편집기

Khaled Zaky, Amazon Web Services

추상적인

이 백서에서는 보다 안전하고 편리한 인증 솔루션의 필요성에 대해 설명합니다. 비밀번호는 오랫동안 인증의 표준으로 사용되어 왔지만, 비밀번호에 내재된 위험으로 인해 인증 메커니즘으로서의 효용성이 떨어지고 있습니다. 멀티팩터 인증(MFA) 솔루션이 시장에 출시된 지는 꽤 오래되었지만, 여러 가지 장벽으로 인해 광범위한 채택이 더디게 이루어지고 있습니다. 패스키는 기존 MFA 메커니즘의 도입 장벽을 낮추는 동시에 비밀번호와 기존 MFA 솔루션에 비해 향상된 보안, 사용 편의성, 확장성을 제공하는 인증 솔루션입니다. 패스키는 온디바이스 생체인식 또는 PIN을 인증에 활용하며 원활한 사용자 경험을 제공합니다. 이 백서에서는 패스키의 장점, 사용자 경험, 기업의 도입 고려 사항에 대해 간략하게 설명합니다.

1. 소개

암호는 오랫동안 인증의 표준이었지만 내재된 보안 결함으로 인해 악용될 수 있습니다. 많은 비밀번호는 데이터 유출을 통해 쉽게 추측하거나 얻을 수 있으며 여러 계정에서 비밀번호를 재사용하면 문제가 악화될 뿐입니다. 이 취약성으로 인해 유출되거나 일반적으로 사용되는 암호를 사용하여 사용자 계정에 무단으로 액세스하는 크리덴셜 스터핑 공격에 취약합니다. 실제로 비밀번호는 데이터 침해의 80% 이상의 근본 원인이며 최대 51%의 비밀번호가 재사용됩니다. 이러한 보안 문제에도 불구하고 많은 소비자와 조직은 계속해서 인증을 위해 암호에만 의존하고 있습니다. FIDO Alliance의 최근 연구에 따르면 소비자의 59%가 업무용 컴퓨터나 계정에 패스만 사용합니다.

조직에서는 SMS, 이메일 또는 인증 앱을 통해 제공되는 일회용 암호(OTP)와 같은 기존의 다단계(MFA) 메커니즘을 사용하여 단일 단계 암호 기반 인증 시스템과 관련된 위험을 줄입니다. 비밀번호와 함께 단일 단계 인증을 사용하는 조직 또는 피싱 및 자격 증명 스터핑을 줄이기 위해 OTP를 배포한 조직은 사용자가 이미 사용하고 있는 디바이스(랩톱, 데스크톱 및 모바일 디바이스)를 사용하여 향상된 사용자 경험, 인증 마찰 감소 및 향상된 보안 속성을 제공하기 위해 암호 대체품으로 패스키를 구현할 수 있습니다. 패스키 및 용어에 대한 소개는 FIDO Alliance의 패스키 리소스 페이지를 참조하십시오. 다음 페이지에서는 기존 암호 전용 사용 사례를 암호 키로 마이그레이션하는 데 중점을 둡니다. 추가 사용 사례는 여기를 참조하세요.

2. Passkeys 비밀번호보다 나은 이유는 무엇입니까?

Passkeys 인증 목적의 암호에 대한 탁월한 대안이며 기존 MFA 방법보다 향상된 사용성을 제공합니다. 더 나은 사용자 경험, 자격 증명 분실 비용 감소, 피싱 방지 및 자격 증명 손상에 대한 보호와 같은 여러 이점을 제공합니다.

동기화된 암호 키는 여러 장치에서 사용자에게 일관된 인증 환경을 제공합니다. 이는 운영 체제 플랫폼(또는 비밀번호 관리자와 같은 타사 동기화 패브릭)을 활용하여 FIDO 자격 증명에 대한 암호화 키를 동기화함으로써 가능합니다. 이렇게 하면 생체 인식 또는 디바이스 PIN을 사용하여 빠르고 쉽게 로그인할 수 있습니다. 동기화된 암호 키는 확장성과 자격 증명 복구도 향상시킵니다. synced passkeys 사용하면 사용자는 소유한 모든 디바이스에 새 FIDO 자격 증명을 등록할 필요가 없으므로 디바이스 교체 여부에 관계없이 항상 패스키에 액세스할 수 있습니다.

