FIDO 보안 핵심 UX 가이드라인

여러분의 피드백을 기다립니다

FIDO를 배포하거나 FIDO 제품을 시장에 출시하는 서비스 공급업체라면, 여러분의 FIDO 경험, FIDO UX 가이드라인 및/또는 공유하고 싶은 모든 것에 대한 피드백을 듣고 싶습니다.

info@fidoalliance.org 으로 문의해 주세요.

문서 목적

이 문서는 규제 대상 산업(예: 은행 또는 헬스케어) 사용 사례를 기반으로 FIDO 보안 키를 두 번째 요소로 사용하여 멀티팩터 인증(MFA)을 사용하려는 신뢰 당사자 및 구현자를 위한 사용자 경험(UX) 가이드라인 및 모범 사례를 제공합니다. 이 가이드라인은 FIDO 구현 중 의사 결정을 가속화하고 사용자에게 어떤 정보와 제어 기능을 제공해야 하는지 명시하는 것을 목표로 합니다. 이러한 UX 권장 사항은 모바일 앱이나 모바일 웹이 아닌 데스크톱/노트북 컴퓨터에서 액세스하는 브라우저 기반 사이트에 최적화되어 있다는 점에 유의하세요. 그러나 이 가이드라인에는 보안 정책이나 계정 복구에 대한 권장 사항은 포함되어 있지 않습니다.

이 문서의 원칙은 블링크가 FIDO UX 태스크포스 멤버들과 협력하여 여러 차례(N=68) 실시한 중재 및 중재되지 않은 소비자 조사 세션을 통해 개발되었습니다. 사용자 조사에는 주로 업무용으로 보안 키를 소유하고 사용하는 소비자와 개인 온라인 뱅킹에 2단계 인증을 사용하지만 조사 세션 전에 보안 키에 대한 경험이 없는 잠재적 보안 키 사용자가 참여했습니다. 연구 범위에는 잠재 사용자가 키를 구매하도록 유도하는 전략은 포함되지 않았습니다. 사용자 조사 외에도 현재 시장에 나와 있는 보안 주요 2단계 인증 경험은 FIDO UX 태스크포스의 검토를 거쳐 연구 및 평가 과정의 입력으로 사용되었습니다.

이러한 권장 사항은 프로슈머를 위해 데스크톱/노트북에서 두 번째 요소로 FIDO 보안 키용 MFA를 구현하는 방법에 대한 FIDO AllianceUX 태스크포스의 관점을 나타냅니다. 이 문서에서 ‘프로슈머’는 보안 및 개인정보 보호에 민감한 소비자로, 개인 생활에서 보안 및 개인정보 보호 기술 및 서비스를 얼리 어답터로 사용하는 소비자를 의미합니다.

이 가이드라인은 FIDO의 로고 사용 가이드라인, FIDO 개인정보 보호 원칙, 장애가 있는 사용자가 FIDO 배포에 액세스할 수 있도록 하기 위한 가이드(2022년 여름 발표 예정), 데스크톱 인증자를 위한 FIDO UX 가이드라인 및 기타 기술 문서와 같은 다른 FIDO 간행물과 함께 사용해야 합니다. 이 문서의 지침을 반영한 실시간 참조 구현은 https://digitalbank-test.com 에서 확인할 수 있습니다.

FIDO에 대한 장치, 운영 체제 및 브라우저 지원은 시간이 지남에 따라 변경될 수 있습니다. FIDO 보안 키 인증을 구현하는 동안 문제가 발생하면 FIDO 개발 메일링 리스트와 같은 온라인 리소스를 참조하거나 이메일을 통해 FIDO Alliance 문의하시기 바랍니다.

대상 고객

이 가이드라인은 규제된 업계 사용 사례를 기반으로 한다는 점에 유의하여, FIDO 보안 키를 활용하는 MFA 배포의 인터페이스 또는 사용자 경험 요소를 담당하는 모든 사람을 대상으로 합니다. 이 대상에는 사용자 경험 디자이너, 제품 관리자, 소프트웨어 개발팀 등이 포함되지만 이에 국한되지는 않습니다.

FIDO Alliance 및 FIDO UX 태스크포스 소개

FIDO(Fast Identity Online) 연합( www.fidoalliance.org)은 비밀번호에 대한 전 세계의 과도한 의존도를 줄이기 위한 인증 표준을 목표로 하는 개방형 산업 협회입니다.

FIDO Alliance 비밀번호와 SMS OTPS보다 더 안전하고, 소비자가 사용하기 쉽고, 서비스 제공업체가 배포 및 관리하기 쉬운 로그인 환경을 제공하는 개방형 표준으로 인증의 본질을 바꾸기 위해 노력하고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고, 더 비공개적이며, 더 쉽게 사용할 수 있습니다.

이 연합은 전 세계의 비밀번호 의존도를 낮추기 위한 조직의 사명을 지원하기 위해 모인 기업, 결제, 통신, 정부 및 의료 분야의 수백 명의 글로벌 기술 리더들이 주도하고 있습니다. 얼라이언스 회원은 FIDO 사양 개발에 영향을 미치고, FIDO 인증 배포를 위한 모범 사례를 수립하며, 얼라이언스, 얼라이언스의 사명 및 FIDO 사양에 대한 글로벌 인식을 제고함으로써 이 임무에 기여합니다.

