소개
패스키는 비밀번호를 대체하는 더 안전하고 간편한 방법입니다. 패스키를 사용하면 생체 인식 센서 (예: 지문 또는 얼굴 인식), PIN 또는 패턴으로 사용자가 앱과 웹사이트에 로그인할 수 있으므로 비밀번호를 기억하고 관리할 필요가 없습니다.
비밀번호를 사용하면 개발자와 사용자 모두 싫어합니다. 사용자 환경을 해치고 전환을 저해하며 사용자와 개발자 모두에게 보안에 대한 책임을 질 수 있기 때문입니다. Android 및 Chrome의 Google 비밀번호 관리자는 자동 완성을 통해 마찰을 줄여줍니다. 변환 및 보안을 더욱 개선하고자 하는 개발자를 위해 패스키와 ID 제휴가 업계의 최신 접근 방식을 취하고 있습니다.
패스키는 한 번에 다단계 인증 요구사항을 충족하여 비밀번호와 OTP (예: 6자리 SMS 코드)를 모두 대체하여 피싱 공격에 대한 강력한 보호 기능을 제공하고 SMS 또는 앱 기반 일회용 비밀번호의 UX 문제를 방지할 수 있습니다. 패스키는 표준화되어 있으므로 단일 구현으로 다양한 브라우저와 운영체제의 모든 사용자 기기에서 비밀번호 없는 환경을 사용할 수 있습니다.
패스키가 더 간편해졌습니다.
- 사용자는 로그인할 때 사용할 계정을 선택할 수 있습니다. 사용자 이름은 입력할 필요가 없습니다.
- 사용자는 지문 센서, 얼굴 인식 또는 PIN과 같은 기기의 화면 잠금을 사용하여 인증할 수 있습니다.
- 패스키가 생성되고 등록되면 사용자는 새 기기로 원활하게 전환하고 재등록하지 않고도 즉시 사용할 수 있습니다 (각 기기에서 설정해야 하는 기존의 생체 인식 인증과 다름).
패스키가 더 안전합니다.
- 개발자는 비밀번호 대신 공개 키를 서버에만 저장합니다. 즉, 악의적인 행위자가 서버를 해킹할 가치가 훨씬 적고 유출이 발생했을 때 정리해야 하는 작업이 훨씬 적습니다.
- 패스키는 피싱 공격으로부터 사용자를 보호합니다. 패스키는 등록된 웹사이트와 앱에서만 작동합니다. 브라우저나 OS에서 인증을 처리하므로 사용자를 속여 사기성 사이트에서 인증하도록 유도할 수 없습니다.
- 패스키를 사용하면 SMS 전송 비용이 절감되므로 보다 안전하고 비용 효율적인 2단계 인증 수단으로 사용할 수 있습니다.
패스키란 무엇인가요?
패스키는 사용자 계정과 웹사이트 또는 애플리케이션에 연결된 디지털 사용자 인증 정보입니다. 패스키를 사용하면 사용자는 사용자 이름이나 비밀번호를 입력하거나 추가 인증 요소를 제공하지 않고도 인증할 수 있습니다. 이 기술은 비밀번호와 같은 기존 인증 메커니즘을 대체하는 것을 목표로 합니다.
사용자가 패스키를 사용하는 서비스에 로그인하려는 경우 브라우저 또는 운영체제를 통해 올바른 패스키를 선택하고 사용할 수 있습니다. 사용 환경은 현재 저장된 비밀번호의 작동 방식과 유사합니다. 적법한 소유자만 패스키를 사용할 수 있도록 하기 위해 시스템에서 기기 잠금 해제를 요청합니다. 이는 생체 인식 센서 (예: 지문 또는 얼굴 인식), PIN 또는 패턴을 사용하여 실행할 수 있습니다.
웹사이트 또는 애플리케이션의 패스키를 만들려면 사용자가 먼저 해당 웹사이트 또는 애플리케이션에 등록해야 합니다.
- 애플리케이션으로 이동한 후 기존 로그인 방법을 사용하여 로그인합니다.
- 패스키 생성 버튼을 클릭합니다.
- 새 패스키로 저장된 정보를 확인합니다.
- 기기 화면 잠금 해제를 사용하여 패스키를 만듭니다.
사용자가 이 웹사이트 또는 앱으로 돌아와 로그인할 때 다음 단계를 따를 수 있습니다.
- 애플리케이션으로 이동합니다.
- 계정 이름 필드를 탭하여 자동 완성 대화상자에 패스키 목록을 표시합니다.
- 패스키를 선택합니다.
- 기기 화면 잠금 해제를 사용하여 로그인을 완료합니다.
사용자 기기에서 패스키를 기반으로 서명을 생성합니다. 이 서명은 출처와 패스키 간의 로그인 사용자 인증 정보를 확인하는 데 사용됩니다.
