패스워드리스인증

패스워드리스 인증은 사용자가 패스워드나 기타 지식기반 비밀을 입력(기억할 필요 없이)하지 않고 컴퓨터 시스템에 로그인할 수 있는 인증방식입니다.대부분의 경우 사용자는 퍼블릭 ID(사용자 이름, 전화번호, 이메일 주소 등)를 입력하고 등록된 디바이스 또는 토큰을 통해 안전한 ID 증명서를 제공함으로써 인증 프로세스를 완료해야 합니다.

패스워드리스 인증방법은 일반적으로 인증서비스(리모트서버, 어플리케이션 또는 웹사이트) 등록 시 공개키를 제공하는 공개키 암호화 인프라스트럭처에 의존하며 개인키는 사용자의 디바이스(PC, 스마트폰 또는 외부 보안 토큰)에 보관되어 있으며 액세스에는 다음 조건을 충족해야 합니다.바이오메트릭 시그니처나 지식 기반이 아닌 다른 인증 팩터를 사용합니다.

이러한 요인은 일반적으로 두 가지 범주로 분류됩니다.

휴대 전화, OTP 토큰, 스마트 카드, 하드웨어 토큰 등의 소유 요인('사용자가 가지고 있는 것').
지문, 망막 스캔, 얼굴 또는 음성 인식, 기타 바이오메트릭 식별자와 같은 일관성이 없는 요소('사용자')

또한 일부 설계에서는 기억된 비밀번호가 포함되지 않는 한 지리적 위치, 네트워크 주소, 동작 패턴 및 제스처 등의 다른 요소의 조합을 허용할 수 있습니다.

패스워드리스 인증은 MFA(Multi-factor Authentication)와 혼동될 수 있습니다.이는 둘 다 다양한 인증요소를 사용하기 때문입니다.단, MFA는 패스워드 기반 인증에 더해 보안 강화 레이어로 사용되는 경우가 많은 반면 패스워드리스 인증에서는 기억된 비밀은 필요하지 않고 일반적으로 보안성이 높은1개만 사용합니다.actor를 사용하여 ID를 인증할 수 있으므로 사용자가 더 빠르고 쉽게 인증할 수 있습니다.

'비밀번호 없는 MFA'는 두 가지 접근 방식이 모두 사용되며 인증 흐름 모두 비밀번호가 없으며 여러 요소를 사용하여 올바르게 구현되었을 때 가장 높은 보안 수준을 제공할 때 사용되는 용어입니다.

역사

비밀번호가 쓸모없어야 한다는 생각은 적어도 2004년부터 컴퓨터 과학에서 돌고 있다.Bill Gates는 2004년 RSA Conference에서 "비밀번호의 소멸을 예측했습니다."라고 말했습니다.^[1]^[2]2011년 IBM은 5년 이내에 "다시는 ^[3]암호가 필요하지 않을 것"이라고 예측했습니다.해킹 사건의 피해자인 와이어드의 맷 호넌 기자는 2012년 "비밀번호 시대가 끝났다"^[4]고 썼다.2013년 구글의 정보보안 매니저 헤더 애드킨스는 "비밀번호는 구글에서 이루어진다"^[5]고 말했다.구글의 보안 엔지니어링 부사장인 Eric Grose는 "패스워드와 쿠키와 같은 간단한 무기명 토큰은 더 이상 사용자들의 ^[6]안전을 유지하기에 충분하지 않다"고 말한다.Wall Street Journal에 기고한 Christopher Mims는 패스워드가 "드디어 소멸하고 있다"며 기기 기반 ^[7]인증으로 대체될 것이라고 예측했다.가트너의 아비바 라이탄은 2014년에 "비밀번호는 몇 년 전에 죽었다.이제 그들은 죽은 ^[8]것 이상입니다."그 이유에는, 패스워드의 사용성이나 시큐러티상의 문제에 대한 언급이 자주 있습니다.

Bonneau 등은 웹 패스워드를 사용성, 배치성 및 ^[9]^[10]보안 측면에서 35개의 경쟁 인증 체계와 체계적으로 비교했다.(테크니컬 리포트는, 같은 이름의 피어 리뷰 페이퍼의 확장판입니다).분석 결과, 대부분의 스킴이 보안상의 패스워드보다 우수하고, 일부 스킴은 사용성에 관해 우수하고, 다른 스킴은 유용성 면에서 우수하지만, 모든 스킴이 전개성에서의 패스워드보다 나쁘다는 것을 알 수 있습니다.저자들은 다음과 같은 관찰로 결론짓는다: "대부분의 이익은 상당한 전환 비용을 극복하는 데 필요한 활성화 에너지에 도달하기에 충분하지 않다. 이것은 왜 우리가 패스워드를 위한 장례 행렬이 묘지에 도착하기 전에 훨씬 더 오래 살 가능성이 높은지에 대한 가장 좋은 설명을 제공할 수 있다."

