작성자: FIDO 직원
패스키는 더 간단하고 강력한 인증을 가능하게 할 수 있는 가능성을 가지고 있습니다. 그러나 먼저 조직, 정부 및 개인이 기술을 채택해야 하며 그들 중 일부는 의문을 가지고 있습니다.
3월 13일에 열린 Authenticate Virtual Summit: Demystifying Passkey Imimplification에서 FIDO Alliance, Intercede, IDEMIA, Yubico, Dashlane, 1Password의 연사와 Amazon 및 Target을 포함한 구현업체가 패스키 구현 및 작업 경험에 대해 발표했습니다. 가상 서밋에서는 FIDO 얼라이언스의 패스키에 대한 기술적 관점과 기업, 소비자 인증 및 미국 정부의 패스키 사용 사례를 다루었습니다. 그 과정에서 참석자들은 많은 질문을 했고 통찰력 있는 답변을 많이 얻었습니다.
근본적으로 가상 서밋 전반에 걸쳐 반향을 불러일으킨 핵심 주제는 패스키가 비밀번호를 대체할 수 있다는 것이었고, 이는 충분히 빨리 올 수 없는 대체품이라는 것입니다.
FIDO 얼라이언스의 표준 개발 수석 이사인 데이비드 터너는 “비밀번호는 여전히 로그온의 주요 방법이며 여전히 소셜 엔지니어링을 통해 쉽게 피싱되며 사용 및 유지 관리가 매우 어려운 경향이 있습니다”라고 말했습니다. “그 결과는 현실이며 그 영향은 전 세계에 실제적입니다.”
패스키 101
세션 중에 Turner는 패스키가 무엇이며 어떻게 작동하는지에 대한 높은 수준의 개요를 제공했습니다.
패스키는 기존 FIDO 인증 프로토콜을 기반으로 구축되며 사용자 경험을 단순화합니다.
이제 패스키 공급자를 사용하여 장치 간에 패스키를 동기화할 수 있으므로 각 장치에서 별도의 자격 증명이 필요하지 않습니다. 패스키는 또한 교차 장치 인증과 같은 새로운 기능을 가능하게 합니다. Turner는 한 장치에서 스캔한 QR 코드가 근처의 다른 장치에 저장된 자격 증명에 안전하게 연결되는 방법을 시연했습니다.
동기화된 패스키 외에도 보안 키와 같은 기술을 사용하여 필요한 자격 증명을 제공하는 디바이스 바인딩 패스키도 있습니다.
패스키의 상태
패스키 채택의 현재와 미래 상태는 다음에서 다루는 주제였습니다.
앤드류 시키아르, FIDO 얼라이언스의 전무이사 겸 CEO.
현재 수십억 명의 사용자를 대표하는 주요 플랫폼 공급업체인 Microsoft, Apple, Google을 포함하여 2024년 현 시점에서 패스키를 지원하는 수백 개의 서비스가 있습니다.
그는 “서비스 제공업체이고 패스키를 배포하려는 경우 소비자가 이를 활용할 수 있다는 높은 확신을 가지고 그렇게 할 수 있습니다”라고 말했습니다.
FIDO 얼라이언스는 가상 서밋의 핵심 부분인 모범 사례와 성공 사례를 공유함으로써 향후 몇 년 동안 패스키 지원을 추진하는 것을 목표로 합니다.
사용성은 광범위한 채택의 핵심 요소로 강조되었습니다.
“유용성이 가장 중요합니다. 그것은 당신이 하는 일의 전면과 중심에 있어야 합니다.” Shikiar가 말했습니다.
FIDO 얼라이언스는 기업이 사용자 친화적인 방식으로 패스키를 구현할 수 있도록 사용자 경험 가이드라인과 디자인 시스템을 발표했습니다. 향후 지침에서는 추가 사용 사례를 다룰 예정입니다.
Shikiar는 패스키가 비밀번호 보안을 향상시키기 위해 새로 추가되는 것이 아니라고 강조했습니다. 그의 기대는 패스키가 기존 인증 방법을 강화하려는 시도가 아니라 진정한 비밀번호 대체품으로 간주될 것이라는 것입니다. 그는 근본적인 문제는 비밀번호이며, 단순히 비밀번호 위에 추가 보안 계층을 추가하는 것이 아니라 비밀번호를 교체하는 것이 목표라고 강조했습니다. Shikiar는 사람들이 다단계 인증 요소에 대해 생각하지 않고 대신 피싱 방지 ID를 활성화하는 것에 대해 생각하기를 원합니다.