이 프로젝트를 위한 FIDO Alliance UX 태스크포스는 여러 플랫폼의 데스크톱/노트북에서 소비자 웹 기반 사이트에 FIDO 보안 키로 MFA를 구현하기 위한 과제를 해결하고 모범 UX 사례를 개발하기 위해 FIDO Alliance 이사회에 의해 만들어졌습니다. 이 프로젝트에 자원한 회원사로는 Feitan, Google, IBM, Idemia, JP Morgan Chase Bank, Meta, Microsoft, NIST, OneSpan North America, Onfido, Trusona, Trustkey, Visa, VMware 및 Yubico의 제품 리더들이 있습니다. 이 가이드라인의 목적은 RP가 소비자 보안 주요 타겟을 위해 더 우수하고 일관된 사용자 경험을 설계하고 궁극적으로 채택을 극대화하도록 돕는 것입니다.

왜 FIDO인가?

인터넷과 모바일 기술은 우리가 소통하고, 거래하고, 서비스를 제공하는 방식을 혁신적으로 변화시켰습니다. 그러나 이러한 발전은 온라인 서비스 사용자를 인증하기 위해 불편하고 위험한 비밀번호에 과도하게 의존하는 문제를 야기하기도 했습니다.

2012년, 여러 선도적인 조직과 개인이 모여 FIDO Alliance 결성했습니다. 얼라이언스의 사명은 더 간단하고 강력한 최신 인증 방법에 대한 표준을 만들고 널리 채택되도록 촉진하는 것입니다. FIDO Alliance성공 사례는 다음과 같습니다:

  • 공개 키 암호화를 기반으로 피싱을 방지하고 강력한 인증을 위한 표준을 발표했습니다.
  • 월드와이드웹 컨소시엄(W3C)과 협력하여 현재 수십억 대의 주요 디바이스 브라우저와 플랫폼에 내장되어 있는 FIDO 기술을 공식 웹 표준으로 확립했습니다.
  • 솔루션 개발 및 상호 운용성 테스트를 촉진하기 위해 인증 도구, 프로세스 및 글로벌 워크숍을 구축했습니다.
  • 세계 유수의 소비자 가전 제조업체 및 웹 서비스 브랜드에서 FIDO 표준 기반 접근 방식에 대한 글로벌 승인을 획득했습니다.

이러한 성공과 FIDO 인증에 대한 전 세계적인 인식을 고려할 때, FIDO 로고가 표시된 제품 및 서비스는 피싱에 강하고 상호 운용이 가능하며 사용자 친화적인 인증과 관련이 있습니다.

FIDO 보안 키 등록 사용자 여정: 사용자 목표 및 프로세스 단계

이미지 설명

엔드투엔드 사용자 경험은 사용자 여정으로 표시됩니다. FIDO 보안 키 등록 및 인증 사용자 여정은 최대 12개의 프로세스 단계로 구성되어 있으며, 특정 사용 사례(예: 규제 대상 산업 웹사이트의 소비자가 두 번째 요소로 FIDO 보안 키를 사용하여 MFA를 사용하려는 경우)를 염두에 두고 개발되었습니다. UX 가이드라인 전반에 걸쳐 참조되는 네 가지 개념은 다음과 같습니다.

  1. 사용자 여정: 데스크톱/노트북의 엔드투엔드 보안 키 등록 및 인증 프로세스 내에서 높은 수준의 사용자 목표와 프로세스 단계를 캡처합니다.
  2. 프로세스 단계: 각 여정은 “인식” 또는 “고려”와 같은 높은 수준의 사용자 목표에 속하는 “로그인 시 인식” 및 “인증 옵션 비교”와 같은 프로세스 단계로 나뉩니다.
  3. 사용 사례: UX 보안 키 가이드라인이 알려주기 위해 고안된 특정 사용 시나리오를 말하며, 규제 대상 산업(예: 은행 또는 헬스케어) 내 브라우저 기반 웹사이트에서 소비자가 두 번째 요소로 FIDO 보안 키로 MFA를 활성화하는 경우를 말합니다.
  4. 보안 키를 두 번째 요소로 사용하는 MFA 로그인: Windows 또는 Mac OS 데스크톱/노트북에서 FIDO 보안 키를 두 번째 요소로 포함하는 모든 MFA 로그인을 말합니다.

FIDO 보안 키 등록 사용자 여정 및 테스트 사이트

1

이미지 설명

보기
디지털뱅크 테스트
Chrome에서

2

‘온라인 뱅킹 등록’ 링크를 통해 사용자 이름과 비밀번호를 설정합니다.

3

이미지 설명

사용자 이름과 비밀번호로 디지털 뱅크에 로그인합니다.

4
이미지 설명

계정 거래 페이지의 기본 탐색 또는 프로필 아래에서 ‘보안 및 개인정보 보호 ‘ 설정을 선택합니다. 또는 건배 알림 내의 보안 및 개인정보 보호 링크를 클릭합니다.

5

이미지 설명

보안 및 개인정보 설정 페이지 하단으로 스크롤하여 ‘자세히 알아보기’ 를 읽고 보안 키에 대한 정보를 확인합니다.

