패스키

Passkey
통과하다, 죽다, 명사하다

패스키는 FIDO 표준을 기반으로 하는 FIDO 인증 자격 증명으로, 사용자가 디바이스 잠금을 해제하는 데 사용하는 것과 동일한 프로세스(생체 인식, PIN 또는 패턴)를 사용하여 앱 및 웹사이트에 로그인할 수 있도록 합니다. Passkeys 웹 사이트 또는 애플리케이션의 사용자 계정에 연결된 FIDO 암호화 자격 증명입니다. 패스키를 사용하면 사용자는 더 이상 사용자 이름과 비밀번호 또는 추가 요소를 입력할 필요가 없습니다. 대신 사용자는 디바이스 잠금을 해제하는 데 사용하는 것과 동일한 프로세스(예: 생체 인식, PIN, 패턴)를 사용하여 로그인을 승인합니다.

passkey라는 단어는 일반 명사입니다. 암호를 참조하는 방식으로 생각하십시오. 문장을 시작하거나 제목에 사용할 때를 제외하고는 소문자로 작성해야 합니다. passkey(및 복수형 passkeys)라는 용어는 특정 플랫폼에 연결된 기능이 아닌 플랫폼 간 범용 용어입니다.

보안을 위한 설계

Verizon의 2024년 데이터 침해 조사 보고서에 따르면 피싱의 전반적인 보고율은 지난 몇 년 동안 증가하고 있습니다. 자격 증명 침해 및 취약성 악용도 보안 문제가 커지고 있습니다.

Passkeys 피싱을 방지하고 안전하게 설계되었습니다. 본질적으로 피싱, 크리덴셜 스터핑 및 기타 원격 공격과 같은 사이버 범죄자의 공격을 줄이는 데 도움이 됩니다. 암호 키를 사용하면 암호를 도용할 필요가 없으며 공격을 영속화하는 데 사용할 수 있는 로그인 데이터도 없습니다.

암호 키 접근 방식은 기존 인증 및 다단계 인증에 비해 향상된 보안 모델을 제공합니다. 더욱이 암호 키는 사람들이 더 쉽게 사용할 수 있으며 암호보다 20% 더 성공적인 로그인을 제공합니다. 자세한 내용은 Passkey 보안을 참조하십시오.

쉽고 빠른 로그인

FIDO 인증은 사용하기 쉽습니다. 개인과 조직은 패스키를 빠르게 채택하고 있습니다. FIDO Alliance가 의뢰한 최근 독립 설문 조사에 따르면 53%의 사람들이 하나 이상의 계정에서 패스키를 활성화했다고 답했으며, 22%는 가능한 모든 계정에서 패스키를 활성화했다고 했습니다.

Passkeys의 이점

암호 키에 대한 지원을 구현하는 조직은 암호 키 사용이 증가함에 따라 다음과 같은 이점을 볼 수 있습니다.

최종 사용자 환경을 위한 개선 사항

  • 더 높은 로그인 성공률
  • 로그인 시간 단축
  • 더 안전하고, 더 안전하고, 더 빠른 온라인 경험
  • 장치 간 및 에코시스템 가용성Cross-device and ecosystem availability

비즈니스 개선 사항

  • 더 높은 로그인 성공률, 더 높은 전환, 더 높은 반복 구매, 더 적은 다운타임
  • 피싱(phishing), 크리덴셜 스터핑(credential stuffing) 및 공격 표면(attack surface) 감소
  • 장바구니 포기율 감소
  • 계정 복구 중 암호 재설정의 필요성 감소
  • 고객 지원의 필요성 감소
  • 고객 충성도 및 유지율 향상

다음과 관련된 비용 절감:

  • SMS 문자 메시지와 같은 인증 방법에 대한 서비스 비용
  • 악의적인 행위자를 실시간으로 모니터링 및 방어
  • 기존 인증 솔루션의 지속적인 강화
  • 비밀번호 분실 및 계정 잠금으로 인한 계정 재설정

이러한 예에서 암호 키가 조직과 최종 사용자 모두에게 도움이 된다는 것을 알 수 있습니다.

