백서: FIDO Deploying Passkeys in the Enterprise – 소개

8월 29, 2024

편집기

Dean H. Saxe, Amazon Web Services, FIDO Enterprise Deployment Working Group 공동 의장

1. 소개

작년에 FIDO Alliance, Apple, Google 및 Microsoft는 동일한 패스키 제공업체에 등록된 디바이스 간에 백업 및 사용할 수 있는 FIDO 자격 증명인 패스키를 지원하겠다는 의사를 발표했습니다. 그 이후로 우리는 여러 플랫폼과 암호 관리자에 의한 암호 키 및 베타 구현에 대한 지원을 보았습니다. 기업은 패스키에 대한 관심을 표명했지만 어디서부터 시작해야 할지, 환경에서 어떤 유형의 패스키가 작동하는지, 인증 전략에 패스키가 어떻게 적합한지 알지 못합니다.

FIDO Alliance는 비밀번호가 없는 FIDO 자격 증명을 설명하기 위해 “패스키”라는 용어를 채택했다는 점에 유의해야 합니다. 여기에는 synced passkeys(원래 공지 및 의도와 일치)와 발급된 디바이스를 벗어날 수 없는 FIDO 인증 자격 증명인 device-bound passkeys(예: FIDO 보안 키)가 포함됩니다.

다음 백서 시리즈에서 FIDO EDWG(Enterprise Deployment Working Group)는 중소기업에서 대기업으로 확장하는 FIDO 솔루션 배포에 대한 지침을 리더와 실무자에게 제공합니다. 이 시리즈에서는 synced passkey부터 device-bound passkey에 이르기까지 FIDO 자격증명에는 다양한 사용 사례가 있다는 점을 인식하여 다양한 기업 사용 사례에 적합한 솔루션을 식별하기 위한 주요 결정 포인트를 알아봅니다. 기업은 다양한 사용 사례를 충족하는 데 필요한 여러 FIDO 기반 솔루션이 있다는 것을 알게 될 것입니다.

조직은 해당 환경에서 암호 키를 사용하는 방법을 평가할 때 조직의 법률, 규정 및 보안 요구 사항을 확인하고 synced passkeys 와 device-bound passkeys 모두 이러한 요구 사항을 충족할 수 있는 방법을 평가해야 합니다.

독자가 FIDO 프로토콜에 대한 높은 수준의 이해를 가지고 있다고 가정하며, 그렇지 않은 경우 https://passkeys.dev/ 참조하십시오.

백서 다운로드

2. Passkeys 선택하는 이유는 무엇입니까?

비밀번호는 데이터 침해의 80% 이상의 근본 원인이며, 비밀번호의 최대 51%가 재사용되어 크리덴셜 스터핑 공격의 대상이 됩니다. FIDO 자격 증명은 그 설계로 인해 본질적으로 암호보다 더 안전합니다. 이러한 자격 증명은 관련 없는 서비스의 검색을 방지하기 위해 특정 출처(예: https://fidoalliance.org/)로 범위가 지정된 고유한 암호화 키 쌍입니다. 암호와 달리 FIDO 자격 증명은 피싱에 매우 강하며 개인 키인 자격 증명은 RP(신뢰 당사자) 서버에서 도난할 수 없습니다.

FIDO 자격 증명은 낮은 보안 보장에서 높은 보안 보장에 이르기까지 다양한 사용 사례에서 활용될 수 있으며 사용자 경험, 편의성 및 보안의 균형을 맞출 수 있습니다. 하드웨어 보안 키부터 휴대폰, 태블릿, 노트북의 생체 인식 하드웨어, 비밀번호 관리자에 이르기까지 다양한 인증자를 통해 기업은 고유한 환경에 적합한 도구를 선택할 수 있습니다.

모든 FIDO 자격 증명은 암호화 키 쌍을 기반으로 하지만 동일한 보안 특성을 나타내지 않으며 모든 사용 사례에 적합한 것도 아닙니다. 예를 들어 하드웨어 보안 키는 device-bound passkeys 있는 FIPS 인증 기기일 수 있습니다. RP는 등록 시 제공된 증명 진술에 따라 이러한 자격 증명을 식별할 수 있습니다. 반면에 동기화된 암호 키 구현은 클라우드 기반 서비스를 통해 키 자료를 동기화합니다. 타사 서비스에서 자격 증명을 내보내고 관리하려면 추가 고려 사항이 발생하며 모든 조직의 보안 요구 사항을 충족하지 못할 수 있습니다. 4페이지의 표에는 장치 바인딩 및 synced passkeys의 사용 사례와 속성이 요약되어 있습니다.