6

이미지 설명

“보안 키 추가” 를 선택하고 키의 닉네임을 입력한 후 “계속”을 선택합니다.

7

이미지 설명 이미지 설명

8

이미지 설명

이제 FIDO 키가 두 번째 인증 요소로 등록되었습니다!

다른 키가 있다면 백업용으로 지금 추가하세요. 두 번째 키를 추가하지 않은 경우 보안 및 개인정보 설정으로 돌아가 보안 키 등록 정보를 확인하고 계정에서 키의 이름을 변경하거나 제거하는 옵션을 찾아보세요.

9

이미지 설명

두 번째 요소로 FIDO 보안 키를 등록한 후 디지털 뱅크에서 로그아웃합니다. 사용자 이름과 비밀번호를 입력하고 키를 연결하여 디지털 뱅크에 로그인합니다.

간편하고 빠르며 안전합니다!

시작하기

이제 보안 키 등록 및 인증 여정의 각 사용자 목표에 대한 FIDO 배포 권장 사항 및 샘플 UI에 대해 자세히 살펴보겠습니다.

인지도

이미지 설명

목적: 비밀번호 전용 인증 대신 사용할 수 있는 대체 인증에 대한 사용자 인식을 높이고, 보안 키를 포함한 새로운 로그인 옵션을 관리할 수 있도록 보안 및 개인정보 설정으로 사용자를 안내합니다.

이 단계에서는 메시징 전략과 사이트 정보 아키텍처 업데이트를 결합하여 비밀번호 전용 인증을 대체할 수 있는 방법(예: FIDO 보안 키 및 플랫폼 데스크톱 인증자)에 대한 고객의 인지도를 높이는 방법에 대해 자세히 설명합니다. RP는 타깃 고객 세그먼트나 사업 분야에 따라 고객에게 플랫폼 인증자 및/또는 보안 키를 홍보하도록 선택할 수 있습니다. 사용자 조사에 따르면 고객은 새로운 로그인 방법을 설정하는 조치를 취하기 전에 새로운 인증 옵션에 여러 번 노출되어야 하는 것으로 나타났습니다.

권장 사항

로그인하기 전에:

  • 웹사이트 외부에서 여러 채널을 전략적으로 활용하여 보안 및 개인정보 보호 설정을 계정 보안을 최적화할 수 있는 대상으로 홍보하세요.
    • 사이트 외부에서는 이메일 캠페인, 홈 메일 및/또는 소셜 미디어를 활용하여 사용자가 보안 및 개인정보 보호 설정을 방문하여 계정 보안에 대해 알아보고 강화하며, 보안 키 사용을 포함한 MFA를 설정하도록 권장합니다.
    • 개인정보 보호 및 보안 권장 사항에 대해 고객에게 온라인 커뮤니케이션을 할 때는 항상 보안 및 개인정보 보호 설정 페이지로 연결합니다.
    • 보안 키의 장점을 포함한 인증 옵션에 대한 교육 자료를 전송하여 보안 키를 사용하면 가장 큰 혜택을 받을 수 있는 특정 고객 프로필(예: 고액 자산가 은행 고객)을 타겟팅하는 것이 좋습니다.

로그인 시:

  • 익숙하지 않은 보안 키 방식을 구체적으로 홍보하기보다는 비밀번호 전용 인증을 대체할 수 있는 방법이 있다는 사실을 널리 알리세요:
    • 데스크톱 웹에서 생체 인식을 제공하는 RP의 경우, 사용자가 생체 인식 로그인 또는 터치 잠금 해제를 사용할 수 있음을 나타내는 것으로 널리 알려진 친숙한 생체 인식 아이콘(예: 지문)을 표시하여 로그인 UI에서 비밀번호 전용 인증을 대체할 수 있음을 알립니다.
      • 연구 결과, 사용자가 생체 인식 로그인을 사용하지 않더라도 지문 아이콘을 보면 비밀번호가 아닌 로그인을 고려하게 되는 것으로 나타났습니다.
      • 보안 키라는 생소한 개념을 구체적으로 언급하는 것보다 친숙한 지문 아이콘이 로그인 옵션 업데이트에 대한 사용자의 관심을 유도하는 데 더 효과적이었습니다.
    • 데스크톱 웹에서 생체 인식을 제공하지 않는 RP는 로그인 UI에 더 넓은 범주의 인증을 나타내는 아이콘(예: 사용자 윤곽선과 체크 표시 또는 PIN 코드를 나타내는 별표가 있는 자물쇠)을 사용하는 것을 고려해야 합니다.
    • 로그인 UI의 인증 아이콘 옆에 새로운 로그인 옵션을 설정할 수 있도록 로그인 후 보안 및 개인정보 보호 설정으로 사용자를 안내하는 짧은 정적 메시지를 콜오브액션으로 포함하세요.

