앤드류 시키아르, 전무 이사 겸 CMO, FIDO 얼라이언스
FIDO 얼라이언스는 오늘 FIDO 및 비밀번호 없는 인증 채택의 다음 단계를 설명하는 백서를 발표했습니다. 특히, 대규모 소비자 배포 시 계정 복구와 관련된 현재의 문제를 해결하기 위해 다중 디바이스 FIDO 자격증명 개념을 도입하고 있습니다.
이제 모든 주요 디바이스와 브라우저에 FIDO 인증이 내장되어 있고 많은 주요 브랜드에서 사용자가 FIDO 로그인을 사용할 수 있도록 하는 등 FIDO 얼라이언스는 인증의 본질을 바꾸는 데 성공했습니다.
하지만 사용자가 새 디바이스마다 각 서비스에 대한 FIDO 자격 증명을 등록해야 하며, 일반적으로 첫 번째 로그인에 비밀번호가 필요하다는 문제가 여전히 남아 있습니다. 그렇다면 휴대폰이나 노트북을 변경한 경우 FIDO 로그인 인증정보는 어떻게 되며 계정을 복구하는 방법은 무엇일까요? 오늘날의 FIDO 모델에서는 복구할 수 없습니다. 이는 끊임없이 디바이스를 이동하고 새로운 디바이스로 업데이트하는 소비자를 위해 FIDO를 대규모로 배포하는 데 있어 문제가 될 수 있습니다. 기업에서는 비밀번호 없는 인증을 지원하고 직원들이 계정과 자격 증명을 복구할 수 있도록 내부 관리 도구를 배포하여 이 문제를 해결할 수 있습니다.
따라서 현재 FIDO를 대규모로 배포할 수 있지만, 비밀번호처럼 완전히 보편화하여 사용할 수 있는 기능, 즉 모든 계정에 대해 다시 등록할 필요 없이 모든 디바이스에서, 심지어 새 디바이스에서도 FIDO 자격 증명을 사용할 수 있는 기능이 누락되어 있습니다.
멀티 디바이스 FIDO 자격 증명 소개
The new paper released today outlines the next steps for the evolution of FIDO to address this limitation. The paper introduces multi-device FIDO credentials, also informally referred to by the industry as “passkeys,” which enable users to have their FIDO login credentials readily available across all of the user’s devices. This will help service providers bring passwordless sign-in to consumers at scale by addressing the issue of account recovery – the key barrier to mass adoption of cryptographically secure, passwordless authentication.
이 백서에는 두 가지 주요 업데이트가 포함된 FIDO 얼라이언스와 W3C WebAuthn 워킹 그룹이 이를 달성하기 위해 제안하는 방법이 설명되어 있습니다:
- 정의된 프로토콜을 통해 휴대폰을 로밍 인증기로 사용하여 사용자의 휴대폰(FIDO 인증기가 되는)과 사용자가 인증하려는 디바이스 간에 통신하는 기능입니다 .
- 모든 사용자의 디바이스에서 FIDO 자격 증명을 보편적으로 사용할 수 있도록 하여 디바이스 분실 시에도 살아남고 여러 디바이스에서 동기화할 수 있도록 합니다.
이러한 새로운 기능을 도입함으로써 웹사이트와 앱이 비밀번호나 일회용 비밀번호(OTP)가 필요 없는 진정한 의미의 엔드투엔드 비밀번호 없는 옵션을 제공할 수 있게 되기를 바랍니다. 로그인 사용자 경험은 사용자의 생체 인식 또는 디바이스 PIN을 통한 간단한 인증으로 이루어지며, 이는 소비자들이 디바이스 잠금을 해제하기 위해 매일 여러 번 수행하는 일관되고 간단한 작업과 동일합니다. 이러한 경험을 모든 기기, 운영 체제 및 브라우저에서 사용할 수 있도록 하는 것이 비전입니다.
FIDO 얼라이언스는 멀티 디바이스 FIDO 자격 증명의 도입이 오늘날 점점 더 많은 공격을 받고 있는 비밀번호 또는 SMS OTP와 같은 레거시 형태의 MFA에 전적으로 의존하는 많은 사용 사례에서 피싱 방지 FIDO 인증을 더 광범위하게 배포하는 데 중요한 단계가 될 것으로 보고 있습니다.
이번 개발에 대한 업계 관계자들의 의견을 기다리고 있으며, 4월에 웨비나를 통해 자세한 내용을 공유할 예정입니다.