반면에 보안 키와 같은 device-bound passkeys 여러 장치에서 사용할 수 있으므로 장치 간 이동이 가능합니다. 동기화된 모든 장치에서 액세스할 수 있는 synced passkeys 와 달리 device-bound passkeys 는 특정 물리적 보안 키에 연결됩니다.

보안 측면에서 패스키는 FIDO 인증 표준을 기반으로 구축되어 피싱 및 크리덴셜 스터핑의 위협에 대한 강력한 저항력을 제공합니다. 또한 패스키는 기존의 기기 내 보안 기능에 의존하므로 중소기업이 더 강력한 인증 방법을 쉽게 채택할 수 있습니다.

마지막으로, 패스키는 비밀번호 및 기존 MFA 인증 방법보다 더 나은 안전하고 효율적인 인증을 위한 포괄적인 솔루션을 제공합니다. 원활한 사용자 경험, 향상된 확장성 및 향상된 보안을 갖춘 패스키는 모든 규모의 조직에 유용한 솔루션입니다.

3. Passkeys 사용자 경험

3.1 암호 키 시각적 UX/UI 만들기

참고: 이 섹션에서는 예제를 사용하여 암호 키 등록 및 로그인 프로세스에 대한 개요를 제공합니다. 참고: FIDO Alliance Working Group은 여기에서 사용할 수 있는 패스키에 대한 UX 가이드라인을 개발했습니다.

  1. 암호 키 등록 흐름에서 사용자에게 먼저 인증을 위해 암호와 함께 이메일 또는 사용자 이름을 제공하라는 메시지가 표시됩니다.

2. 그런 다음 사용자는 프롬프트에 따라 기기 내 생체 인식 또는 PIN 인증을 제공하기만 하면 됩니다.

3.2 암호 키 시각적 UX/UI를 사용하여 로그인

  1. 암호 키로 로그인하려면 사용자는 이메일 또는 사용자 이름을 선택하기만 하면 됩니다.
  2. 사용 가능한 패스키는 패스키 자동 완성 사용자 인터페이스에 표시됩니다.

4. 기업을 위한 도입 고려 사항

대기업과 중소기업 내에는 암호를 사용하는 단일 요소 인증에 의존하는 시스템과 서비스가 있습니다. 이러한 사용 사례를 통칭하여 “낮은 보증 사용 사례”라고 합니다. 낮은 보안 보장 사용 사례의 경우, 기술 리더는 암호 전용 인증 메커니즘을 암호 키로 대체하여 피싱의 위험을 크게 줄이고 암호 재사용 및 자격 증명 스터핑을 제거할 수 있습니다. 그러나 낮은 보증 사용 사례의 경우에도 기업은 기술 및 구현 선택에 영향을 줄 수 있는 요소를 고려해야 하며, 이에 대해서는 아래에서 설명합니다.

기업에서 암호 키를 배포하기 위한 전제 조건으로, 리더는 사용 사례 집합, 사용자 및 이 암호 집합에 대한 암호 키의 적합성을 명확하게 정의해야 합니다.

4.1 RP(신뢰 당사자)가 암호 키를 지원합니까?
이 글을 쓰는 시점(2023년 2분기)에 패스키는 비교적 새로운 기술이므로 광범위한 지원이 보장되지 않습니다. 조직이 패스키로의 마이그레이션 후보를 식별하기 위해 시스템을 검토할 때 리더는 에코시스템 내에서 패스키가 지원되는 위치를 식별하는 것부터 시작해야 합니다.

첫째, 사내에서 개발/관리되는 응용 프로그램의 경우 응용 프로그램에 암호 키 지원을 어떻게 추가할 수 있습니까? SSO(Single Sign On) 메커니즘을 사용하여 여러 애플리케이션 및 서비스를 페더레이션하는 경우 IdP(ID 공급자)에 패스키 지원을 추가하면 패스키에 대한 지원이 수많은 페더레이션 애플리케이션에 전파되어 SSO IdP에 중점을 둔 엔지니어링 작업으로 패스키를 지원하는 풍부한 서비스 에코시스템을 만들 수 있습니다. 반대로, 환경에서 각각 암호 기반 인증을 사용하는 여러 독립 애플리케이션을 사용하는 경우 조직은 패스키를 활용하기 위해 애플리케이션 제품군 전체에서 FIDO 구현의 우선 순위를 지정하거나 IdP가 패스키를 지원하는 연합 인증 모델로 마이그레이션하는 것을 고려해야 합니다.