로그인 후

  • 사이트 아키텍처를 업데이트하거나 사이트에서 이 설정 링크를 전략적으로 홍보하여 웹사이트 내에서 보안 및 개인정보 보호 설정을 계정 보안 관리를 위해 검색할 수 있는 곳으로 만드세요.
    • 보안 및 개인정보 보호 설정을 사이트 내에서 더 쉽게 검색할 수 있도록 설정하세요. 기본 사이트 탐색에서 보안 및 개인정보 보호 설정 링크를 홍보하거나 프로필 아래에 고유한 대상(즉, 일반 설정 메뉴 항목 외부)으로 추가합니다.
  • 웹사이트 내에서 다양한 메시지 전략을 전략적으로 활용하여 보안 및 개인정보 보호를 계정 보안을 최적화하는 목적지로 홍보하세요.
    • 여러 사이트 방문자의 관심을 유도하려면 두 가지 이상의 메시지 형식을 활용하세요. 예를 들어, 배너 광고 또는 ‘토스트’ 알림과 같은 임시 메시지 전략을 활용하여 사용자가 보안 및 개인정보 보호 페이지를 방문하여 로그인 방법을 업데이트하도록 유도합니다.
    • 특히 보안 키 도입을 위해 새로운 로그인 방법 등록을 유도하기 위해서는 여러 번의 메시지 노출이 필요한 경우가 많습니다.
      • 보안 키 등록은 여러 단계를 거쳐야 하며, 보안 키에 대해 알아보고, 구매하고, 등록하는 데 많은 시간과 노력을 투자해야 합니다.
      • 연구 결과에 따르면 다른 사이트 목표의 맥락에서 사용자는 행동을 취하기 전에 새로운 로그인 옵션 설정에 대한 아이디어를 여러 번 노출해야 하는 경우가 많습니다. 사용자에게 관련 메시지를 확인할 수 있는 기회를 여러 번 제공하고 편리한 시간에 조치를 취하세요.
        • 예를 들어, 여러 사이트 방문에 걸쳐 토스트 알림을 표시하여 사용자가 보안 및 개인정보 보호 설정을 방문하여 로그인 방법을 업데이트하도록 유도할 수 있습니다.

인식 제고: 보안 및 개인정보 보호 설정을 홍보하여 계정 보안 강화하기

샘플 UI

보안 및 개인정보 보호 설정을 더 쉽게 찾을 수 있도록 하여 사용자가 계정 보안 및 로그인 옵션을 적극적으로 관리할 수 있도록 유도하세요.

로그인 시:

  • 생체 인증을 제공하는 사이트의 경우 로그인 UI 내에 생체 인식 아이콘(지문)을 사용하여 생체 인식 로그인(즉, 비밀번호 전용 인증의 대안)을 사용할 수 있음을 알립니다.
    • 연구 결과, 사용자가 생체 인식 로그인을 사용하지 않더라도 지문 아이콘이 있으면 비밀번호 전용 로그인 대신 다른 방법을 고려하게 되는 것으로 나타났습니다.
  • 로그인 옵션을 업데이트하기 위한 지속적인 클릭 유도 문안(예: “새 로그인 옵션을 설정하려면 로그인 후 보안 및 개인정보 보호를 방문하세요.”)을 포함하세요.

로그인 후

  • 토스트 알림을 사용하여 사용자에게 보안 및 개인정보 보호로 안내하여 새로운 로그인 옵션을 추가할 수 있습니다.
  • 토스트 알림에 인증 아이콘을 추가합니다(예: 생체 인식 로그인을 제공하는 RP의 경우 지문).
  • ‘보안 및 개인정보 보호’ 링크를 기본 계정 탐색의 목적지로 추가하거나 사용자 프로필 메뉴의 설정에 피어로 추가합니다.
이미지 설명

이미지 설명

그림 1 – 지문 아이콘과 콜투액션 텍스트가 있는 로그인 UI 예시

이미지 설명

그림 2 – 생체 인식 아이콘과 보안 및 개인정보 설정으로 연결되는 링크가 있는 토스트 알림

이미지 설명

그림 3 – 기본 탐색 또는 사용자 프로필 아래에 있는 보안 및 개인정보 보호 설정 링크

고려 사항

이미지 설명

목적: 보안 및 개인정보 보호 설정 페이지를 설계하여 사용자가 보안 키를 비롯한 사용 가능한 인증 옵션에 대해 알아보고 비교할 수 있도록 함으로써 사용자가 자신의 계정을 보호하는 데 적극적으로 참여할 수 있도록 합니다.

점점 더 많은 기업이 고객이 계정을 인증하고 보호할 수 있는 강력한 방법으로 보안 키를 제공하고 있습니다. 하지만 조사에 따르면 대부분의 소비자는 소비자 웹사이트 인증 옵션인 보안 키에 익숙하지 않은 것으로 나타났습니다.

고객에게 보안 키의 장점, FIDO 보안 키 구매 방법, 여러 개의 키를 등록하여 계정 복구에 대비하는 방법에 대해 교육하면 고객이 소비자 채택의 장벽을 극복하는 데 도움이 될 수 있습니다.

