패스키를 사용한 패스워드리스 로그인

패스키

소개

패스키는 비밀번호보다 안전하고 쉬운 대안입니다. 패스키를 사용하면 사용자가 생체 인식 센서 (예: 지문 또는 얼굴 인식), PIN 또는 패턴으로 앱과 웹사이트에 로그인할 수 있으므로 비밀번호를 기억하고 관리하지 않아도 됩니다.

비밀번호를 사용하면 개발자와 사용자 모두 비밀번호를 싫어합니다. 사용자 환경을 저해하고, 전환을 저해하며, 사용자와 개발자 모두에게 보안 책임을 져야 합니다. Android 및 Chrome의 Google 비밀번호 관리자는 자동 완성을 통해 마찰을 줄여줍니다. 변환 및 보안을 한층 더 개선하고자 하는 개발자는 패스키와 ID 제휴를 업계에서 가장 최신의 접근 방식으로 활용할 수 있습니다.

패스키는 비밀번호와 OTP (예: 6자리 SMS 코드)를 모두 대체하여 단일 단계로 다중 인증 요구사항을 충족할 수 있어 피싱 공격에 대한 강력한 보호 기능을 제공하고 SMS 또는 앱 기반 일회용 비밀번호의 UX 문제를 방지합니다. 패스키는 표준화되어 있으므로 단일 구현으로 다양한 브라우저와 운영체제의 모든 사용자 기기에서 비밀번호 없는 환경을 사용할 수 있습니다.

패스키는 더 쉽습니다.

  • 사용자는 로그인에 사용할 계정을 선택할 수 있습니다. 사용자 이름을 입력하지 않아도 됩니다.
  • 사용자는 지문 센서, 얼굴 인식 또는 PIN과 같은 기기의 화면 잠금을 사용하여 인증할 수 있습니다.
  • 패스키가 생성되고 등록되면 사용자는 다시 등록할 필요 없이 새 기기로 원활하게 전환하여 즉시 사용할 수 있습니다 (각 기기에서 설정해야 하는 기존의 생체 인식 인증과 다름).

패스키가 더 안전합니다.

  • 개발자는 비밀번호 대신 공개 키를 서버에만 저장합니다. 즉, 악의적인 행위자가 서버를 해킹할 가치가 훨씬 적고 위반 시 처리할 정리 작업이 훨씬 적습니다.
  • 패스키는 피싱 공격으로부터 사용자를 보호합니다. 패스키는 등록된 웹사이트와 앱에서만 작동합니다. 브라우저나 OS에서 인증을 처리하므로 사용자를 속여 사기성 사이트에서 인증하도록 유도할 수 없습니다.
  • 패스키는 SMS 전송 비용을 줄여주므로 2단계 인증에 더 안전하고 비용 효율적인 수단이 됩니다.

패스키란 무엇인가요?

패스키는 사용자 계정과 웹사이트 또는 애플리케이션에 연결된 디지털 사용자 인증 정보입니다. 패스키를 사용하면 사용자는 사용자 이름이나 비밀번호를 입력하거나 추가 인증 요소를 제공하지 않고도 인증할 수 있습니다. 이 기술은 비밀번호와 같은 기존 인증 메커니즘을 대체하는 것을 목표로 합니다.

사용자가 패스키를 사용하는 서비스에 로그인하려는 경우 브라우저 또는 운영체제를 통해 올바른 패스키를 선택하여 사용할 수 있습니다. 사용 환경은 현재 저장된 비밀번호의 작동 방식과 유사합니다. 적법한 소유자만 패스키를 사용할 수 있도록 시스템에서 기기의 잠금 해제를 요청합니다. 이는 생체 인식 센서 (예: 지문 또는 얼굴 인식), PIN 또는 패턴으로 실행할 수 있습니다.

웹사이트 또는 애플리케이션의 패스키를 만들려면 먼저 사용자가 웹사이트 또는 애플리케이션에 등록해야 합니다.

  1. 애플리케이션으로 이동하여 기존 로그인 방법을 사용하여 로그인합니다.
  2. 패스키 생성 버튼을 클릭합니다.
  3. 새 패스키로 저장된 정보를 확인합니다.
  4. 기기 화면 잠금 해제를 사용하여 패스키를 생성하세요.

이 웹사이트 또는 앱으로 돌아와 로그인하면 다음 단계를 따를 수 있습니다.

  1. 애플리케이션으로 이동합니다.
  2. 계정 이름 필드를 탭하면 자동 완성 대화상자에 패스키 목록이 표시됩니다.
  3. 패스키를 선택합니다.
  4. 기기 화면 잠금 해제를 사용하여 로그인을 완료합니다.

사용자 기기는 패스키를 기반으로 서명을 생성합니다. 이 서명은 출처와 패스키 사이의 로그인 사용자 인증 정보를 확인하는 데 사용됩니다.

