편집기
숀 밀러, RSA
추상적인
기업은 특히 현재 암호에 의존하고 있는 경우 암호 키 사용을 고려해야 합니다. 이러한 자격 증명을 패스키로 대체함으로써 기업은 피싱의 위험을 즉시 줄이고 자격 증명 재사용을 제거하여 인증 서비스 보안을 강화할 수 있습니다. 편의성과 보안 간의 균형을 유지하면서 사용자의 요구를 충족하기 위해 다양한 유형의 FIDO 인증자를 사용할 수 있습니다. 높은 수준의 ID 보증, 내부 보안 정책 또는 규정 요구 사항이 필요한 기업의 경우 적절한 유형의 암호 키를 결정하기 위해 추가 조사가 필요합니다. 고수준 보안 보장 요구 사항이 기업 전체에 적용되지 않을 수 있으므로 기업 전체와 조직의 일부를 모두 살펴보는 것이 중요합니다.
많은 고수준 보안 보장 시나리오의 경우 증명된 device-bound passkeys 더 바람직할 수 있습니다. 높은 보증 요구 사항이 있는 신뢰 당사자는 모든 유형의 인증자를 수락하고 증명 특성에 따라 인증 흐름을 조정할지 또는 사용자 환경이 저하될 위험을 감수하고 인증되지 않거나 수락할 수 없는 인증자의 등록을 거부할지 여부를 결정해야 합니다.
관객
이 백서는 기업 전체에 FIDO 인증을 배포하고 수명 주기 관리 정책을 정의하는 것을 고려하고 있는 IT 관리자 및 엔터프라이즈 보안 아키텍트를 대상으로 합니다. 이 백서에서는 다단계 인증 MFA의 다양한 사용 사례와 관리자가 선택할 수 있는 FIDO Authenticator 에 대한 개요를 제공합니다. 관리자가 특정 환경에 적합한 인증 유형을 선택할 수 있도록 안내하는 것이 목적입니다. 특히 자격 증명 제어에 대한 엄격한 요구 사항이 있는 의료 기관, 정부 기관 또는 금융 기관과 같이 더 높은 수준의 보안이 필요한 회사는 이 백서를 읽어야 합니다.
독자는 FIDO 아키텍처, 신뢰 당사자, 프로토콜에 대해 이해하고 있으며 이 백서에서 사용되는 주요 개념을 소개하는 “FIDO EDWG 2023 Papers – Introduction”을 읽었다고 가정합니다.
1. 소개
이 문서에서는 고수준 보안 보장 환경에서 엔터프라이즈 사용자를 위한 암호 키를 배포하는 방법에 대해 중점적으로 설명합니다.
독자는 여기에서 일련의 논문에 대한 소개를 찾을 수 있습니다.
소개 백서는 시리즈의 모든 백서에 대한 추가 설명과 링크를 제공하며, 낮은 보증 수준에서 높은 보안 보장까지 다양한 사용 사례를 다룹니다.
대부분의 기업은 이러한 문서 중 두 개 이상에 걸친 사용 사례를 가지고 있을 가능성이 높으며, 독자는 배포 환경과 관련된 백서를 검토하는 것이 좋습니다.
이 백서에서는 고수준 보안 보장 환경에서의 의미와 이것이 FIDO 사용 방식에 어떤 영향을 미칠 수 있는지 살펴봅니다. 좀 더 구체적으로 말하자면, 이 문서에서는 암호 전용 인증의 문제를 해결하고 암호를 사용하여 사용자를 인증하는 것보다 더 강력하고 피싱에 강한 대안으로 암호 키를 제안합니다. 또한 이 문서에서는 IT 및 보안 전문가가 고수준 보안 보장 인증 시나리오에 대한 규정 및 보안 요구 사항을 준수하기 위해 고려해야 할 몇 가지 채택 고려 사항을 제공합니다. 이 백서에서는 장치를 등록하고, 등록된 장치를 사용하고, 분실한 장치를 복구하는 사용 사례를 살펴봅니다.