둘째, 타사에서 개발하거나 호스팅하는 응용 프로그램은 암호 키를 지원하거나 지원하지 않을 수 있습니다. 조직의 서비스 공급자가 현재 암호 키를 지원하지 않는 경우 지원이 예상되는 시기에 문의하십시오. 또는 조직이 연합 ID 모델을 추구하는 경우 서비스 공급자가 인바운드 연합을 지원합니까? 이 경우 최종 사용자는 서비스 공급자의 시스템에 연합하기 전에 암호 키를 사용하여 IdP에 인증할 수 있습니다.

4.2 패스키를 생성, 관리 및 인증하는 데 사용되는 장치는 무엇입니까?
대상 애플리케이션 또는 IdP 집합을 식별한 후 애플리케이션의 사용자와 해당 애플리케이션에 액세스하는 데 사용하는 디바이스를 식별합니다. 일반적으로 최신 운영 체제, 브라우저 및 하드웨어를 사용하는 사용자는 자격 증명 관리자 또는 하드웨어 보안 키를 사용하여 플랫폼 장치에 등록된 암호 키를 광범위하게 지원합니다. 각 메커니즘에는 장단점이 있습니다.

현재 암호 키 공급자는 사용자가 동기화 패브릭에 등록한 모든 장치에 동기화된 암호를 등록할 수 있도록 합니다. Passkeys 공급자는 운영 체제, 브라우저 또는 사용자를 대신하여 패스키를 저장하고 관리하는 자격 증명 관리자의 일부일 수 있습니다. 사용자가 장치를 분실하거나 교체하는 경우 암호 키를 새 장치와 동기화하여 사용자에게 미치는 영향을 최소화할 수 있습니다. 일반적으로 이 방법은 정기적으로 적은 수의 장치를 사용하는 사용자에게 적합한 솔루션입니다.

반대로, 하드웨어 보안 키는 device-bound passkeys 만듭니다. 그들은 장치를 떠나지 않습니다. 사용자가 하드웨어 키를 분실한 경우 디바이스에 저장된 모든 자격 증명에 대해 백업을 수행하거나 계정 복구를 수행해야 합니다. Passkeys 하드웨어에 바인딩되지 않은 경우 다른 사용자와 공유할 수 있습니다.

하드웨어 보안 키는 USB, 블루투스 또는 NFC를 통해 사용자의 컴퓨팅 기기에 연결해야 하는 반면, 공급자는 부트스트랩 후 사용자의 기기에서 항상 사용할 수 있습니다. 플랫폼 자격 증명은 FIDO Cross-Device Authentication을 사용하여 주변 장치에서 인증하는 데 사용할 수 있습니다. 기업은 여러 공유 장치 간에 이동하는 사용자가 모든 공유 장치 간에 암호 키를 동기화해야 하는지, 하드웨어 키를 사용해야 하는지, 하이브리드 흐름을 사용하여 작업 스타일을 가장 잘 지원해야 하는지 여부를 고려해야 합니다.

사용자가 단일 계정(또는 프로필)을 사용하여 공유 장치에서 작업하는 경우 플랫폼 또는 자격 증명 관리자에 등록된 암호 키가 적합하지 않습니다. 이 시나리오에서는 하드웨어 키의 장치 바인딩 암호를 사용하는 것이 좋습니다. 사용자가 모바일 장치를 가지고 있는 경우 장치에 암호 키를 등록하고 장치 간 인증 흐름을 사용하여 사용자를 인증하는 것이 좋습니다.

암호와 달리 위에서 검토한 모든 패스키 솔루션은 강력한 피싱 저항을 제공하고 RP에서 자격 증명 도난 및 재사용을 제거합니다.

