작성자: 작성자: FIDO 직원
암호는 어디에나 있으며 기업과 전자 상거래 조직 모두 대부분의 사람들만큼 고통을 느낍니다.
3월 29일에 열린 Authenticate Virtual Summit: Authentication in Financial Services and Commerce에서 업계 전문가와 실무자들은 FIDO Fit for Enterprise and Customer Sign-ins에 대해 간략히 설명했습니다. 반나절 동안 진행된 행사 내내 패스키에 대한 주제가 주요 주제였으며, 연사들은 패스키의 작동 방식, 패스키가 어디에 적합한지, 그리고 전 세계가 레거시 암호와 덜 안전한 다단계 인증에서 벗어나는 데 왜 중요한지를 간략하게 설명했습니다.
FIDO Alliance의 전무 이사 겸 CMO인 Andrew Shikiar는 패스키가 기업 및 상거래 사용자에게 제공할 수 있는 많은 긍정적인 이점에 대한 몇 가지 통찰력으로 이벤트를 시작했습니다. 이러한 이점에는 사용자가 더 높은 수준의 만족도로 더 빠르게 온라인에 접속할 수 있도록 돕는 것이 포함됩니다. 패스키는 또한 전자 상거래 공급업체의 수익을 개선하는 데 도움이 될 수 있습니다.
Shikiar는 “전자 상거래 공급업체라면 장바구니 포기율을 10%라도 줄일 수 있다고 상상해 보십시오. “우리 데이터에 따르면 지난 6개월 동안 구매를 포기해야 했던 소비자의 50%가 비밀번호를 잊어버려서 구매를 포기했으며 이는 엄청난 기회 비용입니다.”
FIDO 인증은 10년 넘게 누구나 사용할 수 있었지만 Shikiar는 몇 가지 채택 문제가 있었다고 지적했습니다. 패스키는 부분적으로 이러한 채택 문제 중 일부에 대한 솔루션입니다. 패스키를 사용하면 더 쉽게 알아볼 수 있는 공통 용어 집합이 있으며 이 기술은 마찰을 줄이는 것을 목표로 하는 사용자에게 친숙한 흐름을 제공합니다.
기업에서 Shikiar는 패스키가 BYOD [Bring Your Own Device] 인증과 같은 작업에 매우 적합하며 직원들이 휴대폰의 앱으로 로그인할 수 있도록 한다고 말했습니다.
Shikiar는 “이것은 예외가 아닌 표준이 되고 있으며 패스키는 이러한 환경에 매우 자연스럽게 적합합니다”라고 말했습니다.
2023년 인증 상태
실수하지 마십시오, 비밀번호에는 많은 문제가 있습니다. 암호에 대한 논쟁에 몇 가지 메트릭을 추가하기 위해 HYPR의 CMO인 Jay Roxe는 회사의 2023년 암호 없는 보안 현황 보고서에서 몇 가지 통찰력을 제공했습니다.
Roxe는 HYPR이 보고서를 위해 인터뷰한 5개 조직 중 3개 조직이 지난 한 해 동안 인증 관련 침해를 겪었다는 사실이 가장 인상 깊었다고 말했습니다. 그는 이들 조직이 12개월 기준으로 이러한 침해와 관련된 비용으로 거의 300만 달러를 지출했다고 덧붙였습니다. 금융 서비스는 가장 많은 공격을 받은 업종으로, 금융 서비스 조직의 81%가 인증과 관련된 공격 또는 침해를 기록했습니다.
HYPR 보고서는 또한 조직이 강력한 인증 암호 없는 접근 방식을 배포하려는 이유를 알아보려고 시도했습니다. Roxe는 좋은 사용자 인터페이스와 흐름을 갖추는 것이 중요하며, 그렇지 않으면 기술이 채택되지 않을 것이라고 강조했습니다. 실제로 보고서에 따르면 조직이 암호 없는 방식을 채택하려는 가장 큰 이유는 사용자 경험을 개선하기 위해서입니다.
Roxe는 “사용자 경험을 제대로 구현하지 않는 한 근본적으로 지금보다 더 나은 상황은 없을 것”이라고 말했습니다.