환경에서 암호 키를 허용해야 하는지 여부를 결정하는 핵심 부분은 증명을 기반으로 합니다. 등록 프로세스의 일부로 자격 증명에 대한 증명을 제공할 수 있으며, 신뢰 당사자는 이를 사용 중인 인증자의 출처로 신뢰할 수 있습니다. 고수준 보안 보장 엔터프라이즈 시나리오의 경우 항상 증명을 요청해야 합니다. 자격 증명과 연결된 증명에서 검색할 수 있는 내용 또는 증명이 없는 경우 등록 수락 여부에 대한 정책 결정을 내리는 데 도움이 될 수 있습니다. 증명이 없으면 신뢰 당사자가 자격 증명을 허용해야 하는지 여부를 결정하기 어려울 수 있습니다. 등록을 완전히 거부하여 사용자 경험이 저하될 수도 있고, 기업은 고수준 보안 보장 요구 사항을 충족하기 위해 FIDO 인증과 함께 추가 조건부 MFA(다단계 인증)를 사용하도록 선택할 수도 있습니다. 증명을 통해 기업은 인증자의 출처, 제조 유형, 인증 및 기능에 대한 보증을 가질 수 있으며, 이러한 보증을 MFA 디바이스로 사용하여 인증자의 잠금을 해제하기 위한 자격 증명 및 PIN과 같은 여러 요소를 제공할 수 있습니다.
동기화된 암호 키는 많은 사용 사례에서 잘 작동하며 기업의 보안 또는 규정 요구 사항에 따라 일부 고수준 보안 보장 시나리오에서도 계속 작동할 수 있습니다. 동기화된 암호 키는 복구 가능성과 사용 편의성 때문에 매력적입니다. 그러나 자격 증명의 위치와 자격 증명을 제어하는 사람도 변경됩니다. 자격 증명에 대한 이러한 외부 제어를 감안할 때 엔터프라이즈가 MFA 방법의 수명 주기 관리를 제어할 수 있는 synced passkeys 에 대해 일부 추가 MFA가 필요할 수 있습니다.
이 백서의 나머지 부분에서는 Authenticator Assurance Levels[7] 및 FIDO Certified Authenticator [8]를 기반으로 운영하기 위해 고수준 보안 보장 요구 사항이 있는 기업 또는 조직을 살펴봅니다.
2. Passkey 사용 사례
이 섹션에서는 기업 또는 조직의 암호 키와 관련된 사용 사례에 중점을 둡니다. 자격 증명을 다른 장치에서 사용할 수 있기 때문에 synced passkeys 장치를 등록하고, 장치를 사용하고, 분실된 장치를 복구하는 데 쉽고 편리하게 매우 잘 작동하는 기업의 사용 사례가 많이 있습니다. 조직에서는 synced passkeys 의 모든 이점을 살펴보고 조직에 적합한지 확인하는 것이 좋습니다. 그러나 synced passkeys 사용하는 것은 편리하기는 하지만 고수준 보안 보장이 필요한 기업 또는 조직의 모든 보안 요구 사항(예: AAL3 요구 사항)을 충족하지 못할 수 있습니다. AAL3 수준에는 몇 가지 요구 사항이 있으며 가장 중요한 것은 하드웨어 기반 인증자를 사용하는 것입니다. AAL( Authenticator Assurance Levels) [7]의 다양한 수준에 대한 자세한 내용은 NIST를 참조하세요. AAL3는 의료, 정부 또는 금융과 관련된 회사와 같이 더 높은 수준의 보안이 필요한 회사 및 조직에 적용되는 경우가 많으며, 자격 증명의 제어에 대한 엄격한 요구 사항, 특히 자격 증명이 장치에 바인딩되고 복사되지 않아야 합니다.
2.1. 등록
기업 또는 조직은 먼저 해당 환경에서 지원할 장치와 장치 프로비저닝을 관리하는 방법을 고려해야 합니다.