최근의 기술 진보(생체인식 장치 및 스마트폰의 확산 등)와 변화하는 비즈니스 문화(생체인식 및 분산된 직원 수용 등)는 비밀번호 없는 인증의 채택을 지속적으로 촉진하고 있습니다.주요 기술 기업(Microsoft,^[11] Google^[12])과 업계 전반의 이니셔티브는 보다 나은 아키텍처와 관행을 개발하여 보다 폭넓게 사용할 수 있도록 하고 있으며, 많은 기업이 신중하게 접근하여 일부 사용 사례에서는 암호를 이면에 보관하고 있습니다.FIDO2와 WebAuthn과 같은 오픈 스탠다드의 개발은 Windows Hello와 같은 패스워드리스 테크놀로지의 채택을 더욱 촉진하고 있습니다.2020년 6월 24일, 애플 사파리는 Face ID 또는 Touch ID를 비밀번호 없는 ^[13]로그인을 위한 WebAuthn 플랫폼 인증자로 사용할 수 있을 것이라고 발표했다.

메커니즘

사용자는 자신의 신원을 확인하기 전에 먼저 시스템에 등록해야 합니다.패스워드리스 등록 플로우에는, 다음의 ^[14]순서가 포함됩니다.

등록 요청:사용자가 웹 사이트에 등록하려고 하면 서버는 사용자의 장치에 등록 요청을 보냅니다.
인증 팩터 선택:사용자의 단말기는 등록 요청을 수신하면 사용자를 인증하는 방법을 설정합니다.예를 들어, 장치는 지문 스캐너나 얼굴 인식과 같은 생체 인식 기능을 사용자 ^[15]식별에 사용할 수 있습니다.
키 생성:사용자의 장치는 공개/비밀 키 쌍을 생성하고 나중에 ^[16]확인하기 위해 공개 키를 서버로 보냅니다.

등록이 완료되면 사용자는 다음 프로세스를 통해 시스템에 로그인할 수 있습니다.

인증 과제:사용자가 ^[16]사이트에 로그인하려고 하면 서버가 사용자 장치에 인증을 보냅니다.
사용자 인증:사용자는 바이오메트릭 스캐너를 사용하여 단말기에 자신의 신원을 증명하고 개인 ^[17]키를 잠금 해제합니다.
질문 응답:사용자의 단말기는 인증 도전에 대한 응답을 사용자의 개인 키로 ^[18]디지털 서명합니다.
응답 검증:서버는 장치의 공용 키를 사용하여 디지털 서명을 확인하고 사용자의 ^[18]계정에 대한 액세스를 제공합니다.

장점과 단점

찬성론자들은 다른 인증방식에 비해 다음과 같은 고유한 이점을 지적하고 있습니다.

보안 강화 – 패스워드는 컴퓨터 시스템의 취약점(재사용, 공유, 균열, 스프레이 등)으로 알려져 있으며 보안 침해의 대부분을 차지하는 주요 공격 매개체로 간주됩니다.
사용자 경험 향상– 복잡한 비밀번호를 기억하고 다양한 보안 정책을 준수할 필요가 없을 뿐만 아니라 정기적으로 비밀번호를 갱신할 필요도 없습니다.
IT 비용 절감 – 비밀번호 저장 및 관리가 필요하지 않으므로 IT 팀은 비밀번호 정책 설정, 누출 감지, 잊어버린 비밀번호 리셋 및 비밀번호 스토리지 규정 준수에 대한 부담을 덜 수 있습니다.
자격 정보 사용 가시성 향상– 자격 정보는 특정 디바이스 또는 고유한 사용자 속성에 연결되어 있기 때문에 대량으로 사용할 수 없고 액세스 관리가 더욱 엄격해집니다.
확장성 – 패스워드의 부하나 복잡한 등록 없이 여러 로그인을 관리할 수 있습니다.

운영 및 비용 관련 단점을 지적하는 사람도 있습니다.

구현 비용– 패스워드 없는 인증이 장기적으로 비용 절감으로 이어진다는 것은 인정되지만, 현재 많은 잠재적 사용자에게 도입 비용이 걸림돌이 되고 있습니다.비용은 기존 사용자 디렉토리에 인증 메커니즘을 배치해야 하며 경우에 따라서는 사용자에게 배치되는 추가 하드웨어(OTP 또는 보안 키 등)와 관련이 있습니다.
훈련과 전문지식이 필요합니다.대부분의 패스워드 관리시스템은 유사하게 구축되어 오랜 세월에 걸쳐 사용되고 있습니다만, 패스워드리스 인증에서는 IT팀과 최종사용자 양쪽에서 조정이 필요합니다.
단일 장애 지점 – 특히 셀룰러 디바이스 애플리케이션에 대한 OTP 또는 푸시 알림을 사용한 구현은 디바이스가 파손, 분실, 도난 또는 단순한 업그레이드 ^[19]시 최종 사용자에게 문제를 일으킬 수 있습니다.