최신 사용자 채택 추세를 볼 수 https://fidoalliance.org/content/research/

Passkeys 시작하기

FIDO는 패스키와 관련된 여러 리소스를 제공합니다. 다음은 암호 키를 탐색할 때 시작하고 암호 키에 대한 지원을 구현할 준비가 되었을 때 도움이 되는 몇 가지 위치입니다.

  • Passkey Central – 패스키 사용 방법에 대해 자세히 알아보려는 이해 관계자를 위한 공개 리소스입니다.
  • Use Cases 사용 사례 – 다양한 패스키 사용 사례에 대해 알아볼 수 있는 참조입니다.
  • 디자인 지침 – 암호 키의 소비자 사용 사례에 대한 디자인 패턴을 중심으로 하는 디자인 지침입니다.
  • Passkey Directory – 기업과 조직이 FIDO 표준을 활용하여 직원 및 고객에게 안전한 로그인을 제공하기 위해 암호 없는 인증을 만드는 방법을 알아봅니다.
  • Passkey 아이콘 가져오기 – 암호 아이콘은 사용자가 암호 없이 웹 사이트 또는 앱에 안전하고 쉽게 로그인할 수 있음을 나타냅니다.
  • Passkeys 설명 비디오 – 패스키를 시작하는 데 도움이 되는 2024 패스키 설명 비디오를 시청하세요.

오늘 passkeycentral.org 방문하십시오

Passkey 중심적인

Passkeys 자주 묻는 질문(FAQ)

Passkeys 암호를 대체합니다.

암호는 기억하고 입력할 수 있는 것이며, 암호 키는 장치에 저장된 비밀로, 사용자가 장치의 잠금을 해제하는 것과 동일한 방식(생체 인식, PIN, 패턴 등)으로 잠금을 해제합니다.

비밀번호와 달리 패스키는 피싱에 강하고 항상 강력하며 비밀이 공유되지 않도록 설계되어 있습니다.

Passkeys 앱 및 웹 사이트에 대한 계정 등록을 간소화하고, 사용하기 쉬우며, 사용자의 모든 장치뿐만 아니라 물리적으로 근접한 다른 장치에서도 작동합니다.

기술적 관점에서 패스키는 암호 없는 인증을 위한 FIDO 자격 증명입니다. Passkeys는 피싱 방지 로그인 보안과 향상된 사용자 경험을 위해 비밀번호를 암호화 키 쌍으로 대체합니다. 암호화 키는 사용자 인증을 위해 최종 사용자 장치(컴퓨터, 휴대폰 또는 보안 키)에서 사용됩니다. Passkeys 사용자의 디바이스 간에 안전하게 동기화되거나 특정 디바이스에 바인딩될 수 있습니다(device-bound passkeys).

사용자가 앱이나 웹사이트에 로그인하라는 요청을 받으면 사용자는 장치(휴대폰, 컴퓨터 또는 보안 키)의 잠금을 해제할 때 사용하는 것과 동일한 생체 인식 또는 PIN 또는 장치 내 비밀번호를 사용하여 로그인을 승인합니다. 앱이나 웹사이트에서 기존 사용자 이름과 비밀번호 대신 이 메커니즘을 사용할 수 있습니다.

일반적으로 FIDO2(WebAuthn 및 CTAP)라고 하는 동일한 표준을 활용하여 로그인을 위한 패스키로 FIDO를 배포합니다. WebAuthn 표준은 패스키를 관리하는 브라우저 API를 다룹니다.

‘패스키’라는 단어는 일반 명사이므로 ‘비밀번호’라고 부르는 것과 같은 방식으로 생각하면 됩니다. 문장을 시작할 때를 제외하고는 소문자로 써야 합니다.

‘패스키'(및 복수형 ‘패스키’)라는 용어는 특정 플랫폼에 국한된 기능이 아닌 크로스 플랫폼에서 일반적으로 사용되는 용어입니다.