사용자는 패스키가 저장된 위치에 관계없이 패스키를 사용하여 모든 기기에서 서비스에 로그인할 수 있습니다. 예를 들어 휴대전화에서 만든 패스키를 별도의 노트북에서 웹사이트에 로그인하는 데 사용할 수 있습니다.

패스키의 작동 방식

패스키는 운영체제 인프라를 통해 사용되므로 패스키 관리자가 해당 운영체제에서 실행되는 애플리케이션에 패스키를 생성, 백업, 제공할 수 있습니다. Android에서는 패스키를 Google 비밀번호 관리자에 저장할 수 있으며, 이 관리자는 동일한 Google 계정에 로그인된 사용자의 Android 기기 간에 패스키를 동기화합니다. 패스키는 동기화되기 전에 기기에서 안전하게 암호화되며 새 기기에서 복호화해야 합니다. Android OS 14 이상을 사용하는 사용자는 호환되는 서드 파티 비밀번호 관리자에 패스키를 저장하도록 선택할 수 있습니다.

사용자는 패스키를 사용할 수 있는 기기에서만 사용할 수 있는 것이 아닙니다. 휴대전화에서 사용 가능한 패스키는 노트북에 동기화되지 않더라도 노트북에 로그인할 때 사용할 수 있습니다. 단, 휴대전화가 노트북 근처에 있고 사용자가 휴대전화에서 로그인을 승인하면 됩니다. 패스키는 FIDO 표준을 기반으로 구축되므로 모든 브라우저에서 이를 채택할 수 있습니다.

예를 들어 사용자가 Windows 컴퓨터의 Chrome 브라우저에서 example.com에 방문합니다. 이 사용자는 이전에 Android 기기에서 example.com에 로그인하고 패스키를 생성한 적이 있습니다. Windows 시스템에서 사용자가 다른 기기의 패스키로 로그인하도록 선택합니다. 두 기기가 연결되고 사용자에게 Android 기기(예: 지문 센서)에서 패스키를 사용하도록 승인하라는 메시지가 표시됩니다. 그러면 사용자가 Windows 머신에 로그인됩니다. 패스키 자체는 Windows 시스템으로 전송되지 않으므로 일반적으로 example.com에서 Windows 시스템에 새 패스키 생성을 제안합니다. 이렇게 하면 사용자가 다음에 로그인할 때 휴대전화가 필요하지 않습니다. 자세한 내용은 휴대전화로 로그인을 참조하세요.

누가 패스키를 사용하나요?

많은 서비스가 이미 시스템에서 패스키를 사용하고 있습니다.

직접 해보기

다음 데모에서 패스키를 사용해 볼 수 있습니다. https://passkeys-demo.appspot.com/

개인정보 보호 고려사항

  • 생체 인식으로 로그인하면 민감한 정보가 서버로 전송된다는 잘못된 인상을 사용자에게 줄 수 있기 때문입니다. 실제로 생체 인식 소재는 사용자의 개인 기기 외부로 유출되지 않습니다.
  • 패스키 자체는 사이트 간에 사용자 또는 기기를 추적할 수 없습니다. 동일한 패스키가 2개 이상의 사이트에서 사용되지 않습니다. 패스키 프로토콜은 사이트와 공유된 정보가 추적 벡터로 사용될 수 없도록 신중하게 설계되었습니다.
  • 패스키 관리자는 패스키를 무단 액세스 및 사용으로부터 보호합니다. 예를 들어 Google 비밀번호 관리자는 패스키 보안 비밀을 엔드 투 엔드 암호화합니다. 해당 도구에 나만 액세스하고 사용할 수 있으며, 파일이 Google 서버에 백업되어 있더라도 Google은 이러한 정보를 사용하여 사용자를 가장할 수 없습니다.

보안 고려사항

  • 패스키는 공개 키 암호화를 사용합니다. 공개 키 암호화는 잠재적인 정보 유출에 대한 위협을 줄입니다. 사용자가 사이트 또는 애플리케이션에서 패스키를 만들면 사용자 기기에 공개 키/비공개 키 쌍이 생성됩니다. 사이트는 공개 키만 저장하지만, 공격자는 이 키만 쓸모가 없습니다. 공격자는 서버에 저장된 데이터에서 사용자의 비공개 키를 추출할 수 없으며, 이는 인증을 완료하는 데 필요합니다.
  • 패스키는 웹사이트나 앱의 ID에 연결되므로 피싱 공격으로부터 안전합니다. 브라우저와 운영체제는 패스키를 만든 웹사이트 또는 앱에서만 패스키를 사용할 수 있도록 합니다. 이렇게 하면 사용자가 정품 웹사이트나 앱에 로그인하지 않아도 됩니다.

알림 받기

패스키 업데이트 알림을 받으려면 Google 패스키 개발자 뉴스레터를 구독하세요.

다음 단계