예를 들어 조직은 사용자가 자신의 장치(예: 휴대폰)를 가져올 수 있는 환경을 지원할 수 있으며, 조직은 PIN 길이, 특정 사용자 현재 상태 기능 또는 특정 하드웨어 모델과 같은 특정 보안 요구 사항을 충족하는 발급된 장치에 대해 매우 엄격한 요구 사항을 가질 수 있습니다.
마지막으로, 조직은 암호 키가 여러 장치에 상주하도록 허용할지 아니면 단일 장치에만 상주하도록 허용할지 고려해야 합니다.
이는 보안 및 복구에 미치는 영향을 모두 고려해야 합니다.
조직에는 자격 증명이 장치에 바인딩되고 전혀 복사할 수 없어야 하는 사용 사례가 있을 수 있으며, 이 경우 synced passkeys 권장되지 않습니다. 조직은 기존 MFA 메커니즘과 함께 synced passkeys 허용하여 암호를 암호 키로 바꿀 수 있습니다. 그러나 조직에 자격 증명이 상주할 수 있는 위치에 대한 엄격한 요구 사항이 있는 경우 device-bound passkeys로 사용을 제한하는 방법을 면밀히 살펴봐야 합니다. 이러한 요소는 조직이 등록을 관리하는 방법을 결정합니다. 이러한 모든 경우는 암호 키 유형을 제한해야 하는 경우 신뢰 당사자에게 추가 부담을 줍니다.
신뢰 당사자는 등록 프로세스 중에 FIDO L1+ 인증을 충족하거나 초과하는 인증자를 요구하는 것과 같은 일부 요구 사항이 충족되는지 확인해야 할 수 있습니다[8]. 이러한 요구 사항에 대한 인증자의 준수 여부를 평가하려면 인증자는 유효성을 검사하고 검사할 수 있는 증명을 제공해야 합니다. 인증자가 L1+의 요구 사항을 충족하지 않는 경우 자격 증명의 출처에 대해 증명할 수 없는 것이 없으므로 신뢰 당사자가 등록을 거부하도록 강요받거나, 당사자는 높은 보증 요구 사항을 충족하기 위해 추가 MFA를 사용하는 구현을 고려할 수 있습니다.
증명이 제공되는 경우 신뢰 당사자는 해당 장치가 어떤 유형의 장치인지, 기업 또는 조직의 요구 사항을 충족하는지 확인할 수 있습니다. 신뢰 당사자는 증명을 사용할 수 있는 경우 인증자의 고유 식별자를 기반으로 제한할 수도 있습니다. AAGUID( Authenticator Attestation Globally Unique Identifier)라고 하는 고유 식별자를 사용하여 FIDO Alliance Service[2]에 대한 세부 정보를 조회하여 등록되는 디바이스 유형, 인증 수준 및 제공하는 기능을 파악할 수 있습니다.
엔터프라이즈 증명은 등록 중에 활용할 수 있는 또 다른 형태의 증명입니다. 이는 조직에 고유한 추가 정보를 추가하기 위해 일부 인증자 공급업체에 의해 구현됩니다. 이 추가 정보를 증명의 일부로 포함하고 허용된 인증자를 좁히면 등록 환경을 더욱 향상시키는 데 사용할 수 있습니다.
마찬가지로 자격 증명이 백업에 적합한지 여부 및/또는 백업되었는지 여부에 대한 플래그가 있을 수 있습니다. 그러나 이러한 플래그는 장치가 인증되었다는 일부 증명 없이는 신뢰할 수 없습니다. 신뢰 당사자는 이 정보와 런타임에 제공된 다른 정보를 기반으로 등록을 허용하거나 거부할 수 있습니다.
