패스키를 사용한 패스워드리스 로그인

패스키

소개

패스키는 비밀번호보다 안전하고 쉬운 대안입니다. 패스키를 사용하면 사용자는 생체 인식 센서 (예: 지문 또는 얼굴 인식), PIN 또는 패턴으로 앱과 웹사이트에 로그인할 수 있으므로 비밀번호를 기억하고 관리할 필요가 없습니다.

개발자와 사용자는 모두 비밀번호를 싫어합니다. 사용자 경험이 저하되고 전환 문제가 발생하며 사용자와 개발자 모두에게 보안 책임이 발생하기 때문입니다. Android 및 Chrome의 Google 비밀번호 관리자는 자동 완성을 통한 불편함을 줄여줍니다. 전환 및 보안의 추가 개선을 원하는 개발자는 패스키와 ID 제휴가 업계에서 최신 접근 방식입니다.

패스키는 단일 단계로 다단계 인증 요구사항을 충족할 수 있습니다. 즉, 비밀번호와 OTP (예: 6자리 SMS 코드)를 둘 다 대체하여 피싱 공격에 대한 강력한 보호 기능을 제공하고 SMS 또는 앱 기반 일회용 비밀번호의 UX 문제를 방지합니다. 패스키는 표준화되어 있으므로 한 번의 구현으로 여러 브라우저 및 운영체제에서 모든 사용자의 기기에 패스워드리스 환경을 구현할 수 있습니다.

패스키가 더 쉽습니다.

  • 사용자는 로그인할 계정을 선택할 수 있습니다. 사용자 이름은 입력하지 않아도 됩니다.
  • 사용자는 지문 센서, 얼굴 인식 또는 PIN과 같은 기기의 화면 잠금을 사용하여 인증할 수 있습니다.
  • 패스키를 생성하고 등록한 후에는 각 기기에서 설정이 필요한 기존의 생체 인식 인증과 달리 사용자가 새 기기로 원활하게 전환하고 재등록하지 않고도 즉시 사용할 수 있습니다.

패스키가 더 안전합니다.

  • 개발자는 비밀번호 대신 공개 키만 서버에 저장합니다. 즉, 악의적인 행위자가 서버를 해킹할 가치가 훨씬 적으며, 해킹을 당했을 때는 정리하는 것이 훨씬 덜 걸립니다.
  • 패스키는 사용자를 피싱 공격으로부터 보호합니다. 패스키는 등록된 웹사이트와 앱에서만 작동합니다. 브라우저나 OS에서 인증을 처리하므로 사용자를 속여서 사기성 사이트를 인증하도록 속일 수 없습니다.
  • 패스키는 SMS 전송 비용을 줄여 2단계 인증을 위한 더 안전하고 비용 효율적인 수단이 됩니다.

패스키란 무엇인가요?

패스키는 사용자 계정과 웹사이트 또는 애플리케이션에 연결된 디지털 사용자 인증 정보입니다. 패스키를 사용하면 사용자 이름 또는 비밀번호를 입력하지 않고도 인증하거나 추가 인증 단계를 제공할 수 있습니다. 이 기술은 비밀번호와 같은 기존 인증 메커니즘을 대체하는 것을 목표로 합니다.

사용자가 패스키를 사용하는 서비스에 로그인하려고 하면 사용자의 브라우저 또는 운영체제가 올바른 패스키를 선택하고 사용하도록 지원합니다. 현재 저장된 비밀번호의 작동 방식과 비슷합니다. 적법한 소유자만 패스키를 사용할 수 있도록 시스템에서 사용자에게 기기 잠금 해제를 요청합니다. 이는 생체 인식 센서 (지문 또는 얼굴 인식 등), PIN 또는 패턴으로 실행할 수 있습니다.

웹사이트 또는 애플리케이션의 패스키를 만들려면 사용자가 먼저 해당 웹사이트 또는 애플리케이션에 등록해야 합니다.

  1. 애플리케이션으로 이동하여 기존 로그인 방법을 사용해 로그인합니다.
  2. 패스키 만들기 버튼을 클릭합니다.
  3. 새 패스키로 저장된 정보를 확인합니다.
  4. 기기 화면 잠금 해제를 사용하여 패스키를 만듭니다.

이 웹사이트 또는 앱으로 돌아와서 로그인하면 다음 단계를 수행할 수 있습니다.

  1. 애플리케이션으로 이동합니다.
  2. 계정 이름 입력란을 탭하여 자동 완성 대화상자에 패스키 목록을 표시합니다.
  3. 패스키를 선택합니다.
  4. 기기 화면 잠금 해제를 사용하여 로그인을 완료합니다.

사용자 기기는 패스키를 기반으로 서명을 생성합니다. 이 서명은 원본과 패스키 간의 로그인 사용자 인증 정보를 확인하는 데 사용됩니다.

