Logo Logo
GitHub Designed by Logto
authentication
GitHub에서 편집

패스워드리스 (Passwordless)

패스워드리스는 사용자가 비밀번호나 기타 지식 기반 비밀을 입력하지 않고 컴퓨터 시스템에 로그인할 수 있는 인증 방법입니다.

패스워드리스 (Passwordless)란 무엇인가?

일반적으로 “패스워드리스”는 “패스워드리스 인증 (authentication)“을 줄인 표현입니다.

사용자가 인증 (authentication) 시 제공할 수 있는 정보는 주로 세 가지 유형으로 분류할 수 있습니다:

  1. 사용자가 알고 있는 것, 예를 들어 비밀번호, 비밀번호 복구 질문 및 답변(종종 질문 및 답변은 개인의 과거 경험에 기반).
  2. 사용자가 소유한 것, 예를 들어 휴대폰, 일회용 비밀번호 (OTP), 하드웨어 토큰.
  3. 사용자가 본질적으로 가지고 있는 것, 예를 들어 지문, 얼굴 인식 및 기타 생체 인식 식별자.

패스워드리스 인증 (passwordless authentication)은 사용자가 비밀번호나 기타 지식 기반 비밀을 입력하지 않고 컴퓨터 시스템에 로그인할 수 있는 인증 방법입니다. 가장 일반적인 구현에서는 사용자가 사용자 식별자(사용자 이름, 이메일 주소, 전화번호 등)를 입력하고, 다른 수단을 통해 안전한 신원 증명을 통해 인증 과정을 완료해야 합니다.

패스워드리스 인증 (authentication)을 사용하는 이유는?

비밀번호 사용이 점차 줄어들고 있지만 여전히 전 세계적으로 널리 사용되고 있습니다. 주요 원인은 비밀번호 기반 시스템이 구현하기 가장 쉽고 저렴하기 때문입니다.

더욱이, 비밀번호는 데이터 유출의 주요 원인입니다. 기억하기 쉽게 하기 위해 많은 사람들은 비밀번호에 고정 패턴을 사용하며, 예를 들어 생일을 사용하거나 숫자 패드에서 문자 조합을 사용하는 경우가 많습니다. 이는 비밀번호를 해킹하기 훨씬 쉽게 만듭니다. 실제로, 많은 사람들이 여러 플랫폼에서 같은 비밀번호를 무의식적으로 사용하는데, 이는 비밀번호 유출의 위험을 더욱 증가시킵니다.

마지막으로, 비밀번호는 사용자에게 불편을 초래합니다. 기억하기 어렵고 관리하기 번거롭습니다. 모든 상황에서 통일된 비밀번호를 사용하지 않도록 하기 위해, 사용자들은 다양한 비밀번호를 기록하는 전용 도구가 필요합니다. 게다가, 다양한 장소에서 비밀번호를 사용하기 때문에 항상 확인해야 할 수도 있습니다. 이는 비밀번호 사용에 상당한 불편을 초래합니다.

반면에, 생체 인식이나 OTP 같은 패스워드리스 기술은 매우 편리하고 사용자 친화적입니다. 이상적으로, 사용자는 언제 어디서나 생체 인식을 통해 즉시 인증 (authentication)할 수 있습니다. 휴대폰이 필수적인 오늘날에는 “사용자가 소유한 것”과 관련된 모든 인증은 보통 전화기를 통해 수행할 수 있습니다.

패스워드리스 인증 (passwordless authentication)과 다중 요소 인증 (MFA)의 차이점은 무엇인가?

패스워드리스 인증 (passwordless authentication)과 다중 요소 인증 (MFA)는 종종 유사한 맥락에서 언급됩니다. 따라서 이 두 용어를 별도로 정의하고 차이를 이해할 필요가 있습니다:

  • 패스워드리스 인증 (passwordless authentication)은 비밀번호 기반 인증을 다른 요소로 대체합니다.
  • MFA는 사용자의 신원을 확인하기 위해 두 가지 이상의 인증 (authentication) 요소를 사용하는 것을 의미합니다.

“요소”는 이전에 언급한 세 가지 다른 유형의 인가 정보입니다. 예를 들어, 사용자가 인증 중 이메일 주소 + OTP만 사용할 경우, 이는 “사용자가 소유한 것”과 관련된 요소이며, 사용자의 인증을 패스워드리스로 간주할 수 있습니다.

일반적인 MFA 구현 방식에는 비밀번호를 보완하는 두 번째 (패스워드리스) 인증 요소를 사용하는 방식이 포함되지만, MFA는 완전히 패스워드리스일 수도 있습니다. 예를 들어, 애플리케이션은 첫 번째 인증 요소로 지문을 사용하고 두 번째 인증 요소로 이메일 주소 + OTP를 사용할 수 있습니다.

패스워드리스 (Passwordless)와 SSO의 차이점은 무엇인가?

패스워드리스 (passwordless)의 이전 정의에 따르면, SSO는 한 종류의 패스워드리스 (passwordless) 방법입니다(사용자는 SSO 제공자를 위한 계정을 가지고 있음).

또한, SSO 제공자 계정은 일반적으로 높은 보안을 갖추고 있습니다. 사용자 이름과 비밀번호 외에도, 대부분의 경우 사용자 계정에 대한 완전한 제어를 보장하기 위한 필수적인 MFA가 필요합니다. MFA는 패스워드리스 요소 검증을 포함하는 경우가 많으며, 이는 패스키, OTP 및 지문에 국한되지 않습니다.