안타깝게도 신뢰 당사자가 자격 증명 등록에 실패하면 사용자가 1단계에서 다른 인증자를 사용하여 등록 프로세스를 다시 반복해야 합니다. WebAuthn[5]은 적합한 인증자를 식별하기 위한 프리플라이트 메커니즘을 지원하지 않지만, 신뢰 당사자는 등록 전에 사용자에게 피드백을 제공하여 허용 가능한 인증자를 식별할 수 있습니다. 등록에 실패한 후 사용자의 인증자 선택을 안내하기 위해 추가 지침을 제공할 수 있습니다. 이 지침은 명시적이어야 하며, 등록 중에 인증자가 거부된 이유, RP의 요구 사항을 충족하는 인증자, 증명 전달에 대한 브라우저 필수 선택 사항 관리에 대한 지침을 식별해야 합니다.
신뢰 당사자는 인증자의 요구 사항을 보다 규범적으로 설명할 수 있어야 하며, 이를 통해 최종 사용자가 요구 사항을 충족하는 인증자만 선택하고 신뢰 당사자의 부담을 제거할 수 있는 훨씬 더 나은 사용자 환경을 제공할 수 있어야 합니다. 이러한 변경사항은 WebAuthn에 제안되었지만 아직 플랫폼 공급업체의 지원을 받지 못했습니다.
기업을 위한 또 다른 접근 방식은 최종 사용자에게 노출되는 등록 사용 사례를 제공하지 않는 것일 수 있습니다. 대신, 기업은 사용자에게 프로비저닝되기 전에 장치를 등록하는 수명 주기를 관리합니다. 마찬가지로, 기업은 권한 있는 인증자만 프로비전되고 등록되도록 하기 위해 몇 가지 형태의 감독된 등록 환경을 제공할 수 있습니다. 이렇게 하면 위에서 언급한 사용자 경험과 관련된 여러 가지 위험을 피할 수 있지만 기업에 더 많은 수명 주기 관리 부담을 줍니다.
2.2.
Sign In
자격 증명이 등록되면 인증 시 필요할 때 FIDO 자격 증명에 액세스할 수 있습니다.
애플리케이션은 WebAuthn 브라우저 API 또는 플랫폼 패스키 API를 활용하여 등록된 기기를 사용하여 FIDO 인증을 수행합니다.
등록된 장치의 유형에 따라 PIN 입력 또는 사용자 현재 상태 확인과 같은 인증과 관련된 여러 요소가 있습니다.
이러한 상호 작용에 대한 요구 사항은 사용자가 자신이 말하는 사람이며 사용자를 가장하지 않는다는 높은 수준의 확신이 있어야 한다는 것입니다.
이러한 요구 사항은 장치가 기업 또는 조직의 요구 사항을 충족할 수 있도록 등록 프로세스 중에 적용되어야 합니다.
이 사용 사례에서 synced passkeys 와 device-bound passkeys 간의 유일한 차이점은 인증해야 하는 항목입니다. device-bound passkeys의 경우 등록 프로세스 중에 사용된 원래 하드웨어 장치가 필요합니다. 동기화된 암호는 암호 공급자가 호스팅하는 계정에 액세스할 수 있는 여러 장치에서 액세스할 수 있습니다. 또한 일부 synced passkeys 등록 후 공유될 수 있습니다. 신뢰 당사자는 현재 사양에서 공유 자격 증명을 식별하는 메커니즘이 없기 때문에 synced passkeys의 수명 주기를 이해하고 관리하기가 더 어렵습니다.
“엔터프라이즈 사용 사례를 위한 FIDO 인증자 선택”[4]에 대한 백서에서 다루는 몇 가지 엔터프라이즈 사용 사례가 있습니다. 조직은 FIDO가 어떻게 활용되는지 평가하기 위해 이를 검토해야 합니다. 특히 FIDO를 첫 번째 요소(암호 없는) 또는 두 번째 요소로 사용하려는 조직은 중요한 결정을 내리는 것이 중요하며, 이 백서는 조직이 진정으로 고수준 보안 보장이 필요한 것이 무엇인지 이해하는 데 도움이 될 수 있습니다. 예를 들어, 특정 프로젝트가 있을 수도 있고, 정부 또는 규제 요구 사항에 따라 주도되는 전체 산업에 사용 사례가 적용될 수도 있습니다. 예를 들어, 직원은 동기화된 암호 키를 사용하여 랩톱에 액세스할 수 있지만, 특정 보안 수준을 가진 특정 직원으로 제한된 특정 애플리케이션에 로그인하려면 장치 바인딩 암호 키를 사용해야 할 수 있습니다.