권장 사항

다음 기준을 충족하는 보안 및 개인정보 보호 설정 페이지를 제공하여 사용자가 보안 키를 포함하여 사이트에서 사용할 수 있는 인증 옵션을 비교하고 알아볼 수 있도록 하세요:

  • 비밀번호 외에 두 번째 인증 방법을 추가하여 계정의 보안을 강화하라는 명시적인 권장 사항을 표시합니다.
    • 사용자가 이 권장 메시지를 무시할 수 있는지 확인합니다.
  • 아이콘을 사용하여 스토리를 전달합니다. 스토리는 사용자가 기억하기 쉽고 아이콘은 스토리를 전달합니다.
    • 보안 및 개인정보 보호 설정의 추천 메시지에 아이콘을 추가하여 가시성과 시각적 흥미를 높이고 플랫폼 인증자(예: 지문 아이콘) 및 보안 키와 같이 추가할 것을 권장하는 방법을 나타냅니다.
    • 인증 방법 이름 옆에 아이콘을 사용하여 각 방법을 구분하고 페이지의 스캔 가능성을 높일 수 있습니다.
  • 사용자가 현재 등록되어 있는 로그인 방법을 표시하는 명확한 시각적 표시를 제공하세요.
  • 인증 프로세스 및/또는 각 방법의 고유한 가치 제안에 대한 간략한 설명을 제공하세요.
    • 보안 키에 대한 소비자 인식 개선이 필요하므로 보안 키는 비밀번호와 함께 사용되는 보조 수단이며, 여러 개의 보안 키를 사용할 수 있고 권장된다는 점을 강조하는 것이 좋습니다.
      • 예시 텍스트: “보안 키를 사용하면 디지털 뱅크에 로그인할 때 2단계 인증을 더 안전하고 편리하게 완료할 수 있습니다. 원하는 만큼 보안 키를 추가할 수 있습니다.”
  • ‘자세히 알아보기’ 링크를 통해 보안 키와 플랫폼 인증자에 대한 자세한 정보를 점진적으로 공개합니다.
    • 보안 키 등록 전후에 ‘자세히 알아보기’ 링크가 표시되도록 하여 사용자가 보안 키 사용에 대해 질문이나 우려 사항이 있을 때 관련 접점을 찾을 수 있도록 하세요.
    • 사용자 조사를 통해 참여자들이 보안 키에 대해 가장 많이 궁금해하고 우려하는 사항과 도입에 잠재적인 장벽이 될 수 있는 주제를 파악했습니다.

이미지 설명

그림 4 – 다음에 대한 증거 기반 ‘자세히 알아보기’ 콘텐츠
여러 차례의 사용자 연구를 통해 개발된 보안 키

고려 사항: 보안 및 개인정보 설정 페이지

샘플 UI

토스트 알림, 기본 사이트 탐색 및/또는 사용자 프로필에서 사용자에게 다음을 포함하는 보안 및 개인정보 보호 설정 페이지로 연결합니다:

  1. 사용자가 해제할 수 있는 생체 인식 및 보안 키 아이콘이 있는 추가 로그인 방법을 추가하라는 권장 메시지입니다.
  2. 등록 상태 표시기 또는 태그를 통해 사용자가 현재 사용 중인 방법과 아직 사용할 수 있는 방법을 빠르게 식별할 수 있습니다.
  3. 보안 키 섹션에는 보안 키의 가치와 두 번째 인증 요소로서의 역할에 대한 아이콘과 간략한 설명이 표시되며, 여러 개의 키를 사용하도록 권장하는 내용이 포함됩니다.
  4. “보안 키 등록 전후에 표시되는 ‘자세히 알아보기’ 링크

이미지 설명

그림 5 – 보안 및 개인정보 설정 페이지(보안 키 등록 전)

