비밀번호 없는 인증 (Passwordless)이란?
일반적으로 “비밀번호 없는 인증 (Passwordless)“는 “비밀번호 없는 인증 (Passwordless Authentication)“의 줄임말입니다.
사용자가 인증을 위해 제공할 수 있는 정보는 주로 세 가지 유형으로 분류할 수 있습니다:
- 사용자가 알고 있는 것, 예를 들어 비밀번호, 비밀번호 복구 질문과 답변 (종종 질문과 답변은 개인의 과거 경험에 기반함).
- 사용자가 가지고 있는 것, 예를 들어 모바일 폰, 일회용 비밀번호 (One-time password, OTP) 또는 하드웨어 토큰.
- 사용자 자신, 예를 들어 지문, 얼굴 인식 및 기타 생체 인식 식별자.
비밀번호 없는 인증 (Passwordless Authentication)은 사용자가 비밀번호나 기타 지식 기반 비밀을 입력하거나 기억하지 않고 컴퓨터 시스템에 로그인할 수 있는 인증 방법입니다. 가장 일반적인 구현에서는 사용자가 사용자 식별자(사용자 이름, 이메일 주소, 전화번호 등)를 입력한 후 다른 수단을 통해 신원을 안전하게 증명하여 인증 과정을 완료해야 합니다.
비밀번호 없는 인증 (Passwordless Authentication)을 사용하는 이유는 무엇인가요?
비밀번호 사용이 점차 감소하고 있지만, 여전히 전 세계적으로 널리 사용되고 있습니다. 주요 이유는 비밀번호 기반 시스템이 구현하기 가장 쉽고 저렴하기 때문입니다.
게다가 비밀번호는 데이터 유출의 주요 원인입니다. 기억하기 쉽게 하기 위해 많은 사람들이 비밀번호에 고정된 패턴을 사용합니다. 예를 들어 생일이나 숫자 패드에서 문자 조합을 사용하여 순전히 숫자로 된 비밀번호를 만드는 경우가 많습니다. 이는 비밀번호를 해독하기 훨씬 쉽게 만듭니다. 실제로 많은 사람들이 여러 플랫폼에서 동일한 비밀번호를 무의식적으로 사용하여 비밀번호가 손상될 위험을 더욱 증가시킵니다.
마지막으로, 비밀번호는 사용자에게 번거로움을 줍니다: 기억하기 어렵고 관리하기 번거롭습니다. 모든 상황에서 통일된 비밀번호를 사용하지 않기 위해 사용자는 다양한 비밀번호를 기록할 전용 도구가 필요합니다. 또한 비밀번호가 사용되는 장소가 다르기 때문에 지속적으로 찾아봐야 할 수도 있습니다. 이는 비밀번호 사용에 상당한 불편을 초래합니다.
반면에 생체 인식이나 OTP와 같은 비밀번호 없는 기술은 매우 편리하고 사용자 친화적입니다. 이상적으로는 사용자가 언제 어디서나 생체 인식을 통해 즉시 인증할 수 있어야 합니다. 모바일 폰이 필수적인 오늘날의 세계에서는 “사용자가 가지고 있는 것”과 관련된 모든 인증은 일반적으로 전화기를 통해 수행할 수 있습니다.
비밀번호 없는 인증 (Passwordless Authentication)과 다중 요소 인증 (MFA)의 차이점은 무엇인가요?
비밀번호 없는 인증 (Passwordless Authentication)과 다요소 인증 (Multi-factor authentication, MFA) 는 때때로 유사한 맥락에서 언급됩니다. 따라서 이 두 용어를 별도로 정의하고 그 차이를 이해하는 것이 필요합니다:
- 비밀번호 없는 인증 (Passwordless Authentication)은 비밀번호 기반 인증을 다른 요소로 대체합니다.
- MFA는 두 개 이상의 인증 요소를 사용하여 사용자의 신원을 확인하는 것을 의미합니다.
“요소”는 앞서 언급한 세 가지 다른 유형의 인증 정보를 의미합니다. 예를 들어, 사용자가 인증 중에 이메일 주소 + OTP만 사용하는 경우, 이는 “사용자가 가지고 있는 것”과 관련된 요소이며, 사용자의 인증을 비밀번호 없는 것으로 간주할 수 있습니다.
일반적인 MFA 구현에는 비밀번호를 강화하기 위해 두 번째 (비밀번호 없는) 인증 요소를 사용하는 것이 포함되지만, MFA는 완전히 비밀번호 없을 수도 있습니다. 예를 들어, 애플리케이션은 첫 번째 인증 요소로 지문을 사용하고 두 번째 인증 요소로 이메일 주소 + OTP를 사용할 수 있습니다.
비밀번호 없는 인증 (Passwordless)과 SSO의 차이점은 무엇인가요?
비밀번호 없는 인증 (Passwordless)의 이전 정의에 따르면, 단일 로그인 (Single sign-on, SSO) 은 비밀번호 없는 방법의 한 유형입니다 (사용자가 SSO 제공자의 계정을 가지고 있음).
또한, SSO 제공자 계정은 일반적으로 높은 보안을 가지고 있습니다. 사용자 이름과 비밀번호 외에도 대부분의 경우 사용자가 계정에 대한 완전한 제어를 보장하기 위해 필수적인 MFA가 필요합니다. MFA는 비밀번호 없는 요소 인증을 사용하는 경우가 많으며, 여기에는 비밀번호 키, OTP, 지문 등이 포함됩니다.