사용자는 패스키가 저장된 위치와 상관없이 모든 패스키를 사용하여 서비스에 로그인할 수 있습니다. 예를 들어 휴대전화에서 생성된 패스키는 별도의 노트북에서 웹사이트에 로그인하는 데 사용할 수 있습니다.

패스키는 어떻게 작동하나요?

패스키는 패스키 관리자가 해당 운영체제에서 실행되는 애플리케이션에 패스키를 생성하고 백업하고 사용할 수 있도록 하는 운영체제 인프라를 통해 사용하기 위한 용도입니다. Android에서는 Google 비밀번호 관리자에 패스키를 저장할 수 있습니다. 패스워드 키는 동일한 Google 계정에 로그인된 사용자의 Android 기기 간에 패스키를 동기화합니다. 패스키는 동기화되기 전에 기기 내에서 안전하게 암호화되며 새 기기에서 이를 복호화해야 합니다. Android OS 14 이상을 사용하는 사용자는 호환되는 서드 파티 비밀번호 관리자에 패스키를 저장하도록 선택할 수 있습니다.

패스키는 사용 가능한 기기에서만 이용할 수 있습니다. 휴대전화에서 이용할 수 있는 패스키는 노트북에 로그인할 때 패스키가 노트북과 동기화되지 않더라도 스마트폰이 노트북 근처에 있고 사용자가 휴대전화에서 로그인을 승인하는 한 사용할 수 있습니다. 패스키는 FIDO 표준을 기반으로 하므로 모든 브라우저에서 패스키를 사용할 수 있습니다.

예를 들어 사용자가 Windows 컴퓨터의 Chrome 브라우저에서 example.com를 방문합니다. 이 사용자는 이전에 Android 기기에서 example.com에 로그인하여 패스키를 생성했습니다. Windows 시스템에서는 사용자가 다른 기기의 패스키로 로그인하도록 선택합니다. 두 기기가 연결되고 Android 기기에서 패스백 사용을 승인하라는 메시지가 표시됩니다(예: 지문 센서 사용). 그러면 Windows 시스템에 로그인됩니다. 패스키 자체는 Windows 머신으로 전송되지 않으므로 일반적으로 example.com에서 새 패스키 생성을 제안합니다. 이렇게 하면 사용자가 다음에 로그인하려고 할 때 휴대전화가 필요하지 않습니다. 자세한 내용은 휴대전화로 로그인을 참고하세요.

누가 패스키를 사용하나요?

많은 서비스에서 이미 시스템에서 패스키를 사용하고 있습니다.

직접 해보기

다음 데모에서 패스키를 사용해 볼 수 있습니다. https://passkeys-demo.appspot.com/

개인정보 보호 고려사항

  • 생체 인식으로 로그인하면 사용자에게 민감한 정보가 서버로 전송되고 있다는 잘못된 인상을 남길 수 있기 때문입니다. 실제로 생체 인식 머티리얼은 사용자의 개인 기기를 벗어나지 않습니다.
  • 패스키만으로는 사이트 간 사용자 또는 기기를 추적할 수 없습니다. 동일한 패스키는 두 개 이상의 사이트에서 사용되지 않습니다. 패스키 프로토콜은 사이트와 공유된 정보를 추적 벡터로 사용할 수 없도록 신중하게 설계되었습니다.
  • 패스키 관리자는 무단 액세스 및 사용으로부터 패스키를 보호합니다. 예를 들어 Google 비밀번호 관리자는 비밀번호 키 비밀번호를 엔드 투 엔드로 암호화합니다. 사용자만 Google 서버에 액세스하여 사용할 수 있으며, Google 서버에 백업되어 있어도 사용자의 명의를 도용하는 데 사용할 수 없습니다.

보안 고려사항

  • 패스키는 공개 키 암호화를 사용합니다. 공개 키 암호화는 잠재적인 정보 유출의 위협을 줄여줍니다. 사용자가 사이트나 애플리케이션으로 패스키를 생성할 때 사용자 기기에 공개-비공개 키 쌍이 생성됩니다. 공개 키만 사이트에 저장되지만 공격자에게는 아무런 의미가 없습니다. 공격자는 인증을 완료하는 데 필요한 서버에 저장된 데이터에서 사용자의 비공개 키를 추출할 수 없습니다.
  • 패스키는 웹사이트 또는 앱의 ID에 결합되어 있기 때문에 피싱 공격으로부터 안전합니다. 브라우저 및 운영체제는 패스키를 생성한 웹사이트 또는 앱에서만 사용할 수 있도록 보장합니다. 이렇게 하면 사용자가 진짜 웹사이트 또는 앱에 로그인하지 않아도 됩니다.

알림 받기

Google 패스키 개발자 뉴스레터를 구독하여 패스키 업데이트에 관한 알림을 받습니다.

다음 단계