등록

이미지 설명

권장 사항

  • 여러 개의 키를 사용하도록 권장합니다: 여러 접점에서 사용자에게 계정 복구 및 백업을 위해 두 개 이상의 키를 추가하도록 강력히 권장하세요.
  • 키 업데이트, 추가 및 제거를 지원합니다: 보안 키를 포함한 모든 인증 방법에 대해 기존 인증 정보를 업데이트하거나(예: “변경” 또는 “업데이트” 버튼), 현재 사용 중인 인증 방법을 제거하거나(예: “제거” 버튼), 사용자 프로필에 새 인증 방법을 추가하기 위한 명시적인 어포던스를 제공하세요(예: “추가” 버튼).
  • “보안 키를 사용하면 디지털뱅크에 로그인할 때 2단계 인증을 편리하고 안전하게 완료할 수 있습니다.”와 같이 보안 키 사용의 가치 제안을 반복해서 설명합니다.
  • 사용자가 닉네임을 추가할 수 있는 기능 추가: 등록을 시작하려면 사용자가 나중에 등록된 키를 인식하는 데 사용할 수 있는 원하는 닉네임을 입력하도록 요구합니다.
    • 닉네임이 사용자에게만 표시되도록 지정하고(즉, 보안이 필요한 비밀번호와 동일하지 않음), 사용자가 어떤 키를 등록했는지 나중에 상기시키는 역할을 하도록 합니다.
  • FIDO API를 호출하고 브라우저 및/또는 OS가 나머지 보안 키 등록 UI를 처리하도록 허용합니다.
  • 선택적 인증 단계: 보안 키 등록 절차의 일부로, 조직은 보안 키의 제조사 및 모델과 같은 제조업체 정보를 사이트와 공유할 수 있도록 사용자의 허가를 요청하는 등의 증명을 요구하도록 사이트를 구성할 수 있습니다. 보안 키 제조업체에서 세부 정보를 제공하는 경우, 증명을 요청하면 보안 키가 계정에 등록된 후 사용자에게 제조업체와 모델이 표시될 수 있습니다.
    • 보안 키 등록 프로세스 중에 사용자가 추가 대화 상자를 통해 사이트에 권한을 부여해야 하므로 FIDO Alliance 소비자 사용자 사례에 이 증명 단계를 추가하는 것을 권장하지 않습니다.
    • 조직에서 더 간단한 등록 절차를 선택하면 권한 대화 상자를 건너뛰고 증명을 해제할 수 있습니다. 이 옵션을 사용하면 나중에 고객이 키의 제조업체 및 모델에 대한 세부 정보를 사용할 수 없게 됩니다.
    • 이 추가 증명 단계를 추가하는 것은 인력 시나리오의 보안 키 등록에 유용할 수 있습니다.
  • 선택적 사용자 인증 단계: 보안 키 등록 프로세스의 일부로, 조직은 사용자 인증이 필요하도록 사이트를 구성할 수도 있습니다. 즉, 사용자에게 보안 키로 인증하기 위해 PIN 또는 지문을 추가하도록 요청하는 것입니다. 이 선택적 검증 단계는 본 UX 가이드라인과 관련된 연구 범위에서 제외되었습니다.
  • 보안 키 등록 랜딩 페이지에 등록 성공 또는 오류 메시지를 표시합니다.
    • 보안 키 등록에 성공하면 보안 키 아이콘과 함께 성공 메시지를 표시하고, 보안 키 아이콘 옆의 확인 표시와 같은 시각적 성공 표시를 표시합니다.
    • 보안 키 등록에 실패하면 오류 메시지를 표시하여 사용자가 등록에 실패했음을 이해하고 등록 프로세스를 다시 시작할 수 있도록 합니다.
  • 여러 접점에서 사용자가 계정 복구 및 백업을 위해 두 번째 보안 키를 추가하도록 유도하세요.
    • 보안 키를 등록하기 전에 보안 및 개인정보 보호 설정 페이지에 메시지를 제공하여 사용자가 여러 개의 키를 추가하도록 유도합니다.
    • 보안 키를 등록한 직후에는 사용자가 잠시 멈추고 이 권장 사항을 고려하도록 하는 방식으로 두 번째 보안 키를 추가할 것을 강력히 권장하고 기회를 제공하세요.
    • “키가 성공적으로 추가되었습니다” 화면에서 여러 가지 전략을 사용하여 두 개 이상의 보안 키를 사용해야 한다는 점을 강조하세요:
      • 헤드라인: “보안 키가 하나만 등록되어 있습니다.”라는 점을 굵은 글씨로 강조하는 헤드라인을 작성합니다.
      • 텍스트: 보안 키 하나를 분실하거나 도난당할 경우를 대비하여 최소 두 개의 보안 키를 추가할 것을 명시적으로 권장합니다.
      • 그림: 일러스트를 사용하여 보안 키가 하나만 등록된 상태와 두 개의 보안 키가 등록된 상태를 강조합니다.
    • “두 번째 키 추가” 옵션: 대부분의 참가자가 즉시 다른 보안 키를 추가할 준비가 되어 있지 않을 가능성이 높으므로 “완료”를 기본 작업으로 하여 두 개의 작업 버튼(“완료” 및 “두 번째 키 추가”)을 동일하게 표시하고 액세스할 수 있도록 제공하세요.

등록: 두 번째 요소로 FIDO 보안 키로 인증하고 추가 키 추가하기

‘보안 키 추가’ 등록 페이지에는 다음이 포함되어야 합니다:

  1. 등록 프로세스를 종료하는 기능
  2. 보안 키 아이콘 또는 이미지
  3. 보안 키를 2단계 인증 방법으로 설명하는 메시지
  4. 보안 키 닉네임 추가 요건
  5. 보안 키가 사용자에게만 표시되도록 지정합니다(즉, 보안이 필요한 비밀번호와 동일하지 않음).
  6. 닉네임이 나중에 사용자가 등록한 보안 키를 상기시키기 위한 목적으로 사용된다는 것을 명시하는 메시지입니다.

이미지 설명

그림 6 – 보안 키 추가 페이지

“성공적으로 추가됨” 화면에는 다음 내용이 포함되어야 합니다:

  1. 성공적인 등록을 시각적으로 표시하는 보안 키 아이콘(예: 체크 표시)
  2. 사용자 정의 보안 키 닉네임
  3. 로그인 시 보안 키에 쉽게 액세스할 수 있도록 하는 알림 기능
  4. 하나의 키만 등록되어 있다는 알림과 함께 보안 키를 분실하거나 도난당할 경우를 대비하여 두 개 이상의 보안 키를 추가하도록 사용자에게 권장합니다.
  5. 하나의 보안 키는 쉽게 접근할 수 있는 곳에, 다른 하나는 안전한 곳에 보관하도록 지시합니다.
  6. “다른 보안 키를 추가하시겠습니까?”라는 질문에 대한 이진 응답이어야 하는 기본 작업 버튼입니다. 옵션(예, 다른 항목 추가)을 포함하여 똑같이 눈에 잘 띄는 작업 버튼 두 개를 포함합니다.
  7. 대부분의 사용자가 등록할 다른 보안 키가 없을 가능성이 높으므로 ‘완료’ 작업 버튼을 기본값으로 설정합니다.
  8. 등록을 나타내는 아이콘 및 텍스트가 등록에 성공하지 못했습니다.
  9. 보안 키 등록을 다시 시작하거나 취소하기 위한 명시적 작업 버튼