패스키 101
이벤트에서 가장 인터랙티브한 세션 중 하나는 패스키 작동 방식의 기본 사항에 대한 세션으로, FIDO Alliance의 마케팅 수석 이사인 Megan Shamas는 세션이 끝날 무렵 참여한 청중의 질문을 처리하느라 매우 바빴습니다.
이 세션은 실제로 Microsoft의 ID 표준 설계자인 Tim Cappalli가 FIDO 표준의 역사적 경로를 간략하게 설명하는 것으로 시작되었습니다. 2014년 U2F 사양의 데뷔, 2017년 FIDO2, 2019년 WebAuthn, 그리고 작년의 패스키 등장 등 큰 이정표가 세웠습니다.
“정말 긴 여정이었어요.” 카팔리가 말했다. “우리는 지난 2-3년 동안 사람들이 암호를 넘어서도록 하는 마지막 단계를 향해 나아가고 있다고 생각합니다.”
Cappalli는 패스키의 작동 방식과 이 접근 방식의 주요 이점에 대해 설명했습니다. 그는 패스키가 근본적으로 몇 가지 새로운 속성을 가진 FIDO 자격 증명이라고 설명했습니다. Cappalli가 강조한 속성은 다음과 같습니다.
- 자동 완성을 탭합니다. 자동 완성을 사용하면 오늘날 사용자가 암호 관리자에서 경험하는 것과 마찬가지로 암호 키를 기존 웹 사이트의 인증 흐름에 자동으로 삽입할 수 있습니다.
- 장치 간 인증. 자격 증명이 단일 장치에 엄격하게 테더링되는 대신, 패스키를 사용하면 자격 증명이 환경 전반에 걸쳐 지속될 수 있으므로 예를 들어 전화기가 다른 장치 또는 에코시스템을 부트스트랩할 수 있습니다.
대규모 FIDO 채택 지원
PayPal, Intuit 및 eBay에서 업무를 주도한 Marcio Mello만큼 FIDO를 대규모로 배포한 경험이 많은 전문가는 거의 없습니다.
Mello는 조직이 FIDO의 강력한 인증을 지원하기 위해 취할 수 있는 단계와 취해야 하는 단계를 매우 자세하게 설명했습니다. 그의 견해에 따르면, 그 이점은 명백하다.
Mello는 “가능한 한 빨리 eBay에서 WebAuthn 배포를 시작했고 거의 즉시 이점을 확인했습니다.
Mello의 경우 패스키는 소비자 마찰을 줄이고 대규모로 채택할 수 있는 접근 방식이기 때문에 다음 단계로 크게 발전한 것입니다. 근본적으로 암호 키가 약속하는 사용 편의성은 말 그대로 핵심입니다.
그는 “소비자는 암호를 보고 사용하기를 기대한다”고 말했다. “예, 모두가 피곤하지만 담배를 피우는 것과 같습니다.대부분의 흡연자는 끊고 싶지만 할 수 없습니다., 그것이 나쁘다는 것을 알고 있지만 습관 변화를 이끌어 낼 수있는 동기 부여와 매우 낮은 수준의 능력이 필요합니다.”
FIDO와 제로 트러스트
보안 세계에서 제로 트러스트는 위험을 제한하기 위해 사용자와 엔터티를 지속적으로 검증해야 하는 접근 방식을 옹호하는 점점 더 일반적인 개념입니다.
비욘드 아이덴티티(Beyond Identity)의 최고전략책임자(CSO)인 커트 존슨(Kurt Johnson)은 FIDO 인증과 제로 트러스트 사이에는 분명한 교차점이 있다고 말합니다. 결국 제로 트러스트의 핵심 기반은 사용자를 지속적으로 인증해야 한다는 것이며, 조직에서 강력한 인증을 사용하지 않는다면 이는 취약한 링크입니다.
Johnson은 제로 트러스트를 사용하면 사용자 ID에 대한 높은 수준의 신뢰를 평가하고 설정할 필요가 있다고 말했습니다. 이는 암호를 통해 효과적으로 수행할 수 없으며 FIDO 인증 인증이 필요한 경우 피싱할 수 없습니다.
Amazon의 고객 중심 추진 지원
Amazon은 세계에서 가장 큰 전자 상거래 사이트 중 하나를 운영하고 있으며 FIDO Alliance의 강력한 지지자이기도 합니다.