설명이 필요한 경우 클라우드 서비스를 통해 사용자의 장치 간에 동기화되는 암호를 일반적으로 “synced passkeys”라고 하며, 단일 장치(UAF 앱의 장치 포함)를 벗어나지 않는 암호를 “device-bound passkeys”라고 합니다.

예. 현재 사용자 장치(휴대폰, 컴퓨터, 보안 키)가 수행하는 로컬 생체 인식 처리에는 아무런 변화가 없습니다. 생체 인식 정보 및 처리는 장치에 계속 남아 있으며 원격 서버로 전송되지 않고 서버는 생체 인식 확인이 성공했다는 확인만 확인합니다.

암호 키의 기본 사용 사례는 계정 인증의 첫 번째/기본 요소로 암호를 바꾸는 것입니다. 패스키는 피싱을 방지하고 사용하기 쉽기 때문에 비밀번호와 SMS OTP와 같은 레거시 다단계 인증 흐름을 대체할 수도 있습니다. 몇 가지 예를 들자면 온라인 결제 시나리오, ID 지갑 내, 자동차와 같은 패스키에 대한 다른 사용 사례가 있습니다.

비밀번호 재사용과 데이터베이스 침해가 만연하면서 수년 동안 비밀번호는 피싱 공격과 크리덴셜 스터핑 공격의 대상이 되어 왔습니다.

기본 요소인 비밀번호는 여러 가지 방법으로 근본적으로 취약하기 때문에 업계에서는 두 번째 요소를 추가하는 레이어링을 널리 채택하고 있습니다. 그러나 불행히도 일회용 비밀번호(OTP) 및 전화 승인과 같은 가장 인기 있는 형태의 2차 요소는 불편할 뿐만 아니라 여전히 피싱이 가능합니다.

Passkeys 단독으로 “비밀번호 + OTP” 또는 “비밀번호 + 전화 승인”의 조합보다 더 안전한 주요 요소입니다.

암호 키 공급자는 사용자의 암호 키를 만들고 관리할 책임이 있습니다. 패스키 제공자는 내장된 자격 증명 관리자(예: iCloud 키체인 또는 Google 비밀번호 관리자) 내에서 패스키가 저장되고 동기화되는 브라우저 또는 운영 체제 공급업체일 수도 있고, 서드파티 앱 또는 브라우저 확장 프로그램(예: 1Password 또는 Dashlane) 내에서 패스키가 저장되고 동기화되는 서드파티 제공업체일 수도 있습니다.

예. Passkey 동기화는 종단 간 암호화되며 암호 키 공급자는 강력한 계정 보안 보호 기능을 갖추고 있습니다.

FIDO Alliance가 가능한 한 많은 위치에서 암호를 대체하여 로그인을 더 쉽고 근본적으로 더 안전하게 만드는 임무를 달성하는 데 매우 중요합니다.

비밀번호를 대체한다는 것은 3차원에 걸쳐 비밀번호와 ‘경쟁’하는 것을 의미하기 때문입니다:

  • 속도: 비밀번호를 만들거나 사용하는 것보다 빨라야 합니다.
  • 편의성: 비밀번호를 사용하는 것보다 더 편리하지는 않더라도 최소한 동등하게 편리해야 합니다.
  • 보안: 피싱에 강해야 하며 앱/웹사이트/서비스별로 고유해야 합니다.

속도
패스키를 생성하면 사용자가 암호 복잡성 요구 사항을 준수할 필요가 없습니다. 생체 인증이나 PIN 코드 입력만으로 간편하게 등록할 수 있으며, 이후 패스키로 다시 로그인할 때는 비밀번호를 입력하는 것보다 더 빠른 생체 인증 또는 PIN 코드만 입력하면 됩니다.

편의
암호 대체의 유용성은 암호의 편리함과 경쟁해야 하며, 암호의 주요 사용성 이점 중 하나는 모든 장치에서 사용할 수 있다는 것입니다.