사용자는 패스키가 저장된 위치와 관계없이 모든 기기에서 패스키를 사용하여 서비스에 로그인할 수 있습니다. 예를 들어 휴대전화에서 만든 패스키는 별도의 노트북에서 웹사이트에 로그인하는 데 사용할 수 있습니다
패스키는 어떻게 작동하나요?
패스키는 패스키 관리자가 패스키를 생성, 백업, 운영체제에서 실행되는 애플리케이션에 사용할 수 있도록 하는 운영체제 인프라를 통해 사용하기 위한 것입니다. Android에서는 패스키를 Google 비밀번호 관리자에 저장할 수 있습니다. 비밀번호 관리자는 동일한 Google 계정에 로그인된 사용자의 Android 기기 간에 패스키를 동기화합니다. 패스키는 동기화되기 전에 기기 내에서 안전하게 암호화되며 새 기기에서 복호화해야 합니다. Android OS 14 이상 사용자는 호환되는 서드 파티 비밀번호 관리자에 패스키를 저장하도록 선택할 수 있습니다.
사용자는 패스키를 사용할 수 있는 기기에서만 사용할 수 있습니다. 노트북에 로그인하면 패스키가 노트북에 동기화되지 않더라도 휴대전화에서 사용할 수 있는 패스키를 사용할 수 있습니다. 휴대전화가 노트북 근처에 있고 사용자가 휴대전화에서 로그인을 승인하면 됩니다. 패스키는 FIDO 표준을 기반으로 빌드되므로 모든 브라우저에서 이를 채택할 수 있습니다.
예를 들어 사용자가 Windows 컴퓨터의 Chrome 브라우저에서 example.com을 방문합니다. 이 사용자는 이전에 Android 기기에서 example.com에 로그인하여 패스키를 생성했습니다. Windows 시스템에서 사용자가 다른 기기의 패스키로 로그인하도록 선택합니다. 두 기기가 연결되고 사용자에게 Android 기기(예: 지문 센서)에서 패스키 사용을 승인하라는 메시지가 표시됩니다. 그러면 Windows 머신에 로그인됩니다. 패스키 자체는 Windows 머신으로 전송되지 않으므로 일반적으로 example.com에서 Windows 머신에 새 패스키 생성을 제안합니다.
이렇게 하면 사용자가 다음에 로그인하려고 할 때 휴대전화가 필요하지 않습니다. 자세한 내용은 휴대전화로 로그인을 참고하세요.
누가 패스키를 사용하나요?
많은 서비스가 이미 시스템에서 패스키를 사용하고 있습니다.
- DocuSign
- 카약
- Mercari
- NTT docomo
- PayPal
- Shopify
- Yahoo! 일본
직접 해보기
이 데모(https://passkeys-demo.appspot.com/)에서 패스키를 사용해 볼 수 있습니다.
개인정보 보호 고려사항
- 생체 인식으로 로그인하면 민감한 정보가 서버로 전송되고 있다고 사용자에게 잘못된 인상을 줄 수 있기 때문입니다. 실제로 생체 인식 머티리얼은 사용자의 개인 기기를 벗어나지 않습니다.
- 패스키 자체로는 사이트 간에 사용자 또는 기기를 추적할 수 없습니다. 동일한 패스키가 두 개 이상의 사이트에서 사용되지 않습니다. 패스키 프로토콜은 사이트와 공유되는 정보를 추적 벡터로 사용할 수 없도록 신중하게 설계되었습니다.
- 패스키 관리자는 무단 액세스 및 사용으로부터 패스키를 보호합니다. 예를 들어 Google 비밀번호 관리자는 패스키 보안 비밀을 엔드 투 엔드로 암호화합니다. 사용자만 이러한 도구에 액세스하고 사용할 수 있으며, Google 서버에 백업되어 있더라도 Google은 이러한 키를 사용하여 사용자를 사칭할 수 없습니다.
보안 고려사항
- 패스키는 공개 키 암호화를 사용합니다. 공개 키 암호화는 잠재적인 정보 유출의 위협을 줄여줍니다. 사용자가 사이트 또는 애플리케이션에서 패스키를 만들면 사용자 기기에 공개 키-비공개 키 쌍이 생성됩니다. 사이트에 의해 공개 키만 저장되지만 공격자는 이 키만으로는 쓸모가 없습니다. 공격자가 서버에 저장된 데이터에서 사용자의 비공개 키를 추출할 수 없으며, 이는 인증을 완료하는 데 필요합니다.
- 패스키는 웹사이트나 앱의 ID에 바인딩되므로 피싱 공격으로부터 안전합니다. 브라우저와 운영체제는 패스키를 생성한 웹사이트 또는 앱에서만 패스키를 사용할 수 있도록 합니다. 이렇게 하면 사용자가 정품 웹사이트나 앱에 로그인하지 않아도 됩니다.
알림 받기
패스키 업데이트에 관한 알림을 받으려면 Google 패스키 개발자 뉴스레터를 구독하세요.