앤드류 시키아르, FIDO 얼라이언스 전무이사 겸 CEO
2년도 채 되지 않은 동기화 기능이 도입 된 이후 패스키 채택이 빠르게 증가했으며, 세계에서 가장 많이 방문한 웹사이트 및 서비스 중 점점 더 많은 비율이 패스키를 제공하고 있습니다. 이러한 채택은 패스키가 진정한 비밀번호 대체를 제공하여 비밀번호 및 SMS OTP와 같은 기타 2단계 방법과 같은 지식 기반 인증의 잘 알려진 보안 및 사용자 경험 약점을 해결하는 데 도움이 되기 때문에 크게 이루어졌습니다.
신기술의 시장 채택은 자연스럽게 관련 정책 및 규제 지침보다 빠르게 진행되며, 사용자 인증에 대한 지침은 여전히 일반적으로 이러한 지침이 개발되었을 때의 암호 중심 세계관을 반영합니다. 그렇기 때문에 NIST가 정부 기관 사이에서 선두를 달리고 동기화된 패스키가 AAL2(인증 보증 수준 2)를 충족하는지 확인하는 새로운 추가 지침을 신속하게 제공하게 되어 기쁩니다.
이 새로운 NIST 지침은 다른 FIDO 인증자와 마찬가지로 패스키가 AAL2 및 AAL3 요구 사항을 모두 지원할 수 있음을 분명히 합니다. 동기화된 패스키는 AAL2일 수 있고 기기 바인딩 패스키는 AAL3일 수 있습니다.
결정적으로, NIST 보충 자료는 지침과 일치하는 방식으로 배포된 동기화된 패스키가 피싱 방지 기능이라고 언급합니다. 이는 해킹 관련 침해의 87%가 취약하거나 도난당한 비밀번호로 인해 발생하고 2022년 이후 크리덴셜 피싱이 967% 증가한 세상에서 분명한 이점이 있습니다.
‘보증의 확신’으로 패스키 채택 촉진
지금까지 패스키 채택률은 경이롭지만, 일부 조직, 특히 규제 산업 분야의 조직은 당연히 주요 정부 기관이 패스키와 같은 신기술을 대규모로 지원하기 전에 이를 수용하고 권장하기를 원합니다.
우리는 특히 NIST의 디지털 신원 지침이 다른 국가에서 자주 인용되는 글로벌 황금 표준인 NIST에 대해 전 세계 파트너와 유권자로부터 이러한 말을 들었습니다. 오늘 NIST의 보충 지침은 패스키 채택에 대한 중요한 장벽을 제거하기 위한 것이며, 이는 이제 더욱 가속화될 것입니다.
그러나 아직 해야 할 일이 남아 있습니다. 우리는 전 세계의 다른 기관과 긴밀히 협력하여 패스키와 피싱 방지 인증의 중요성에 대해 교육하고 있으며, 궁극적으로 모든 조직이 어디에 있든 사용자와 고객에게 보다 안전하고 편리한 인증을 자신 있게 제공할 수 있도록 레거시 정책, 지침 및 규정을 업데이트하도록 권장하고 있습니다.
비즈니스 모범 사례에 NIST 지침 구축
ID 및 인증 설계자는 광범위한 디지털 ID 전략의 일부로 NIST의 보충 지침을 고려해야 합니다. 예를 들어, 과거에 암호 + OTP가 사용되었던 모든 사용 사례의 경우 새로운 NIST 지침에 따라 배포된 동기화된 암호 키는 AAL2 요구 사항을 충족하기에 충분할 뿐만 아니라 더 효과적입니다. 대부분의 배포 시나리오에서 동기화된 패스키는 거의 모든 인증 패턴이 피싱에 취약한 오늘날의 인증 패턴에 비해 보안 및 UX를 크게 개선합니다.
조직에 특정 비즈니스, 규제 또는 기타 보안 요구 사항이 있는 경우 동기화된 암호 키를 기본 인증 방법, 두 번째 요소로 허용할지, 위험 엔진과 페어링할지 또는 장치 바인딩 키를 요구할지 선택할 수 있습니다. 오늘의 지침을 통해 아키텍트는 인증 계층에 대해 생각하지 않고 대신 비즈니스 요구 사항 및 관련 위협 모델에 집중할 수 있습니다. 그리고 오늘날의 주요 위협 모델인 피싱 및 소셜 엔지니어링은 패스키를 활용하여 직접 해결할 수 있습니다.
