고객/그룹 고객 아이디일 경우 개인으로 사용할 수 없고 특정 서비스에서만 사용 관리를 해주어야 함
Chief Privacy Officer (CPO)에 의한 개인 정보 보호 정책이 준수되어야 하고 주기적인 관리(감사 포함)되어야 함
개인/법인의 고객 정보는 개인 정보 보호법 테두리내에서 운용되어야 함
개인 정보 보호 정책 안내 페이지를 제공함
P3P 규약 준수

9. Provisioning Policy(선택적인 정책)

identity life cycle 관리
개인 정보 관리 툴 제공
일부 로우(가공이 안된) 통계 데이터 제공
외부 연동 인터페이스 규격 정의
보안 이슈에 대한 정의 및 해결 방안 도출