동기화는 동일한 암호 키 공급자를 사용하는 모든 사용자 장치에서 암호를 사용할 수 있음을 의미합니다. 또한 비밀번호와 마찬가지로 다른 디바이스에서 웹사이트를 방문할 때 자격증명 등록/생성 과정을 거칠 필요가 없으며, BLE(Bluetooth 저에너지)를 사용하여 물리적 근접성을 확인하는 FIDO Alliance 클라이언트-인증자 프로토콜(CTAP)의 개선을 통해 교차 디바이스 로그인이 지원됩니다.

암호화 키가 사용자의 컴퓨터나 모바일 디바이스에 바인딩되어 있는 경우, 사용자가 새 디바이스를 사용할 때마다 RP는 다른 인증 방법(일반적으로 비밀번호와 같은 지식 기반 자격증명)으로 돌아가야 합니다. 실제로 이는 새 장치에서 처음 로그인할 때 불편하고 피싱될 수 있음을 의미하는 경우가 많습니다.

Passkeys는 사용자가 필요할 때 사용자의 기기에서 사용할 수 있으므로 해당 기기에서 웹사이트에 처음 로그인할 때부터 이 문제를 해결합니다. 마지막으로, 사용자는 종종 암호를 잊어버리고 백업 이메일과 전화번호를 설정하지 않습니다. 패스키를 사용하면 사용자가 디바이스만 가지고 있으면 로그인할 수 있으므로 잊어버릴 염려가 없습니다. 패스키를 백업할 수 있으므로 분실로부터 더 잘 보호할 수 있습니다.

안전
FIDO 자격 증명인 Passkeys 사용하면 신뢰 당사자(피싱, 자격 증명 스터핑, 암호 데이터베이스 침해 등의 지속적인 위협에 직면)가 암호를 FIDO 자격 증명으로 바꿀 수 있습니다. FIDO는 신뢰 당사자에게 비대칭 암호화를 기반으로 하는 챌린지 응답 인증 프로토콜을 제공합니다. 즉, 피싱을 방지하고 서버의 민감한 비밀을 제거하여 보안을 크게 향상시킬 수 있습니다.

피싱(Phishing) 저항은 FIDO 인증의 핵심 설계 목표입니다. 이 목표는 암호화 키가 하드웨어에 바인딩되어 있는지 여부와 관계없이 로그인 시 달성할 수 있습니다. 또한, 해커에게 매력적인 표적이 될 수 있는 비밀번호 데이터베이스의 침해는 더 이상 훔칠 비밀번호가 없기 때문에 위협이 되지 않습니다.

RP는 내장된 WebAuthn API(웹사이트용) 및 플랫폼 FIDO API(앱용)를 사용하여 로그인을 위한 패스키를 실행합니다.

Passkeys 모든 주요 운영 체제, 인터넷 브라우저 및 타사 패스키 공급자에 의해 지원됩니다.

사용자가 자신의 기기에서 패스키를 생성하면 동일한 사용자의 계정에 로그인된 동일한 패스키 공급자를 사용하여 사용자의 다른 모든 기기와 동기화됩니다. 따라서 한 장치에서 만든 암호 키를 모든 장치에서 사용할 수 있게 됩니다.

특히 사용자가 새 디바이스를 가져와서 암호 키 공급자로 설정하면 사용자의 암호 키가 동기화되고 새 디바이스에서 로그인할 수 있습니다.

FIDO는 이 사용 사례에 대한 교차 디바이스 인증을 정의했습니다. 교차 장치 인증을 사용하면 사용자가 QR 코드를 사용하여 장치로 로그인할 수 있습니다.

FIDO CDA(Cross-Device Authentication)를 사용하면 한 기기의 암호 키를 사용하여 다른 기기에 로그인할 수 있습니다. 예를 들어 휴대폰을 랩톱에 연결하여 휴대폰의 암호 키를 사용하여 랩톱에서 서비스에 로그인할 수 있습니다.

