데이비드 터너(David Turner), FIDO Alliance 표준 개발 담당 이사

오늘 Google은 FIDO2를 구성하는 두 가지 핵심 FIDO 프로토콜인 CTAP(Client To Authenticator ) v2.1 및 WebAuthn Level 2에 대한 개선 사항을 발표합니다. 두 가지 모두 특히 엔터프라이즈 사용자를 위해 FIDO의 기능을 확장하고 더 복잡한 애플리케이션 사용 사례를 지원하는 데 있어 상당한 발전입니다. 이러한 개선 사항은 전 세계적으로 팬데믹과 원격 근무가 계속됨에 따라 FIDO 방법에 대한 수요와 채택률이 증가함에 따라 적절한 시기에 이루어졌습니다.

FIDO2 WebAuthn 프로토콜은 브라우저 세션 내에서 인증을 사용 설정하는 방법을 설명하는 API(애플리케이션 프로그래밍 인터페이스) 집합입니다. 레벨 2는 W3C 조직에서 유지 관리하는 최신 버전의 표준이며 4월에 릴리스되었습니다. 이 표준을 사용하면 FIDO 인증을 사용하는 웹 애플리케이션을 더 쉽게 작성할 수 있으며, FIDO 인증은 현재 5개의 주요 엔드포인트 운영 체제(Windows, MacOS, Linux, Android, ChromeOS 및 iOS)에서 지원됩니다.

오늘 발표하는 6가지 주요 개선 사항은 다음과 같습니다.

Enterprise 증명

오늘 발표는 장치 및 사용자의 엔터프라이즈 관리에 대한 지원을 강화합니다. CTAP 및 WebAuthn 프로토콜에는 기업이 등록 프로세스 중에 특정 사용자 ID 데이터를 더 쉽게 추가할 수 있는 기능이 추가되어 기업 관리자가 키 배포 및 사용을 더 쉽게 추적할 수 있습니다. 이러한 기능은 일부 개인 사용자 정보(어쨌든 고용주에게 누설했을 정보)를 노출할 수 있기 때문에 소비자의 인증자는 이 기능을 직접 사용할 수 없습니다. 대신, 인증자는 기업 자체에서 이러한 기업 증명을 사용하여 사전 프로그래밍해야 합니다(자격 증명 등록 전).

교차 출처 iFrame 지원

이 기능을 사용하면 브라우저의 팝업 창 내에서 웹 기반 전자 상거래 거래를 완료할 수 있으며, 이는 잠재적인 메시지 가로채기(man-in-the-middle) 및 브라우저 메시지 가로채기(man-in-the-browser) 공격 시나리오를 보호하기 위한 방법으로 이전 FIDO 버전에서 금지된 기능입니다. 새로운 표준은 원래 공급업체, 사용자의 은행 계좌, 신용 카드 발급사 등과 같은 여러 도메인에서 가져온 데이터를 공개하지 않고 이러한 거래를 수행할 수 있는 매우 안전하고 암호화된 방법을 만듭니다. 또한 사용자가 대역폭이 제한된 상황(예: Bluetooth 또는 불량한 Wi-Fi 신호를 통해)을 통해 연결하는 상황에서 많은 네트워크 트래픽과 대기 시간 지연 없이 인증 워크플로를 계속 진행하는 데 도움이 됩니다.

Apple Attestations에 대한 지원

FIDO Alliance 는 지난 18개월 동안 Apple 을 참여하게 된 것을 기쁘게 생각합니다. 이 기능은 WebAuthn 프로토콜을 사용하여 기기에서 증명을 수행하는 Apple의 방법에 대한 지원을 추가합니다.

더 나은 생체 인식 관리

CTAP v2.1 추가 기능에는 사용자가 여러 지문 및 기타 생체 마커를 등록할 수 있도록 더 나은 생체 인식 등록 및 관리 기능이 포함되어 있습니다. 또한 기업은 최소 PIN 길이를 설정할 수 있습니다. 더 많은 모바일 장치에 얼굴 및 지문 인식 기능이 포함됨에 따라 FIDO는 최신 인증 기술을 최신 상태로 유지할 수 있습니다.

큰 Blob 지원

중앙 집중식 인증 서비스를 실행하는 대신 이 기능에는 암호화된 SSH 연결 사용과 같은 다른 인증 시나리오에 필요할 수 있는 인증서와 같은 항목을 저장하는 방법이 포함되어 있습니다.

주민 자격 증명 개선

이제 검색 가능한 자격 증명이라고 하는 이 자격 증명을 사용하면 암호 없는 워크플로에서 사용자를 다시 인증할 수 있습니다. 인증 대화 상자는 기존 자격 증명을 자동으로 찾아 적용하고 사용자 확인을 요청하므로 FIDO를 더 쉽게 사용할 수 있습니다.

항상 사용자 확인 필요

이 기능을 사용하면 사용자가 Relying Party와 독립적인 사용자 확인 양식을 통해 인증자의 자격 증명을 보호할 수 있습니다. 플랫폼 인증자 및 기능이 활성화된 기타 인증자는 항상 사용자 확인을 수행합니다. US FIPS 140-3과 같은 일부 인증 프로그램에서는 인증자가 인증 없이 서명 작업을 수행하는 것을 금지합니다.


More

FIDO U2F v1.2 소개: 변경 사항 개요

유리 아커만(Yuriy Ackermann) 시니어 FIDO Alliance 인증 엔지니어 FIDO Alliance는 FIDO U2F 버전 1.2 사양의…

자세히 보기 →

FIDO TechNotes: FIDO U2F v1.2 자세히 살펴보기

유리 아커만(Yuriy Ackermann) 시니어 FIDO Alliance 인증 엔지니어 FIDO Alliance는 FIDO U2F 버전 1.2 사양의…

자세히 보기 →

의료 보안의 표준 설정: Aetna, FIDO 및 행동 인증 출시

브렛 맥도웰(Brett McDowell), FIDO 얼라이언스 전무이사 지난 주, Aetna의 최고 보안 책임자 Jim Routh는 월…

자세히 보기 →