98이미지 설명

그림 8 – Mac 사용자를 위한 FIDO 등록 후 로그인

관리

권장 사항

  • 등록 후 보안 및 개인정보 설정으로 돌아갑니다(사용자가 새 보안 키를 추가하지 않는 한). 사용자가 드릴다운할 필요 없이 페이지에 관련 보안 키 데이터를 표시합니다.
    • 다음 보안 키 정보를 포함하세요:
      • 주요 닉네임
      • 날짜 추가
      • 마지막 사용 날짜
      • 보안 키 제조업체 정보(증명이 켜져 있고 사용자가 공유를 선택한 경우)
  • 보안 및 개인정보 설정의 ‘보안 키’ 섹션에 ‘키 추가’ 버튼을 기본 콜투액션으로 표시합니다.
  • 사용자에게 새 닉네임으로 보안 키의 이름을 바꿀 수 있는 옵션을 표시합니다.
  • 사용자에게 계정에서 보안 키를 제거할 수 있는 가시적인 옵션을 제공합니다.
    • 사용자가 을 제거할지 여부를 확인합니다.
    • 보안 키 위에 빨간색 빼기 기호 등 ‘제거’를 시각적으로 나타내는 아이콘을 표시합니다.

샘플 UI

등록 직후, 사용자가 두 번째 보안 키를 추가하지 않는 한, 보안 및 개인정보 설정으로 사용자를 돌려보냅니다.

보안 및 설정 페이지에서 보안 키 데이터를 표시하여 사용자가 등록이 성공적으로 이루어졌고 무단 보안 키 사용이 발생하지 않았는지 확인할 수 있도록 합니다. 사용자가 보안 키 닉네임을 업데이트하거나 보안 키 등록을 취소할 수 있도록 권한을 부여하세요:

  1. 주요 닉네임
  2. 추가된 날짜 및 마지막으로 사용한 날짜
  3. 증명 보안 키 제조업체 정보(선택 사항)
  4. 기본 클릭 유도 문안으로 영구적인 ‘키 추가’ 옵션 사용
  5. “이름 바꾸기” 및 “제거” 옵션

이미지 설명

그림 9 – 보안 및 개인정보 설정 페이지(보안 키 등록 후)

인증

이미지 설명

권장 사항

  • 보안 키 등록 후에는 첫 번째 요소(예: 사용자 이름 및 비밀번호)의 로그인 환경을 변경하지 마세요.
    • 사용자 조사에 따르면 계정에 보안 키가 추가되었음을 알리기 위해 홈페이지를 업데이트하는 것이 개인정보 보호 및 보안 위반으로 간주되는 것으로 나타났습니다.
  • 보조 비-FIDO 보안 키 로그인 경로 유지
    • ‘사용자 전환’ 및 ‘다른 방법으로 로그인’ 링크를 제공하여 다중 사용자 액세스 및 사용자가 계정에 등록한 기타 보조 인증 방법을 유지합니다.
  • 사용자 이름과 비밀번호를 입력한 후 준비가 되면 사용자에게 보안 키를 연결하라는 메시지를 표시합니다.
    • 보안 키 연결을 위한 브라우저 대화 상자를 자동으로 실행하는 대신 사용자가 직접 보안 키 연결을 시작할 수 있는 옵션(예: ‘보안 키 사용’ 버튼)을 제공하세요.
    • 사용자가 보안 키 연결을 시작하면 추가 클릭이 발생하지만, 사용자가 보안 키를 가지고 있지 않은 경우 브라우저 대화 상자가 시간 초과되지 않도록 하는 데 도움이 됩니다.
      • 조사 결과, OS/브라우저 대화창에서 바로 실행하면 보안 키가 없는 사용자가 불안해하는 것으로 나타났습니다. 또한 보안 키를 검색할 때 브라우저 대화 상자가 시간 초과되어 등록 프로세스를 다시 시작해야 하는 경우 사용자들은 불편함을 느꼈습니다.
  • 로그아웃
    • 사용자가 FIDO 보안 키를 등록한 후에는 사용자 이름과 비밀번호만으로 이전에 사용했던 것과 동일한 UI를 사용하여 웹사이트에서 로그아웃할 수 있도록 하세요.

샘플 UI

  1. 보안 키 등록 후에는 사용자 이름과 비밀번호 입력을 위한 로그인 UI가 등록 전과 일치해야 합니다.
  2. 로그인 시 사용자가 사용자 아이디와 비밀번호를 입력한 후 보안 키 아이콘이 있는 ‘보안 키 연결’ 페이지를 표시합니다.
  3. 사용자가 ‘보안 키 사용’ 버튼으로 키 연결을 시작하도록 허용합니다.
  4. 취소 옵션을 포함합니다.
  5. ‘다른 방법으로 로그인’ 옵션을 추가하여 사용자가 키를 사용할 수 없는 경우 백업 방법을 사용할 수 있도록 합니다.
  6. 보안 키 등록 후 로그아웃 UI는 등록 전과 동일해야 합니다.