이 시리즈를 읽다 보면 FIDO 생태계에 고유한 용어를 접할 수 있습니다. 이러한 용어의 정의에 대해서는 FIDO Technical Glossary 를 참조하십시오.

대부분의 기업에는 이러한 문서 중 하나 이상에 걸친 사용 사례가 있을 것으로 예상됩니다. 조직이 이 여정의 어디에 있든 지금 바로 FIDO 자격 증명을 사용하여 자격 증명 재사용, 피싱 및 자격 증명 스터핑을 줄일 수 있습니다.

첫 번째 백서에서는 조직이 암호를 유일한 인증 요소로 사용하는 사용자에게 암호를 배포할 수 있는 방법을 살펴봅니다. 패스키를 배포함으로써 기업은 회사 또는 개인 디바이스를 인증을 위해 사용하는 동안 직원에 대한 피싱 또는 자격 증명 스터핑의 위험을 즉시 줄일 수 있습니다. https://fidoalliance.org/fido-in-the-enterprise/.

SMS OTP, TOTP 및 HOTP와 같은 고전적인 2단계 인증 솔루션을 배포한 많은 조직이 있습니다. 대부분의 경우 이러한 배포는 피싱 공격의 성공을 줄이기 위한 전술적 대응이었습니다. 그러나 이러한 메커니즘 중 어느 것도 피싱에 영향을 받지 않습니다. 이 시리즈의 두 번째 백서에서는 패스키가 피싱 방지 메커니즘을 덜 대체하는 동시에 인증 사용자 경험을 개선하는 방법을 살펴봅니다. https://fidoalliance.org/fido-in-the-enterprise/.

규제를 받는 산업에 종사하는 기업은 직원의 일부 또는 전체에 대해 더 높은 보증 인증을 사용해야 할 수 있습니다. 이러한 회사(또는 보안 요구 사항이 엄격한 기타 회사)는 인증 요구 사항을 충족하기 위해 synced passkeys, device-bound passkeys 또는 둘 다를 배포할 수 있습니다. 시리즈의 세 번째 문서에서는 이러한 요구 사항을 충족할 수 있는 FIDO 기반 솔루션을 결정하는 방법에 대한 지침을 제공합니다. https://fidoalliance.org/fido-in-the-enterprise/.

마지막 문서에서는 기능 또는 규정 요구 사항에 고수준 보증이 필요한 device-bound passkeys 사용하는 방법에 대해 설명합니다
인증. 이러한 시나리오에서는 증명 데이터를 사용하여 암호를 생성하고 관리하는 데 사용되는 하드웨어 장치의 유효성을 안전하게 검사합니다.

이 증명 데이터는 규제 대상 기업 및 사용 사례에 대한 규정 및 보안 요구 사항을 준수하는 데 사용할 수 있습니다. https://fidoalliance.org/fido-in-the-enterprise/.

	장치 바인딩 Passkeys	동기화된 Passkeys
낮은 보증 수준	충분한	충분한
보통 보증	충분한	충분할 수 있습니다.
고수준 보안 보장(High Assurance)	충분할 수 있습니다. 인증자에 따라 다르며 규정/규정 준수 요구 사항(예: FIPS 140)	부족
이식성	장치 및 생태계 간에 이식할 수 있음(예: 하드웨어 보안 키) 사용 가능한 연결 옵션(USB, NFC, BLE)	Passkey Provider 에코시스템 내에서 이식 가능
공유 가능/복사 가능	아니요 – 장치 바인딩된 자격 증명을 내보낼 수 없습니다.	지원될 수 있습니다. 암호 키에 따라 다름 공급자
계정 복구	등록을 통한 자격 증명 손실 시나리오 최소화Minimize credential loss scenarios by registering 여러 device-bound passkeys 정의된 엔터프라이즈 RP를 통한 계정 복구 메커니즘	Passkey Provider를 통한 자격 증명 복구는 새 장치를 부트스트랩하기 위한 메커니즘을 정의했습니다. 정의된 엔터프라이즈 RP를 통한 계정 복구 메커니즘
비용	확보 및 제공에 대한 잠재적인 추가 비용 하드웨어 보안 키(기기 바인딩 키가 플랫폼 생태계에서 사용할 수 없음	기존 플랫폼에 기본 제공 타사/비플랫폼 암호 키 공급자에 대한 가능한 추가 비용