2.3.
Recovery/Lost Device
복구는 동기화된 암호 키가 빛을 발하는 곳입니다.
자격 증명이 있는 FIDO 장치를 분실한 경우 동일한 플랫폼 계정을 공유하는 다른 장치에서 자격 증명에 액세스할 수 있습니다.
이는 편리할 뿐만 아니라 암호 키가 연결된 플랫폼 계정만큼만 안전하다는 것을 의미하기도 합니다.
기업은 조직 외부의 서비스에 의존하기 전에 공급업체 솔루션을 검토하여 얼마나 안전한지 파악해야 합니다.
예를 들어, 공급업체에 알려지지 않은 키로 종단 간 암호화를 제공합니까?
사용자 계정을 보호하기 위해 MFA와 같은 추가 조치가 사용되나요?
계정 복구에는 어떤 프로세스가 사용되나요?
최종 사용자는 이러한 문제에 대해 우려하지 않을 수 있지만 이러한 세부 정보는 조직의 보안 관리자에게 보안 문제를 나타낼 수 있습니다.
외부 당사자가 자격 증명을 저장하고 관리할 수 있는지 확인하기 위해 조직의 보안 요구 사항을 검사해야 합니다.
또한 신뢰할 수 있는 당사자는 증명을 요구하지 않고 자격 증명의 발급자가 누구인지 또는 무엇인지(플랫폼, 로밍 인증자, 브라우저 플러그인 또는 다른 것) 알 수 없습니다.
따라서 신뢰 당사자는 높은 수준의 보증을 제공하면서 자격 증명에 대한 액세스를 복구하는 방법에 대한 지침을 제공할 수 없습니다.
사용자의 ID를 확인하고 새 장치 및 자격 증명을 발급하기 위해 FIDO 자격 증명을 복구하는 것 외에 다른 형태의 계정 복구가 필요합니다.
마지막으로, synced를 사용할 때 공급자로부터 암호 키를 복구하는 것은 신뢰 당사자에게 알려져 있지 않습니다.
이는 기업이 인식하지 못하는 잠재적인 공격을 나타냅니다.
device-bound passkeys의 경우 복구 프로세스가 더 복잡하며 새 장치를 발급하고 이전 장치에 대한 액세스를 취소하기 위해 지원 센터[6]의 참여가 필요할 수 있습니다. 이는 편리함보다 보안을 우선시하는 접근 방식으로, 기업이나 조직이 장치를 소유한 사람을 제어할 수 있도록 합니다. 이는 최종 사용자가 액세스 권한을 다시 얻기 전에 추가 단계가 필요하다는 것을 의미합니다. 그러나 이를 통해 기업은 자격 증명의 수명 주기를 더 잘 제어할 수 있으므로 기업은 언제든지 인증자를 취소하거나 만료할 수 있으며 자격 증명이 복사되지 않거나 엔터프라이즈 제어 밖에 존재하지 않도록 보장할 수 있습니다. 일부 기업에서는 사용자가 자체 복구할 수 있도록 여러 장치를 프로비저닝하여 이 문제를 해결했습니다. 궁극적으로 복구 모델과 관련하여 비즈니스 결정을 내려야 합니다. 경우에 따라 사용자가 새 디바이스를 받을 수 있을 때까지 액세스를 차단하는 것이 적절할 수 있으며, 이 경우 보안 수준이 낮은 모델에 비해 생산성이 저하됩니다. 기업이 등록 환경을 관리하기로 선택하는 경우 등록 단계에서 강조된 추가 부담은 복구/교체 경험에 직접적인 영향을 미칩니다.