패스키가 Target에서 Target에 있습니다.
패스키는 이미 거대 소매업체인 Target에서 사용되고 있어 보안을 개선하고 직원 인증을 최적화하는 데 도움이 됩니다.
Target의 사이버 보안 수석 이사인 Tom Sheffield는 회사가 2018년부터 인력 인증에 FIDO를 활용해 왔으며 2021년에 이를 기본 인증자로 채택했다고 말했습니다.
Target이 플랫폼 전체에서 패스키 지원을 보다 쉽게 활성화할 수 있는 방법 중 하나는 SSO(Single Sign On)를 사용하는 것입니다.
Sheffield는 “우리는 웹 애플리케이션 제품군 전반에 걸쳐 매우 강력한 SSO 환경을 갖추고 있습니다”라고 말했습니다. “그래서 우리는 FIDO를 SSO 플랫폼에 통합하는 것이 매우 쉬워졌고, 따라서 SSO 뒤에 있는 모든 애플리케이션이 자동으로 이점을 누릴 수 있었습니다.”
Target이 사용자에게 패스키를 신속하게 채택하도록 유도할 수 있었던 방법에 대해 Sheffield는 이 옵션이 이메일로 사용자에게 무엇을 해야 하는지 설명하려고 하기보다는 로그인 흐름에서 사용자에게 전달되었다고 말했습니다.
전반적으로 셰필드는 오늘날 조직이 다단계 인증(MFA)을 위해 OTP(일회용 비밀번호)를 사용하고 있다면 모든 형태의 FIDO가 훨씬 더 나은 사용자 경험과 보안을 제공할 것이라고 강조했습니다.
그는 “제가 이 분야에서 25년 동안 참여한 보안 프로그램에서 보안과 사용자 경험을 동시에 제공하는 보안 프로그램은 많지 않았습니다”라고 말했습니다. “따라서 FIDO 이외의 다른 것을 사용하는 경우 게임을 향상시키고 사용자에게 영웅이 될 수 있는 훌륭한 경험을 제공할 수 있는 좋은 기회가 있습니다.”
Amazon에서 패스키로 10억 명의 고객 인증
오늘날 패스키를 지원하는 가장 큰 소비자 대면 웹사이트 중에는 온라인 거대 기업인 Amazon이 있습니다.
Amazon의 제품 관리 수석 관리자인 Yash Patodia는 전 세계 수억 명의 소비자에게 패스키가 어떻게 배포되었는지 자세히 설명했습니다. Patodia는 비밀번호가 악의적인 행위자가 상대적으로 해독하기 쉽다고 지적하면서 Amazon의 동기를 설명했습니다. 그는 패스키가 고객이 더 나은 사용자 경험으로 다른 방법보다 더 쉽게 인증할 수 있도록 도와준다고 언급했습니다.
Amazon은 웹, iOS 및 Android 플랫폼에 대해 서로 다른 API를 사용하여 패스키를 구현했습니다. 이제 모든 기기에서 사용할 수 있는 Amazon의 목표는 내년에 고객층 사이에서 인지도를 높이고 패스키 채택을 늘리는 것입니다. 그의 견해에 따르면 패스키는 대량 채택에 매우 적합하며 Amazon 사용자 기반의 초기 징후는 매우 고무적입니다.
그는 “고객 기반이 큰 소비자 대면 회사라면 반드시 이 옵션을 살펴보십시오”라고 말했습니다.
미국 정부의 FIDO 및 패스키에 대한 고려 사항
미국 정부는 이미 많은 직원이 PIV(개인 신원 확인) 스마트 카드 자격 증명을 사용하고 있는 강력한 인증의 세계에 낯설지 않습니다.
FIDO 얼라이언스의 정부 배포 실무 그룹(GDWG)에서 활동하고 있는 IDEMIA의 테레사 우와 유비코의 조 스칼론은 패스키가 PIV 자격 증명을 보완하고 제로 트러스트 보안 모델을 지원하는 방법에 대한 개요를 제공했습니다.
정부 기관이 피싱 방지 다단계 인증을 구현하기 위해 노력함에 따라 패스키는 일회용 비밀번호나 하드웨어 토큰보다 더 원활한 사용자 경험을 제공할 수 있는 옵션입니다.