이미지 설명

그림 10 – 보안 키 등록 후 로그인 UI

이미지 설명

그림 11 – 로그인 시 두 번째 인증 요소로 보안 키 프롬프트 연결하기

이미지 설명

그림 12 – 보안 키 등록 후 로그아웃 UI

FIDO 보안 키로 고객 성공 최적화하기

  • 친숙한 인증 언어와 기호로 리드
    • 보안 키라는 생소한 개념을 명시적으로 홍보하기보다는 익숙한 지문 아이콘(생체 인식이 지원되는 경우)이나 자물쇠, 비밀번호의 별표 등 인증을 나타내는 다른 이미지를 사용하여 비밀번호 전용 로그인을 대체할 수 있음을 홍보하세요.
  • 보안 및 개인정보 설정 페이지를 일반적인 계정 보안과 특히 보안 키에 대한 관리 및 학습을 위한 현장 허브로 홍보합니다.
    • 사용자가 로그인 옵션으로 보안 키를 쉽게 찾을 수 있도록 보안 및 개인정보 설정 페이지를 방문하도록 권장합니다. 사용자가 보안 키의 특성과 장점에 대해 알아보고 보안 키를 구매 및/또는 등록하기 위해 보안 키를 식별하는 조치를 취할 수 있는 컨텍스트를 만드세요.
  • 사용자에게 보안 키가 어떻게 작동하는지에 대해 교육하여 자신감과 신뢰를 심어주세요.
    • 점점 더 많은 사이트에서 인증용 보안 키를 제공하고 있지만, 사용자 교육 부족이 보안 키 도입에 걸림돌이 되고 있다는 조사 결과가 있습니다.
    • 저희의 조사에 따르면 보안 키가 USB 드라이브와 비슷하기 때문에 일부 잠재 사용자는 보안 키에 멀웨어나 바이러스가 포함되어 있어 사용자가 보안 키를 삽입하면 자동으로 컴퓨터를 감염시킬 수 있다고 우려하는 것으로 나타났습니다. ‘자세히 알아보기’ 텍스트에 보안 키의 작동 방식을 설명하고 USB 드라이브와 구분하면 사용자를 안심시키고 도입 장벽을 없앨 수 있습니다.
    • 다음에 대한 지식으로 고객 지원을 준비하세요:
      • FIDO 보안 키를 등록하고 인증하는 방법
      • 어떤 보안 키가 FIDO 인증을 받았으며 사이트에서 사용할 수 있는지에 대한 정보
      • FIDO 보안 키가 웹사이트 인증을 위한 안전하고 안전하며 편리한 대안인 이유
  • 보안 키를 분실하거나 도난당했을 때 사용자가 계정에 액세스하지 못하도록 차단되지 않도록 여러 개의 보안 키를 등록할 것을 강력히 권장합니다.
  • 브랜드와 FIDO Alliance 간의 파트너십을 홍보하세요.
    • 상대적으로 잘 알려지지 않은 FIDO 브랜딩 요소에 대한 고객의 신뢰는 신뢰할 수 있는 브랜드와의 연관성에서 비롯됩니다.
    • 또한 보안에 대해 잘 알고 있는 소비자는 FIDO 표준을 알고 있을 가능성이 높으며, 보안 키를 사용할 가능성도 높습니다.

FIDO 보안 주요 UX 지침 용어

UI 내에서 일관된 위치에 일관되게 표시되는 메시지 텍스트입니다. 영구 메시징을 사용하면 사용자가 특정 방문에서 메시지를 놓친 경우에도 메시지가 원래 위치에 그대로 남아 있어 나중에 원하는 경우 메시지를 이해하거나 조치를 취할 수 있습니다.

일정 시간 동안 화면에 표시되었다가 사라지는 짧은 메시지로, 사용자의 관심을 끌기 위해 활용할 수 있습니다. 예를 들어, ‘건배’ 알림의 참신함과 움직임은 지속적인 메시지보다 사용자의 관심을 더 효과적으로 끌 수 있습니다. 이러한 유형의 알림은 사용자 데이터를 가리지 않아야 하며, 사용자가 해제할 수 있어야 하고, 사용자가 작업 흐름을 계속 진행하는 데 방해가 되는 오류에 사용되어서는 안 됩니다.

여러 화면에 걸쳐 정보와 옵션을 순서대로 배치하여 사용자의 압도적인 느낌을 줄이는 인터랙션 디자인 기법입니다. 점진적 공개는 사용자에게 모든 관련 정보, 작업 또는 작업을 한꺼번에 제공하지 않고도 중요한 정보를 쉽게 파악할 수 있도록 해줍니다.

UI 전체에서 USB 키나 키 대신 ‘보안 키’라는 용어를 사용하는 것이 좋습니다.

이 문서에서 ‘프로슈머’는 보안 및 개인정보 보호에 민감한 소비자로, 개인 생활에서 보안 및 개인정보 보호 기술 및 서비스를 얼리 어답터로 사용하는 소비자를 의미합니다.