2.4.
Unregistering
어느 시점이 되면 직원은 프로젝트나 기업 전체를 떠나게 됩니다.
기업은 자격 증명에 대한 제어 권한이 있는지 확인하고 사용 등록을 취소하여 더 이상 액세스할 수 없도록 하려고 합니다.
이는 기업이 자격 증명의 수명 주기 및 관리를 완전히 제어할 수 없는 synced passkeys 와 관련하여 더 큰 고려 사항입니다.
synced passkeys 에 추가 MFA가 필요한 경우 엔터프라이즈는 MFA 측면을 제어하여 관련 요소를 만료시켜 인증이 더 이상 허용되지 않도록 할 수 있습니다.
장치 바인딩된 암호 키 환경은 장치를 물리적으로 전달하고 복사본이 만들어지지 않았음을 알거나 장치를 무효화/만료하여 후속 인증 시도가 실패하도록 하는 방식으로 장치 등록 취소를 훨씬 더 제어할 수 있습니다.
자격 증명 수명 주기에는 휴직 또는 조직과의 분리와 같은 직원 상태 변경으로 인해 또는 자격 증명의 잠재적인 손실 또는 손상으로 인해 자격 증명을 비활성화하거나 제거할 수 있는 기능이 필요합니다. Passkeys 사용자가 신뢰 당사자에 여러 개의 암호 키를 등록할 수 있기 때문에 이러한 경우의 암호와 다른 점이며, 이는 사용자가 신뢰 당사자당 하나의 암호만 가질 것으로 예상되는 암호와 대조적입니다. 사용자와 엔터프라이즈가 영구적으로 분리되는 경우 사용자 계정을 사용하지 않도록 설정하거나 서비스에서 자격 증명을 회전하는 것은 사용자가 더 이상 인증할 수 없도록 하는 표준 관행입니다. 휴직과 같이 일시적인 분리인 경우 기업은 사용자가 돌아올 때까지 모든 사용자의 자격 증명을 순환하거나 사용자 계정을 비활성화하도록 선택할 수 있습니다.
자격 증명이 손실된 경우 다음 단계는 배포 시나리오에 따라 달라집니다. device-bound passkeys 사용하는 사용자가 보안 키를 분실한 경우 서비스에서 자격 증명을 해지해야 합니다. 동기화된 암호 키는 추가적인 문제를 야기합니다. 디바이스가 손상된 경우 다른 암호 키 공급자에 있는 자격 증명을 포함하여 디바이스에 있는 모든 자격 증명은 RP에 의해 손상된 것으로 처리되고 해지되어야 합니다. 사용자의 암호 키 공급자 계정이 손상된 경우 공급자와 함께 저장된 영향을 받는 자격 증명을 해지해야 합니다. 이러한 시나리오에서 해지를 용이하게 하기 위해 RP는 가능한 경우 특정 자격 증명의 해지를 용이하게 하기 위해 등록 중에 사용자가 자격 증명의 이름을 지정하거나 식별할 수 있도록 허용해야 합니다. 관리 제어는 하드웨어 보안 키 또는 암호 키 공급자의 동기화 패브릭에서 자격 증명 개인 키 자료를 제거하는 대신 RP에서 자격 증명을 제거하는 데 초점을 좁혀야 하며, 이는 불가능할 수 있습니다.
3. 배포 전략
고수준 보안 보장 환경에서 기업은 모든 인증자의 배포 및 폐기를 관리하려고 할 것입니다. 장치 바인딩 암호 키는 IT 부서에서 관리하고 개인에게 프로비저닝합니다. 신뢰 당사자는 증명을 확인하고 기업 또는 조직에서 관리하는 인증자의 등록만 허용해야 합니다. 증명이 없거나 보안 요구 사항을 충족하지 않는 경우 등록이 실패해야 합니다. 개인이 떠날 때 폐기되거나 더 이상 높은 수준의 액세스가 필요하지 않도록 인증자 풀을 관리하는 프로세스를 설정해야 합니다. 마지막으로, 조직 또는 기업은 분실/도난당한 디바이스를 복구하기 위한 프로세스를 정의해야 합니다. 액세스가 비즈니스의 연속성에 얼마나 중요한지에 따라 항상 액세스할 수 있도록 지정된 개인에 대해 여러 하드웨어 장치를 발급할 수 있습니다.