「」를 참조해 주세요.

레퍼런스

^[20]

^ Munir Kotadia (2004-02-25). "Gates predicts death of the password". News.cnet.com. Retrieved 2020-04-12.
^ Kotadia, Munir (25 February 2004). "Gates predicts death of the password". ZDNet. Retrieved 8 May 2019.
^ "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.
^ Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect us Anymore". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.
^ "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
^ "Authentication at Scale". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.
^ Mims, Christopher (2014-07-14). "The Password is Finally Dying. Here's Mine". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.
^ "Russian credential theft shows why the password is dead". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Cambridge, UK: University of Cambridge Computer Laboratory. ISSN 1476-2986. Retrieved 22 March 2019.
^ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.
^ "Use passwordless authentication to improve security". Microsoft.com. 2020-01-28. Retrieved 2020-04-12.
^ "Making authentication even easier". security.googleblog.com. 2019. Retrieved 2020-04-12.
^ "Apple Developer Documentation". developer.apple.com. Retrieved 2020-10-07.
^ "Passwordless Authentication: A Complete Guide [2022] - Transmit Security". Transmit Security. 13 January 2022. Retrieved 12 April 2022.
^ "No password for Microsoft Account: What does passwordless authentication mean?". Business Today. Retrieved 12 April 2022.
^ ^a ^b Deighton, Katie (22 March 2022). "Technology Alliance Says It Is Closer to Killing Off Passwords". Wall Street Journal. Retrieved 12 April 2022.
^ "Accelerating the Journey to Passwordless Authentication". IBM. Retrieved 12 April 2022.
^ ^a ^b "Passwordless Authentication" (PDF). The World Economic Forum. Retrieved 12 April 2022.
^ Smithson, Nigel (June 9, 2020). "Issues with Multi-Factor Authentication: PSA for MFA App Users". sayers.com.{{cite web}}: CS1 maint :url-status (링크)
^ "Secret Double Octopus". passwordless authentication for enterprise environments.

외부 링크

시크릿 시큐러티 Wiki – 패스워드리스 인증 데이터베이스 및 문서
보안 백과사전– 정보보안 정의

[1] Munir Kotadia (2004-02-25). "Gates predicts death of the password". News.cnet.com. Retrieved 2020-04-12.

[2] Kotadia, Munir (25 February 2004). "Gates predicts death of the password". ZDNet. Retrieved 8 May 2019.

[3] "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.

[4] Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect us Anymore". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.

[5] "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.

[6] "Authentication at Scale". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.

[7] Mims, Christopher (2014-07-14). "The Password is Finally Dying. Here's Mine". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.

[8] "Russian credential theft shows why the password is dead". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.

[Bonneau_et_al._2012_tech_report-9] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Cambridge, UK: University of Cambridge Computer Laboratory. ISSN 1476-2986. Retrieved 22 March 2019.

[Bonneau_et_al._2012_peer-reviewed_paper-10] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.

[11] "Use passwordless authentication to improve security". Microsoft.com. 2020-01-28. Retrieved 2020-04-12.

[12] "Making authentication even easier". security.googleblog.com. 2019. Retrieved 2020-04-12.

[13] "Apple Developer Documentation". developer.apple.com. Retrieved 2020-10-07.

[14] "Passwordless Authentication: A Complete Guide [2022] - Transmit Security". Transmit Security. 13 January 2022. Retrieved 12 April 2022.

[15] "No password for Microsoft Account: What does passwordless authentication mean?". Business Today. Retrieved 12 April 2022.

[wsj22-16] Deighton, Katie (22 March 2022). "Technology Alliance Says It Is Closer to Killing Off Passwords". Wall Street Journal. Retrieved 12 April 2022.

[17] "Accelerating the Journey to Passwordless Authentication". IBM. Retrieved 12 April 2022.

[wef-18] "Passwordless Authentication" (PDF). The World Economic Forum. Retrieved 12 April 2022.

[19] Smithson, Nigel (June 9, 2020). "Issues with Multi-Factor Authentication: PSA for MFA App Users". sayers.com.{{cite web}}: CS1 maint :url-status (링크)

[20] "Secret Double Octopus". passwordless authentication for enterprise environments.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

Search

패스워드리스인증

네임스페이스

더

목차

역사

메커니즘

장점과 단점

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

패스워드리스인증

역사

메커니즘

장점과 단점

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.