Amazon의 전 세계 소비자 기술 부문 수석 제품 관리자인 Yash Patodia는 그의 팀이 항상 사용성을 개선하기 위해 노력하고 있다고 말했습니다. 개선을 위한 노력 중 하나는 가능한 한 암호를 제거하려는 움직임이었습니다. 파토디아는 아마존이 자체 내부 보안을 위해 FIDO 보안 키를 사용하며 이는 잘 작동했다고 말했다.
그는 보안 키가 아마존의 내부 요구 사항에는 효과가 있었지만 소비자가 채택하기 어려울 수 있다고 지적했습니다. 이것이 그가 패스키에 특히 열광하는 많은 이유 중 하나입니다.
파토디아는 “비밀번호, OTP(일회용 비밀번호) 및 보안 키 세계에서 큰 도약이라고 생각한다”고 말했다. “Passkey의 이점 중 일부는 고객이 매우 쉽게 사용할 수 있다는 것입니다.”
소비자가 더 쉽게 사용할 수 있도록 하는 것은 회사 사명의 핵심이기 때문에 Amazon 전반에 매우 중요합니다.
파토디아는 “아마존에는 고객 집착이라는 용어가 많이 사용된다”고 말했다. “그리고 이것은 고객이 원하는 것을 매우 쉽게 할 수 있도록 하는 고객 중심의 제품이라는 점에서 우리에게 완벽하게 맞습니다.”
PNC BANK는 FIDO로 사용자를 보호합니다.
PNC Bank의 CISO인 Susan Koski는 비밀번호의 문제점을 너무나 잘 알고 있기 때문에 FIDO의 강력한 지지자입니다.
그녀는 범죄자들이 계정을 탈취하기 위해 사용자 비밀번호를 노리고 있다고 지적했습니다. 그녀가 제한하기 위해 노력하는 위험 중에는 암호와 같은 피싱 가능한 자격 증명의 위험이 있습니다.
Koski는 “우리는 피싱 가능한 자격 증명을 줄이고 싶지만 고객이 서비스를 사용하고 싶어하는 방식으로 그렇게 하고 있습니다”라고 말했습니다. “보안과 고객 경험의 균형을 맞추는 것. 한동안 사이버 공간의 정보 보안에 대한 우리의 주문이었다고 생각합니다.”
Koski는 PNC Bank가 시간이 지남에 따라 암호 없는 방향으로 나아가는 데 도움이 되는 방법으로 FIDO를 채택했다고 말했습니다. 다양한 참가자의 지원과 참여를 통해 이익을 얻을 수 있는 표준화된 접근 방식을 취하는 것도 중요합니다.
“암호는 50년 이상 사용되어 왔으며 이제는 암호를 넘어설 때가 되었습니다”라고 Koski는 말했습니다.
암호에 대한 엔터프라이즈 지침이 곧 제공됩니다.
FIDO Alliance의 Megan Shamas는 패스키에 대한 더 많은 기업 지침을 제공하기 위해 진행 중인 일련의 노력에 대해 설명했습니다.
Shamas는 “우리는 기업에 나와 있는 대부분의 사용 사례가 되기를 희망하는 것을 다루는 5개의 논문 그룹을 출판할 것입니다”라고 말했습니다.
5개의 논문은 다음과 같습니다.
- 기업의 암호 키 소개
- 암호 전용 인증을 암호로 대체하는 방법
- 패스키로 비밀번호 + SMS OTP 인증을 대체하는 방법
- 보통 보증 사용을 위한 FIDO 인증
- 고수준 보안 보장 엔터프라이즈 FIDO 인증
Shamas는 “기업 요구 사항에 대한 대화에 참여하고 싶다면 당사에 연락하십시오”라고 말했습니다. “지금이야말로 엔터프라이즈 관점에서 패스키를 어떻게 바라보고 있는지에 대한 의견을 제시할 때입니다.”
등록자는 이제 온라인으로 이벤트 녹화를 볼 수 있습니다. 이벤트를 놓쳤지만 녹화본을 보려면 이벤트 웹 사이트를 방문하여 액세스를 등록하십시오.