최초 10개 제품, 새로운 FIDO 인증자 보안 인증 획득
캘리포니아주 마운틴뷰, 2018년 3월 20일 — 더 간단하고 강력한 인증을 위한 사양 및 인증 프로그램을 개발하는 250+ 회원 협회인 FIDO Alliance는 오늘 모바일 장치 및 PC의 물리적 보안 키 및 생체 인식과 같은 인증자에 대한 다단계 보안 평가를 포함하도록 인증 프로그램을 확장한다고 발표했습니다. 얼라이언스는 또한 새로운 인증자 인증 레벨 프로그램에 따라 인증된 첫 번째 제품을 발표했습니다.
새로운 인증자 인증은 표준 기반 FIDO 인증 장치에 보관된 사용자 자격 증명이 사용자의 FIDO 장치에 대한 표적 공격으로부터 보호된다는 소비자, 기업 및 서비스 제공업체의 확신을 더욱 높일 것입니다. 새로운 프로그램에는 규정 준수를 측정하고 FIDO 사양을 지원하는 제품 및 서비스 간의 상호 운용성을 보장하는 기존 FIDO 기능 인증이 통합되어 있습니다.
FIDO 얼라이언스의 브렛 맥도웰(Brett McDowell) 전무이사는 “FIDO 인증 인증자의 보안에 대한 보다 투명한 관점에 대한 점점 더 중요해지는 시장 요구 사항을 해결하기 위해 우리의 새로운 다단계 평가 프로그램은 점점 더 중요해지고 있다”고 말했다. “FIDO 메타데이터 서비스와 함께 사용되는 이 새로운 인증 프로그램을 통해 기업과 온라인 서비스는 FIDO 지원 장치에서 자격 증명을 등록할 때 정보에 입각한 위험 관리 결정을 내릴 수 있으므로 백엔드에서 보다 정확하고 신뢰할 수 있는 “점수”를 얻는 동시에 방해가 되는 “스텝업 인증” 문제의 사례가 줄어들어 프런트 엔드에서 더 나은 사용자 경험을 제공할 수 있습니다.”
사용 가능한 수준 및 보안 요구 사항
FIDO Alliance는 현재 게시된 모든 사양에 대해 FIDO Certified Level 1(L1) Authenticator 및 FIDO Certified Level 2(L2) Authenticator의 두 가지 보안 수준에 대한 테스트 및 인증을 제공하고 있습니다. 전체 범위의 보안 요구 사항을 다루는 추가 수준은 나중에 도입될 예정입니다.
모든 FIDO 인증 L1 인증자는 FIDO 사양 준수를 위한 상호 운용성 테스트를 통과해야 합니다. 또한 FIDO 인증 요구 사항에 대한 설계 검토를 통과하여 인증자가 실행 중인 운영 체제에 대한 최상의 보안 사례를 사용하는지 확인해야 합니다.
FIDO L2 보안 인증 요구 사항에 따라 인증자는 앱 다운로드, 악성 웹 사이트 콘텐츠 또는 유사한 위협으로 인해 발생하는 운영 체제 손상으로부터 생체 인식 데이터 및 인증 자격 증명을 보호하기 위해 TEE(신뢰할 수 있는 실행 환경) 또는 SE(보안 요소)와 같은 제한된 운영 환경을 구현해야 합니다. FIDO 인증 L2 인증자는 FIDO 공인 제3자 보안 인증 연구소의 포괄적인 설계 검토도 통과해야 합니다. L1 인증과 마찬가지로 인증자는 상호 운용성 테스트를 통과해야 합니다.
소비자, 웹 서비스 제공업체 및 기술 제공업체에 대한 혜택
강력한 인증을 위한 FIDO 사양은 공개 키 암호화와 간단한 사용자 경험을 통합하여 전 세계가 암호에 대한 의존도를 줄일 수 있도록 지원합니다. 개인 키가 장치에 저장되고 외부로 유출되지 않는 공개 키 암호화를 사용하면 FIDO 자격 증명이 암호 자격 증명에 대한 가장 일반적인 공격 형태인 피싱과 같은 확장 가능한 공격에 취약하지 않습니다. 따라서 모든 FIDO 인증 구현은 기본적으로 암호 기반 시스템보다 더 안전합니다.
FIDO 인증자 인증 수준은 인증자가 암호화 키 “비밀”(경우에 따라 생체 인식 정보)을 안전하게 유지하고 개인 정보 보호 원칙이 충족되는지 확인함으로써 강력한 보안을 더욱 강화합니다.
강력한 인증을 위해 FIDO 자격 증명을 수락하는 웹 서비스 공급자는 소비자가 사용하는 FIDO 인증자에 대한 요구 사항을 쉽게 평가하고, 요구 사항을 설정하고, 보증 수준을 높일 수 있는 확장된 프로그램의 이점을 누릴 수 있습니다. 시장에 FIDO 인증자를 보유한 기술 제공업체는 자사의 구현이 서비스 제공업체의 요구 사항을 충족하고 시장에서 제품을 향상시킨다는 확신을 가지고 보고합니다. 오늘날 Aetna, Facebook, Google, eBay 및 Bank of America를 포함한 서비스 제공업체는 FIDO 인증의 이점을 누리고 있습니다.
새로 인증된 회사, 공인된 실험실 및 추가 리소스
오늘 발표된 L1 및 L2 인증 획득 기관은 다음과 같습니다.
FIDO 인증 L1 인증자: AuthenTrend Technology Inc.; 캔버스바이오; i-Sprint Innovations Pte Ltd; 픽셀핀 주식회사; 샤프 코퍼레이션; 디지털 텔레비전 Co., Ltd.의 심천 국립 공학 연구소
FIDO 인증 L2 인증자: Feitian Technologies Co., Ltd.
L2 인증을 수행할 수 있는 인증을 받은 연구소는 다음과 같습니다: Applus+ 연구소; 베이징 Unionpay 카드 기술 Co., 주식 회사; 브라이트사이트 BV; DPLS 연구실; 한국정보통신기술협회(TTA); 및 UL Verification Services Inc. FIDO Alliance는 현재 인증을 원하는 추가 실험실에 대한 신청서를 접수하고 있습니다. 프로세스를 보려면 https://fidoalliance.org/certification/accredited-security-laboratories/ 를 방문하십시오.
FIDO Authenticator 인증 수준, 비용에 대해 자세히 알아보고 인증을 위해 제품을 제출하려면 https://fidoalliance.org/certification/authenticator-certification-levels/ 를 방문하십시오.
FIDO Alliance, FIDO 사양 및 FIDO 인증 제품에 대한 자세한 내용은 https://fidoalliance.org 참조하십시오.
FIDO 얼라이언스 소개
FIDO(Fast IDentity Online) Alliance(www.fidoalliance.org)는 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결하기 위해 2012년 7월에 결성되었습니다. FIDO 얼라이언스는 비밀번호에 대한 의존도를 낮추는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 세트를 정의하는 더 간단하고 강력한 인증 표준을 통해 인증의 본질을 바꾸고 있습니다. FIDO 인증은 더 강력하고, 비공개이며, 온라인 서비스에 인증할 때 사용하기 쉽습니다.
접촉: