편집기
제롬 베콰르트, 액시아드
그렉 브라운, 액시아드
Matt Estes, Amazon Web Services
추상적인
이 백서의 목적은 device-bound passkeys 와 synced passkeys 의 기능과 기능을 분석하여 두 자격 증명 유형을 모두 보통 보증 환경에서 활용할 수 있는 방법을 결정할 때 지침을 제공하는 것입니다. 이 문서에서 “보통 보증”이라는 용어는 법률, 규정 및 보안 요구 사항이 두 가지 유형의 자격 증명을 모두 사용할 수 있을 만큼 충분히 유연한 환경 또는 조직을 의미하며, synced passkeys 사용하여 암호를 대체하고 표준 사용자 계정 및 device-bound passkeys 에 대한 MFA(다단계 인증)를 사용합니다 최고 수준의 보호 및 보증이 필요한 사용자 계정의 경우. 이 백서는 device-bound passkeys 와 synced passkeys에서 지원하는 기능 및 요구 사항을 비교하도록 설계되었으며, 중간 정도의 보증 요구 사항이 있는 조직에서 두 가지 유형의 자격 증명을 함께 활용할 수 있는 방법에 대한 비전을 제공합니다.
관객
이 백서는 IT 관리자, 엔터프라이즈 보안 아키텍트 및 경영진을 포함하여 조직 전체에 FIDO Authentication 배포를 고려하고 있는 모든 사람을 대상으로 하는 일련의 백서 중 하나입니다.
독자는 여기에서 일련의 논문에 대한 소개를 찾을 수 있습니다. 소개 백서는 시리즈의 모든 백서에 대한 추가 설명과 링크를 제공하며, 낮은 보증에서 높은 보증까지 다양한 사용 사례를 다룹니다. 대부분의 기업은 이러한 문서 중 두 개 이상에 걸친 사용 사례를 가질 것으로 예상되며 독자가 배포 요구 사항과 관련된 백서를 검토하도록 권장합니다.
이 백서는 독자가 FIDO2 자격 증명과 FIDO2 자격 증명이 수행하는 역할에 대한 기본적인 이해를 가지고 있다고 가정합니다.
인증 절차; FIDO2에 대한 소개 정보는 FIDO2 – FIDO Alliance에서 확인할 수 있습니다.
1. 소개
FIDO2 자격 증명의 초기 구현은 로밍 인증자 또는 플랫폼 인증자에서 device-bound passkeys 로 생성되었으며, 여기서 자격 증명의 개인 키는 디바이스의 인증자에 저장되고 인증자에서 내보내거나, 복사하거나, 백업하거나, 동기화할 수 없습니다. 이 구성은 신뢰 당사자(예: 웹 사이트 또는 서비스 공급자)에게 사용자와 장치가 시스템의 합법적인 사용자라는 매우 높은 수준의 확신을 제공하는 인증을 위한 매우 안전한 피싱 방지 솔루션을 제공합니다. 그러나 이러한 높은 수준의 확신에는 주로 사용성 및 계정 복구와 관련된 몇 가지 문제가 있습니다. 예를 들어 인증자에서 개인 키를 가져올 수 있는 방법이 없기 때문에 개인 키가 저장된 장치가 분실되거나 손상되면 인증된 키 리소스에 대한 액세스 권한이 손실됩니다. device-bound passkeys 사용하는 경우 해결 방법은 모든 신뢰 당사자에게 두 번째 장치 바인딩 암호 키를 등록하는 것입니다. 이렇게 하면 사용자가 두 인증자를 모두 등록해야 하므로 사용자 환경이 더 어려워집니다. IdP(ID 공급자)를 사용하여 응용 프로그램에 대한 액세스를 페더레이션함으로써 인증 흐름을 통합한 조직의 경우 신뢰 당사자가 IdP 자체이기 때문에 이 작업이 다소 줄어듭니다.
이러한 문제를 해결하기 위해 2022년 5월 Apple, Google 및 Microsoft는 운영 체제에서 synced passkeys 지원하겠다는 의사를 발표했습니다. 동기화된 암호는 개인 및 공개 키 쌍의 지속적인 사용을 포함하여 device-bound passkeys와 동일한 특성을 많이 가지고 있습니다. 그러나 한 가지 중요한 차이점은 synced passkeys 사용하면 자격 증명의 개인 키를 동일한 공급업체의 동기화 패브릭 에코시스템(예: Apple 에코시스템의 iCloud)에 있는 사용자가 소유한 다른 디바이스와 동기화할 수 있다는 것입니다. 또한 동기화된 암호 키를 사용하면 보다 간소화되고 사용자 친화적인 경험을 만들 수 있습니다. 모든 암호 키는 몇 가지 공통 보안 속성을 공유하고, 피싱에 매우 강하며, 고유한 키 쌍을 사용하여 강력한 인증을 가능하게 합니다. 그러나 동기화된 device-bound passkeys 차이점에 유의해야 합니다. 예를 들어 synced passkeys 는 장치 바인딩된 암호에 대해 분석할 때 새로운 보안 고려 사항을 도입합니다. 반대로, synced passkeys 계정 복구 문제를 더 쉽게 해결할 수 있습니다.
조직은 두 자격 증명 유형을 모두 환경에서 활용할 수 있는 방법과 위치를 평가하기 위해 조직의 법률, 규정 및 보안 요구 사항을 검토하고 이해해야 합니다. 조직에서는 이러한 요구 사항을 평가할 때 이러한 요구 사항의 조합을 AAL(인증 보증 수준)이라고 부르는 경우가 많으며 다양한 보증 수준에 대한 지침과 권장 사항을 제공하는 NIST(National Institute of Standards and Technology)의 설명서를 참조합니다. 현재 NIST에서 synced passkeys 더 잘 통합하기 위해 이러한 보증 수준을 업데이트하는 작업을 진행 중이지만, 현재 표준은 device-bound passkeys 및 synced passkeys 의 구현을 조직에 평가하는 데 도움이 될 수 있습니다. NIST 및 AAL에 대한 자세한 내용은 Authenticator Assurance Levels)에서 확인할 수 있습니다.
이 백서에서 보통 보증 환경은 AAL1 및/또는 AAL2 및 AAL3 보증 수준의 조합으로 충족할 수 있는 여러 가지 인증 사용 사례 시나리오가 있는 조직입니다. 이 백서에서는 device-bound passkeys 와 synced passkeys 키의 장점과 단점에 대해 자세히 알아보고, 조직에서 자체 법률, 규정 및 보안 요구 사항과 함께 device-bound passkeys 와 synced passkeys 모두 구현할 수 있는 방법과 위치를 결정하는 데 사용할 수 있는 두 암호를 비교합니다 FIDO2 자격 증명이 조직의 모든 부분에서 제공하는 안전하고 피싱 방지되며 사용자 친화적인 인증 프로세스를 활용할 수 있도록 중간 보증 환경으로 전환합니다.
2. FIDO 자격 증명 채택 고려 사항
조직에서 조직의 AAL1, AAL2 및 AAL3 요구 사항을 지원하기 위해 device-bound passkeys 와 synced passkeys 의 사용을 평가할 때 고려해야 할 몇 가지 요소가 있습니다. 이러한 요소는 아래에 설명되어 있으며 두 가지 유형의 자격 증명을 모두 분석하고 기업에서 사용할 수 있는 위치를 결정하는 데 필요한 정보를 조직에 제공하기 위한 것입니다.
2.1. 사용자 경험
사용자 경험 측면에서 FIDO 자격 증명을 사용하여 시스템에 인증하는 목표는 항상 사용자에게 사용하기 쉽고 간편한 프로세스를 제공하는 것이었습니다.
원래 FIDO 구현은 간소화된 로그인 환경을 제공했지만 여전히 몇 가지 사용자 환경 문제가 있었습니다.
Passkeys 사용자가 패스키 생성에 더 쉽게 액세스할 수 있도록 하고, 사용자가 인증할 때 사용할 자격 증명을 선택하기만 하면 더 이상 사용자 이름이나 암호를 입력할 필요가 없는 자동 채우기와 같은 환경을 제공하는 “패스키 자동 채우기 UI”라는 새로운 기능을 포함하여 사용자 환경을 개선하는 데 도움이 되는 몇 가지 향상된 기능을 도입했습니다. 이 경험은 사용하기가 매우 쉬워지며 대부분의 사용자가 암호 관리자와 같은 솔루션을 사용할 때 이미 좋아하고 편안하게 느끼는 경험과 매우 유사합니다. 사용자가 현재 암호 환경보다 더 좋아하는 암호 키 사용자 환경을 만들면 이전 암호 키 구현에서 볼 수 있었던 채택의 장애물을 제거할 수 있습니다.
2.1.1 백업, 분실된 장치 및 복구
device-bound passkeys 사용하면 개인 키가 저장되고 인증자를 벗어날 수 없습니다.
이렇게 하면 매우 안전한 솔루션이 생성되지만 주요 데이터 백업, 인증자 손실 및 사용자에 대한 새 인증자 추가와 관련하여 사용자와 기업에 문제가 발생합니다.
device-bound passkeys(FIDO_Account_Recovery_Best_Practices-1.pdf(fidoalliance.org))에 대한 권장 복구 방법이 있지만 synced passkeys는 보다 사용자 친화적인 방식으로 이러한 문제를 해결하기 위해 작동합니다.
동기화된 암호 키 솔루션이 구현됨에 따라 사용자는 더 이상 인증자를 분실한 경우에도 계속 액세스할 수 있도록 신뢰 당사자에 여러 인증자를 등록할 필요가 없습니다.
인증자를 분실한 경우 사용자는 암호 키 공급자가 제공하는 복구 프로세스를 사용하여 암호를 복구할 수 있습니다.
또한 synced passkeys 사용자가 자격 증명 손실 위험을 최소화하기 위해 장치당 고유한 자격 증명을 등록하거나 여러 device-bound passkeys 유지 관리할 필요가 없으므로 더 나은 사용자 환경을 제공합니다.
구성이 완료되면 암호 공급자와 동기화된 모든 장치에서 synced passkeys 사용할 수 있습니다.
그러나 동기화된 암호는 암호 공급자와 해당 동기화 패브릭에 대한 종속성을 생성합니다. 각 공급자는 자격 증명이 오용되지 않도록 보호하기 위한 자체 보안 제어 및 메커니즘을 포함하는 자체 동기화 패브릭을 구현합니다. 특정 보안 또는 규정 준수 요구 사항이 있는 조직은 요구 사항을 충족하는 공급자 또는 하드웨어 보안 키를 평가해야 합니다.
동기화된 암호 키는 인증자의 개인 키를 사용자가 동일한 공급업체의 에코시스템에 있는 다른 장치의 인증자와 동기화할 수 있도록 하므로 보안 상태가 낮습니다. 또한 조직은 현재 이러한 자격 증명이 만들어지고 저장된 장치를 추적할 수 있는 표준이나 시스템이 없으며 자격 증명이 다른 사람과 공유된 경우를 식별할 수 있는 메커니즘이 없다는 점에 유의해야 합니다. 높은 수준의 보증이 필요한 조직의 사용 사례의 경우 이 정보를 확인하거나 얻을 수 없다는 사실은 synced passkeys 특정 조직 사용 사례에 적합한 솔루션이 아니라는 것을 의미하며 이러한 사용 사례를 지원하기 위해 device-bound passkeys 찾아야 합니다.
2.3 자격 증명 유형의 증명 및 적용
증명은 등록 프로세스의 보안을 강화하기 위해 고안된 기능입니다.
증명 메커니즘은 사양에 의해 선택적 기능으로 정의되지만 대부분의 하드웨어 보안 키는 이를 구현합니다.
증명은 신뢰 당사자가 인증자가 상호 작용할 수 있도록 허용할지 여부에 대해 정보에 입각한 결정을 내릴 수 있도록 신뢰 당사자에게 자신에 대한 메타데이터를 다시 제공할 수 있는 기능입니다.
이 메타데이터에는 인증자의 공급업체 및 모델을 나타내는 고유 ID, 인증자가 사용하는 암호화 유형, 인증자의 PIN 및 생체 인식 기능을 나타내는 AAGUID( Authenticator Attestation Globally Unique Identifier)와 같은 항목이 포함됩니다.
일부 인증자 공급업체는 조직이 인증자 등록 요청에 포함된 증명에 고유한 식별 정보를 추가할 수 있도록 하는 Enterprise Attestation이라는 기능도 지원하며, 이 추가 정보를 사용하여 기업 내에서 제어된 배포를 지원하기 위한 의도로
조직에서는 특정 인증자 집합의 등록만 허용하려고 합니다.
기업 증명에 대한 자세한 내용은 FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf(fidoalliance.org) 백서에서 확인할 수 있습니다.