4.3 등록 및 복구
사용자가 암호를 등록할 수 있는 장치 또는 플랫폼에 제한이 없는 경우 사용자는 선택한 장치를 사용하여 기존 암호에서 새 자격 증명을 부트스트래핑하여 암호를 자체 프로비저닝할 수 있습니다. 하드웨어 보안 키를 사용하는 경우 조직은 백업 자격 증명을 허용하기 위해 사용자당 2개를 제공해야 합니다.

암호가 사용자 계정에서 활성 상태로 유지되는 한, 사용자는 위에서 설명한 자체 프로비저닝 후 자격 증명 손실로부터 복구할 수 있습니다. 이 단계는 사용자가 암호 키 공급자에서 자격 증명을 복원할 수 없는 경우에만 필요합니다.

5. 결론

Passkeys 기존 암호에 비해 보안이 크게 향상되었지만 구현을 진행하기 전에 채택 고려 사항을 신중하게 평가하고 이해하는 것이 중요합니다. 조직은 기술 요구 사항, 보안 및 관리 기본 설정이 암호 키 솔루션과 일치하는지 확인해야 합니다. 모든 사용 사례가 암호 키 전용 구현에 적합한 것은 아닙니다. 추가 배포 패턴에 대한 자세한 내용은 여기에서 이 시리즈의 다른 백서를 참조하십시오.

6. 다음 단계: 지금 시작하세요

조직은 인증 방법을 업그레이드하고 암호 키가 제공하는 더 강력한 보안을 활용해야 합니다. FIDO 인증 표준을 기반으로 하는 패스키는 증가하는 피싱 공격 위협에 대한 강력한 솔루션을 제공합니다. 암호를 지원하는 웹 사이트 및 응용 프로그램에서 암호 키 아이콘을 찾아 보다 안전한 미래를 향한 첫 걸음을 내딛으십시오. 기다리지 마세요. 지금 바로 패스키로 전환하세요!

패스키에 대한 자세한 내용은 FIDO Alliance 사이트를 참조하세요.

7. 감사의 글

그룹 토론에 참여하거나 시간을 내어 이 문서를 검토하고 구체적으로(알파벳 순서로) 의견을 제공해 주신 모든 FIDO Alliance 회원에게 감사드립니다.

  • 제롬 베콰르트, 액시아드
  • 비토리오 베르토치(Vittorio Bertocci), Okta
  • 그렉 브라운, 액시아드
  • 팀 카팔리(Tim Cappalli), 마이크로소프트
  • Matthew Estes, Amazon Web Services
  • 존 폰타나(John Fontana), 유비코(Yubico), FIDO 엔터프라이즈 배포 워킹 그룹 공동 의장
  • Rew 이슬람, Dashlane
  • 제프 크래머(Jeff Kraemer), 액시아드
  • 카렌 라슨, 액시아드
  • 숀 밀러, RSA
  • Dean H. Saxe, Amazon Web Services, FIDO Enterprise Deployment Working Group 공동 의장
  • 톰 셰필드(Tom Sheffield), 타겟 코퍼레이션(Target Corporation)
  • 요하네스 스톡만(Johannes Stockmann), Okta
  • 셰인 위든(Shane Weeden), IBM
  • 몬티 와이즈먼, 『정체성을 넘어서』
  • FIDO Enterprise Deployment 워킹 그룹 구성원

More

백서: 포스트 퀀텀 세계에서 FIDO Alliance의 기술 다루기

양자 컴퓨팅이 암호화 알고리즘과 프로토콜에 미치는 영향에 관한 상당한 언론 보도와 다수의 논문, 그리고 여러…

자세히 보기 →

백서: 미국 정부 기관의 FIDO 인증 배포를 위한 FIDO Alliance 가이드라인

이 문서는 FIDO가 기존 인프라의 개선으로 미국 정부 사용 사례를 해결하는 데 가장 적합한 가치를…

자세히 보기 →

백서: 고수준 보안 보장 엔터프라이즈 FIDO 인증

이 백서에서는 높은 수준의 신원 확인이 필요하거나 내부 보안 정책이 있거나 규제 요건을 충족해야 하는…

자세히 보기 →