Logo Logo
GitHub Designed by Logto
authenticationauthorization
GitHub에서 편집

패스키 (Passkey)

패스키 (Passkey)는 피싱에 강하고 편리한 자격 증명으로, 암호를 대체하여 인증 및 다중 요소 인증에 사용할 수 있습니다.

패스키 (Passkey)란 무엇인가?

**패스키 (Passkey)**는 전통적인 암호를 대체하는 FIDO -기반의 안전하고 편리한 대안입니다. 패스키는 고급 암호화를 사용하여 피싱 공격으로부터 계정을 보호합니다.

  • 각 서비스에 고유함: 서비스에 등록할 때, 기기는 해당 서비스의 도메인에 연결된 고유한 패스키를 생성합니다.
  • 기기 연동: 패스키는 보통 휴대전화, 노트북, 생체 인식 식별자 또는 하드웨어 보안 키와 같은 기기에 연결됩니다.
  • 공개-개인 키 쌍: 기기는 개인 키를 보관하고, 공개 키는 서비스와 공유됩니다. 이러한 암호화 키 쌍을 패스키라고 합니다. ( FIDO 에서 인용)
  • 다양한 인증 방법: 지문 스캔, 안면 인식, 기기 PIN, QR 코드 스캔 또는 보안 키를 사용하여 패스키로 인증할 수 있습니다.
  • 기기 간 동기화: 패스키는 안전한 클라우드 저장소(예: 애플의 iCloud Keychain 또는 Google Password Manager)를 사용하여 기기 간에 동기화될 수 있으며, 이를 통해 지원되는 모든 기기에서 로그인할 수 있습니다.

패스키 (Passkey) 작업 흐름은 어떻게 생겼습니까?

**패스키 (Passkey)**는 공개 키 암호화를 활용하여 안전한 자격 증명을 제공합니다.

  • 등록
    • 서비스에 등록할 때, 기기는 해당 서비스에 연결된 고유한 암호화 키 쌍을 생성합니다.
    • 개인 키는 기기에 남아 있고 공개 키는 서비스와 공유됩니다.
  • 인증
    • 로그인을 시도할 때, 서비스는 기기에 챌린지를 보냅니다.
    • 기기는 개인 키를 사용하여 챌린지를 기반으로 암호화 서명을 생성합니다.
    • 서명은 서비스에 다시 보내져 공개 키를 사용하여 검증됩니다.
    • 서명이 유효하면 인증에 성공합니다.

패스키 구현을 위한 API인 WebAuthn을 읽어보면 자세한 내용을 알 수 있습니다.

패스키 (Passkey) 최종 사용자 흐름은 어떻게 생겼습니까?

패스키는 로컬 및 클라우드 사용을 위한 두 가지 유형의 인증기를 통해 유연성을 제공합니다. 사용자는 서비스에 대해 하나 또는 둘 다 활성화할 수 있습니다.

  • 플랫폼 인증기 (내장 인증기): 특정 기기 OS(예: 휴대전화, 노트북)에 연결되어 생체 인식 또는 기기 암호로 승인합니다. 빠르고 편리합니다.
    • 예: 애플 기기의 iCloud Keychain(터치 ID, 얼굴 ID, 또는 기기 암호로 인증), Windows Hello, Android의 Google Password Manage.
  • 이동식 인증기 (외부 인증기): 보안 키, 스마트폰 등 휴대 가능한 기기 또는 소프트웨어. 여러 기기에서 사용할 수 있지만 QR 코드 스캔이나 NFC/Bluetooth 페어링 등의 추가 단계가 필요할 수 있습니다.
    • 예: YubiKey 및 스마트폰에 기반한 클라우드 계정. 모바일 인증기는 종종 데스크탑 기기와 연결하기 위해 QR 코드 스캔이 필요하며, 기기 간 인증은 인증기가 가까이 있음을 보장하기 위해 Bluetooth, NFC 또는 USB를 통해 연결해야 합니다.

패스키 (Passkey)를 언제 사용할 수 있습니까?

패스키는 최신 인증 요소로, 첫 번째 또는 두 번째 요소로 사용할 수 있습니다.

  • 패스키 로그인: 패스키는 전통적인 암호보다 빠르고 더 안전한 비밀번호 없는 인증 방법을 제공합니다.
    • 현대적인 애플리케이션은 로그인 페이지에 “패스키로 로그인” 버튼을 제공하여 사용자가 이 옵션을 능동적으로 선택하도록 유도합니다.
    • 그리고 또한 로그인 페이지는 사용자가 동일한 기기 및 브라우저에서 패스키가 등록되어 있는 것을 인식하는 경우 자동으로 패스키 로그인 팝업을 띄울 수 있습니다.
  • 패스키 MFA: 패스키는 MFA를 위한 두 번째 요소로도 사용할 수 있습니다.
    • 사용자가 로그인을 시도할 때, 먼저 이메일과 암호(또는 다른 첫 번째 요소들)를 입력한 후, 서비스는 패스키를 사용한 2단계 인증을 완료하도록 요구합니다.
    • 브라우저에 기존 세션이 있는 경우, 서비스는 사용자가 암호를 다시 입력하지 않고도 패스키로 로그인하도록 직접 요구할 수 있습니다. 이 프로세스는 패스키가 현재 기기에 묶이고 생체 인식, PIN 또는 기타 하드웨어 방법을 통해 사용자를 검증함으로써 높은 수준의 보안을 제공하기 때문에 MFA를 완료하는 것으로 알려져 있습니다.
  • 보안 검증: 높은 보안 환경에서는 사용자 신원을 이중 확인하기 위해 패스키가 자주 사용됩니다. 예를 들어, 민감한 금융 정보를 액세스하거나 중요한 작업(은행업무, 정부, 회사 시스템)을 수행할 때 사용합니다.