CDA는 “하이브리드” 전송을 사용하는 FIDO CTAP(Authenticator Protocol)에 의해 구동됩니다. CTAP는 신뢰 당사자가 아닌 인증자 및 클라이언트 플랫폼에 의해 구현됩니다.

CTAP 2.2를 활용하는 FIDO 교차 장치 인증 흐름은 Bluetooth 저에너지(BLE)를 사용하여 물리적 근접성을 확인하지만, 실제 로그인 보안을 위해 Bluetooth 보안 속성에 의존하지 않습니다. ‘하이브리드’로 명명된 CTAP 전송은 표준 Bluetooth 보안 속성 위에 표준 암호화 기술을 추가로 사용하여 데이터를 보호합니다.

Passkeys 인증을 위해 여러 요소를 활용합니다: 패스키는 사용자의 장치(사용자가 “가지고 있는”것)에 보관되며, RP가 사용자 인증을 요청하는 경우 생체 인식 또는 PIN(사용자가 “있는” 또는 “알고 있는”)이 있는 사용자만 행사할 수 있습니다.

RP는 암호 키 공급자 계정의 단일 요소(예: 암호)를 통해 공격자가 암호 키를 사용할 수 있다고 우려할 수 있습니다. 그러나 실제로는 그렇지 않습니다: 패스키 공급자는 사용자를 인증하고 디바이스에 패스키를 복원할 때 사용자의 비밀번호 이외의 여러 신호(일부는 사용자에게 보이고, 일부는 표시되지 않음)를 고려합니다.

패스키를 공식적으로 나열된 다중 인증 수단 중 하나로 인정하려면 아직 일부 규제 제도가 발전해야 한다는 점에 유의하세요. 이 분야는 FIDO Alliance가 적극적으로 참여하고 있는 분야입니다.

사용자가 Google Password Manager 또는 Bitwarden과 같은 크로스 플랫폼 암호 키 공급자를 사용하는 경우 새 장치에서 공급자를 구성하면 해당 장치에서 암호 키를 사용할 수 있습니다.

사용자가 FIDO 보안 키에 패스키를 저장하면 새 기기에서 안전하게 인증하는 데 사용할 수 있습니다.

사용자가 플랫폼 간 암호 키 공급자를 사용하지 않고 여전히 이전 장치를 소유하고 있는 경우 사용자는 이전 장치(예: iOS 장치)의 암호 키를 사용하여 새 장치(예: Android 장치)의 계정에 사용자를 로그인할 수 있습니다. 로그인하면 사용자는 새 장치의 공급자에서 암호 키를 만들 수 있습니다.

다른 경우에는 RP가 새 디바이스(다른 공급업체의 것일 수 있음)에서 로그인을 정상적인 계정 복구 상황으로 처리하고 사용자를 로그인하기 위한 적절한 단계를 수행할 수 있습니다.

예, 현재 FIDO 보안 키는 device-bound passkeys 수용할 수 있으며, FIDO2가 사용자 확인과 함께 검색 가능한 자격 증명을 통해 비밀번호 없는 로그인에 대한 지원을 추가한 2019년부터 이를 수용했습니다. 모든 클라이언트 플랫폼과 브라우저에는 이미 보안 키 실행을 위한 기본 지원이 있습니다. 보안 키 공급업체는 향후 패스키 동기화를 지원하도록 선택할 수 있습니다.

모든 패스키가 FIDO 자격증명이기 때문에 FIDO를 지원하는 웹 서비스는 모든 패스키 구현을 지원할 수 있습니다.

특정 규정 준수 요구사항이 있는 특정 환경에서는 사용 가능한 암호화 키 사본이 하나만 있어야 할 수도 있습니다. FIDO 보안 키의 Passkeys는 이러한 사용 사례를 위한 훌륭한 솔루션입니다.

또한 사용자가 패스키가 동기화된 다른 모든 모바일 및 기타 디바이스에 액세스할 수 없는 시나리오에서 이러한 FIDO 보안 키는 복구 자격 증명 역할을 할 수 있습니다.