Wu는 “우리는 PIV를 대체하기 위해 여기에 있는 것이 아니라 PIV가 보장되지 않는 곳에서 FIDO를 보완하고 사용하기 위해 여기에 있습니다”라고 말했습니다.
FIDO에 대한 기회 중 하나는 직무 기능으로 인해 PIV 카드를 받을 자격이 없는 연방 계약자 및 직원을 위한 것입니다. 현재 이러한 개인은 시스템 액세스를 위해 비밀번호에 의존합니다.
패스키 이식성 상태 개선 예정
사용자 경험의 중요한 측면은 사용자가 원하는 경우 패스키 공급자를 변경하고 한 공급자에서 다른 공급자로 이동할 수 있는 기능입니다.
Dashlane의 Rew Islam과 1Password의 Nick Steele에 따르면 기존 비밀번호 관리자와 레거시 비밀번호를 사용하면 자격 증명을 이동하는 프로세스가 특별히 효율적이거나 안전하지 않습니다. FIDO 얼라이언스 내의 자격 증명 공급자 특별 관심 그룹은 서로 다른 비밀번호/패스키 관리 애플리케이션 간에 비밀번호를 안전하게 포팅하기 위한 새로운 표준으로 이 상황을 해결하고자 합니다.
이 그룹은 하이브리드 공개 키 암호화를 사용하여 자격 증명을 안전하게 전송하는 새로운 자격 증명 교환 프로토콜을 개발하고 있습니다. 이 노력에는 자격 증명 정보에 대한 표준화된 데이터 형식 개발도 포함됩니다.
Steele은 “표준 자격 증명 형식을 사용하면 서로 다른 조직의 서로 다른 두 공급자 간에 자격 증명을 공유하는 상호 운용성이 가능해질 것입니다”라고 말했습니다.
자격 증명 교환을 위한 개념 증명 데모는 현재 5월 일본 오사카에서 열리는 FIDO 회원 총회에서 열릴 예정입니다. 이슬람은 이러한 노력이 공통의 목적을 위해 다양한 경쟁 공급업체를 하나로 모으는 FIDO의 힘에 대한 진정한 승리를 의미한다고 언급했습니다.
패스키에 대한 일반적인 질문
가상 서밋은 참석자들이 패스키에 대해 가장 시급한 질문을 하는 ‘무엇이든 물어보세요'(AMA) 세션으로 마무리되었습니다.
제기된 큰 질문 중에는 다음과 같은 질문이 있습니다.
조직은 보안 및 유용성 관점에서 동기화된 패스키 또는 디바이스 바인딩 패스키 선택을 어떻게 고려해야 할까요?
Turner는 가장 먼저 분명히 해야 할 것은 동기화된 패스키가 대부분의 사용 사례에서 정답일 수 있다는 것입니다. 그럼에도 불구하고 그는 FIDO가 사람들이 훨씬 더 높은 위험 프로필을 가지고 있는 일부 영역이 있다는 것을 인식하고 있으며, 이러한 경우 디바이스 바인딩 패스키가 추가 수준의 신뢰를 제공할 수 있다고 언급했습니다.
패스키가 트랜잭션 서명에 역할을 할 수 있나요?
탈레스의 페드로 마르티네즈는 예, 패스키를 사용하여 거래에 서명할 수 있다고 대답했습니다. 그는 FIDO 프로토콜의 장점은 챌린지의 서명을 기반으로 한다는 점이라고 설명했습니다. 따라서 디지털 서명이 필요한 거래와 관련된 데이터를 포함하도록 챌린지를 조정할 수 있습니다.
패스키는 언제 기본 인증 모드가 됩니까?
Shikiar는 모든 비밀번호가 사라질 것이라고 생각하지는 않지만 비밀번호 없는 미래에 희망을 갖고 있다고 말했습니다.
“정교한 위험 엔진과 이상 탐지기는 비밀번호를 수락하는 것에 대해 두 번 생각하지 않습니다”라고 그는 말했습니다. “그러나 패스키가 더욱 널리 보편화되고 기본값이 됨에 따라 갑자기 비밀번호를 사용하는 것은 그 자체로 변칙적일 것입니다. 그리고 그때가 바로 비밀번호 사용이 고위험하고 비정상적인 행동으로 정당하게 간주되는 멋진 미래가 될 것이라고 생각합니다.”