4. 결론
패스키가 기존 비밀번호에 대한 강력한 피싱 방지 대체 옵션이라는 데는 이견이 없습니다. 엔터프라이즈 환경에서는 보안 및 규정 요구 사항을 확인하여 synced passkeys 작동하는지 또는 내부 보안 정책, 규정 또는 device-bound passkeys 사용해야 하는 규정 준수 요구 사항과 같은 더 엄격한 제약 조건이 있는지 확인하는 것이 중요합니다. 두 가지 접근 방식을 모두 사용하는 기업은 FIDO 자격 증명의 등록, 관리 및 복구를 관리하는 방법을 이해하는 데 시간을 할애해야 합니다. 여기에는 자격 증명(외부) 저장, 분실된 자격 증명 복구, 직원 퇴사 시 장치 등록 취소와 같은 중요한 사용 사례가 포함됩니다. 기업의 요구 사항에 따라 암호 키는 사용자 지정 없이 작동할 수 있으며, 기업은 인증 환경이 특정 장치에 맞게 더 많이 관리되고 필터링되도록 하기 위해 투자해야 할 수 있습니다.
5. 다음 단계: 지금 시작하세요
- FIDO 표준을 사용합니다.
- 신뢰 당사자가 지원하는 것이 무엇인지 고려하고 엔터프라이즈 보안 요구 사항을 고려합니다.
- Passkeys 비밀번호보다 훨씬 안전합니다. 암호 키를 지원하는 웹 사이트 및 응용 프로그램에서 암호 키 아이콘을 찾습니다.
패스키에 대한 자세한 내용은 FIDO Alliance 사이트[3]를 참조하세요.
6. 참고문헌
[1] FIDO 엔터프라이즈에 Passkeys 배포 – 소개
[2] FIDO Alliance 메타데이터 서비스 – https://fidoalliance.org/metadata/
[3] Passkeys (Passkey 인증) –
https://fidoalliance.org/passkeys/#:~:text=Can%20FIDO%20보안%20Keys%20지원, 검색 가능한%20credentials%20,%20user%20검증.
[4] FIDO Alliance 백서: 엔터프라이즈 사용 사례를 위한 FIDO 인증자 선택 –
https://fidoalliance.org/white-paper-choosing-fido-authenticators-for-enterprise-use-cases/
[5] WebAuthn – https://fidoalliance.org/fido2-2/fido2-web-authentication-webauthn/
[6] FIDO 계정 복구 모범 사례 –
https://media.fidoalliance.org/wp-content/uploads/2019/02/FIDO_Account_Recovery_Best_Practices-1.pdf
[7] NIST Authenticator 보증 수준 – https://pages.nist.gov/800-63-3-Implementation-Resources/63B/AAL/
[8] FIDO 인증 Authenticator 레벨 – https://fidoalliance.org/certification/authenticator-certification-levels/
7. 감사의 글
그룹 토론에 참여하거나 시간을 내어 이 문서를 검토하고 의견을 제공해 주신 모든 FIDO Alliance 회원사에게 감사드립니다.
- Matthew Estes, Amazon Web Services
- 존 폰타나(John Fontana), 유비코(Yubico)
- Rew 이슬람, Dashlane
- Dean H. Saxe, Amazon Web Services, FIDO Enterprise Deployment Working Group 공동 의장
- 요하네스 스톡만(Johannes Stockmann), Okta
- 셰인 위든(Shane Weeden), IBM
- Khaled Zaky, Amazon Web Services
- FIDO Enterprise 배포 그룹 구성원