게시 시점에 synced passkeys 증명을 구현하지 않으므로 더 높은 수준의 보증이 필요한 높은 권한의 사용자가 있는 시나리오나 Enterprise Attestation을 구현하려는 조직에는 적합한 솔루션이 아닙니다. 이러한 높은 권한의 사용자를 지원하기 위해 신뢰 당사자 및 조직은 지금까지 솔루션을 지원하고 솔루션에 증명을 포함하는 공급업체의 device-bound passkeys 및 인증자를 살펴봤으며 앞으로도 계속 찾아야 합니다. 모든 사용자를 높은 권한의 사용자로 취급해야 하거나 Enterprise Attestation을 구현해야 하는 규정, 법률 또는 보안 요구 사항이 있는 조직의 경우 device-bound passkeys 만 구현하는 것이 좋습니다. 함께 제공되는 백서 “High Assurance Enterprise Authentication”은 이 시나리오에 대한 세부 정보를 제공하며 여기에서 찾을 수 있습니다. https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf. 보통 보증 조직은 표준 사용자를 위해 synced passkeys 구현하여 암호 및 MFA를 보다 안전한 솔루션으로 대체한 다음, 권한이 높은 사용자 및 최고 수준의 보증이 필요한 리소스에 대한 액세스에 대해 device-bound passkeys 사용하여 모든 사용자를 지원할 수 있습니다.
그러나 동일한 인증 도메인에서 두 가지 유형의 암호를 모두 구현하면 조직에서 리소스에 액세스할 때 올바른 유형의 암호 키가 사용되도록 하기 위해 추가 단계를 수행해야 하는 추가 문제가 발생합니다(예: 높은 수준의 보증이 필요한 리소스에 액세스할 때 높은 권한의 사용자가 동기화된 암호 키가 아닌 장치 바인딩 암호 키를 사용하고 있는지 확인). 조직은 ID 공급자의 사용자 위험 평가 및 정책 엔진 프레임워크를 활용하여 이 문제를 해결할 수 있습니다. 다운스트림 권한 부여 결정에 사용할 AAL(또는 선택한 다른 속성)을 나타내는 식별자로 사용자의 세션에 워터마킹하는 것도 이 문제를 해결하는 데 사용할 수 있습니다. 연합 인증 환경에서는 OpenID Connect에 의해 표준화된 인증 방법 참조(amr, RFC8176)와 같은 표준을 사용하여 전달될 수 있습니다.
3. 결론
보통 보증 환경에서는 device-bound passkeys 와 synced passkeys 함께 구현하여 조직의 모든 사용 사례에 대해 보다 안전한 인증 솔루션을 제공할 수 있습니다. 표준 보증 수준 요구 사항이 있는 사용자의 암호 및 MFA를 대체하기 위해 보다 사용자 친화적인 synced passkeys 구현하여 더 쉽고 사용하기 더 안전한 인증 방법을 제공할 수 있습니다. 조직에서 가장 높은 수준의 보안이 필요한 높은 권한의 사용자를 위해 인증 프로세스에서 훨씬 더 높은 수준의 보안과 추가적인 신뢰 수준을 제공하는 device-bound passkeys 발급할 수 있습니다. 이 백서에서는 더 나은 사용자 경험을 제공하는 synced passkeys와 향상된 보안 기능을 갖춘 device-bound passkeys 비교하는 정보를 제공합니다. 조직은 이 정보를 사용하여 device-bound passkeys 와 synced passkeys 평가하여 조직에서 두 암호 모두를 활용하여 보통 보증 환경의 요구 사항을 충족하거나 능가하는 사용하기 쉽고 안전한 인증 방법을 제공할 수 있는 방법을 결정할 수 있습니다.
4. 다음 단계
조직을 위한 다음 단계는 FIDO2 자격 증명 평가를 시작하여 조직이 피싱에 취약하고 전반적인 보안 태세에서 중요한 약점으로 잘 문서화된 암호에서 벗어날 수 있도록 하는 것입니다. 중간 정도의 보증 요구 사항이 있고 device-bound passkeys 와 synced passkeys 모두 구현할 조직은 투자 수익률이 가장 좋은 자격 증명 유형을 결정하고, 먼저 해당 자격 증명 유형을 구현하기 위해 노력한 다음, 가능한 경우 다른 자격 증명 유형의 배포를 완료하여 후속 조치를 취해야 합니다. 두 가지 유형의 FIDO2 자격 증명을 구현하는 것은 암호 없는 환경으로 전환하고 조직의 전반적인 보안 태세를 크게 향상시키는 데 있어 큰 진전입니다.
5. 감사의 글
그룹 토론에 참여하거나 시간을 내어 이 문서를 검토하고 의견을 제공해 주신 모든 FIDO Alliance 회원사에게 감사드립니다.
- 카렌 라슨, 액시아드
- 제프 크래머(Jeff Kraemer), 액시아드
- Dean H. Saxe, Amazon Web Services, FIDO Alliance Enterprise Deployment Working Group 공동 의장
- 톰 셰필드(Tom Sheffield), 타겟 코퍼레이션(Target Corporation)
- FIDO Enterprise Deployment 워킹 그룹 구성원
