사과그리고 구글 그리고 마이크로소프트 그들은 이번 주에 비밀번호를 완전히 피하는 인증 접근 방식을 곧 지원할 것이라고 발표했습니다. 대신 사용자가 웹사이트나 온라인 서비스에 로그인하려면 스마트폰의 잠금을 해제하기만 하면 됩니다. 전문가들은 이러한 변경이 많은 유형의 피싱 공격을 물리치고 인터넷 사용자의 전반적인 비밀번호 부담을 줄이는 데 도움이 될 것이라고 말하지만 비밀번호가 없는 진정한 미래는 여전히 대부분의 웹사이트에서 멀 수 있다고 경고합니다.

거대 기술 기업들은 쉽게 잊어버리거나 맬웨어 및 피싱 사기에 의해 자주 도난당하거나 기업 데이터 침해로 인해 온라인으로 유출되어 판매되는 암호를 대체하려는 업계 주도의 노력의 일부입니다.

Apple, Google 및 Microsoft는 FIDO(“Fast Identity Online”) 동맹 및 월드 와이드 웹 컨소시엄 (W3C), 여러 브라우저 및 운영 체제에서 동일하게 작동하는 새로운 로그인 표준을 개발하기 위해 지난 10년 동안 수백 개의 기술 회사와 협력한 그룹입니다.

FIDO Alliance에 따르면 사용자는 장치 PIN 또는 지문 또는 얼굴 스캔과 같은 생체 인식을 포함하여 장치를 잠금 해제하기 위해 매일 여러 번 수행하는 것과 동일한 절차를 통해 웹사이트에 로그인할 수 있습니다.

연합은 5월 5일 “이 새로운 접근 방식은 피싱으로부터 보호하고 기존의 다중 요소 암호 및 SMS를 통해 전송되는 1회용 암호와 같은 기술에 비해 로그인을 근본적으로 더 안전하게 만들 것”이라고 밝혔습니다.

삼파스 스리니바스구글의 보안 인증 이사이자 FIDO 얼라이언스의 대표는 새로운 시스템에서 휴대전화는 온라인 계정을 여는 데 사용되는 “패스키”라는 FIDO 자격 증명을 저장하게 될 것이라고 말했다.

Srinivas는 “패스키는 공개 키 암호화를 기반으로 하고 전화를 잠금 해제할 때만 온라인 계정에 표시되기 때문에 로그인을 보다 안전하게 만듭니다.”라고 썼습니다. “PC에서 웹사이트에 로그인하려면 근처에 휴대폰만 있으면 액세스할 수 있으며 잠금을 해제하기만 하면 됩니다. 일단 로그인하면 휴대폰이 다시 필요하지 않으며 잠금을 해제하면 로그인할 수 있습니다. 당신의 PC.”

처럼 지디넷 노트Apple, Google 및 Microsoft는 이미 이러한 암호 없는 표준(예: “Google로 로그인”)을 지원하지만 사용자가 암호 없는 기능을 사용하려면 각 웹사이트에서 로그인해야 합니다. 이 새로운 시스템에서 사용자는 각 계정을 다시 등록할 필요 없이 많은 장치에서 암호 키에 자동으로 액세스하고 모바일 장치를 사용하여 근처 장치에서 앱이나 웹사이트에 로그인할 수 있습니다.

요하네스 울리히딘 검색 Sans Institute of Technology이 발표는 “인증 문제를 해결하기 위한 지금까지 가장 유망한 노력”이라고 했습니다.

Ulrich는 “이 표준의 가장 중요한 부분은 사용자가 새 장치를 구입할 필요가 없고 대신 이미 소유하고 있고 인증자로 사용하는 방법을 알고 있는 장치를 사용할 수 있다는 것입니다.”라고 말했습니다.

스티브 벨로빈컬럼비아 대학교 컴퓨터 과학 및 초기 인터넷 교수 연구원이자 개척자는 암호 없는 노력을 인증의 “엄청난 발전”이라고 설명했지만 많은 웹사이트가 따라잡기에는 너무 오랜 시간이 걸릴 것이라고 말했습니다.

새로운 비밀번호 없는 인증 시스템에서 잠재적으로 까다로운 시나리오 중 하나는 누군가 모바일 기기를 분실하거나 휴대전화가 고장나서 iCloud 비밀번호를 기억할 수 없을 때 일어나는 일이라고 Belovin과 다른 사람들은 말합니다.

Belovin은 “추가 장치를 구입할 수 없거나 고장나거나 도난당한 장치를 쉽게 교체할 수 없는 사람들이 걱정됩니다. “클라우드 계정의 잊어버린 비밀번호 복구가 걱정됩니다.”

구글 말한다 휴대전화를 분실하더라도 “패스키는 클라우드 백업에서 새 휴대전화로 안전하게 동기화되어 이전 기기에서 중단된 부분부터 다시 찾을 수 있습니다.”

Apple과 Microsoft는 또한 이러한 플랫폼을 사용하는 고객이 분실한 모바일 장치를 복구하는 데 사용할 수 있는 클라우드 백업 솔루션을 보유하고 있습니다. 그러나 Belovin은 이러한 클라우드 시스템이 얼마나 안전하게 관리되는지에 많은 것이 달려 있다고 말했습니다.

“다른 기기의 공개 키를 허가 없이 계정에 추가하는 것이 얼마나 쉬운가요?” 벨로빈이 물었다. “나는 그들의 프로토콜이 그것을 불가능하게 한다고 생각하지만 다른 사람들은 그것에 동의하지 않습니다.”

니콜라스 위버전산학과 강사 캘리포니아 대학교 버클리그는 웹사이트에 “휴대전화와 비밀번호를 분실했습니다” 시나리오에 대한 복구 메커니즘이 여전히 있어야 한다고 말했습니다.

Weaver는 이메일에서 “비밀번호를 잊어버리고 휴대폰을 잃어버렸다가 되찾을 수 있다면 이는 공격자의 큰 표적이 됩니다.”라고 말했습니다. “비밀번호를 잊어버리고 휴대전화를 잃어버렸는데 그렇게 할 수 없다면 이제 로그인에 사용된 인증 코드를 잃어버렸습니다. 마지막 코드여야 합니다. Apple에는 이를 지원하는 인프라(iCloud 키체인)가 있지만, 구글인지 여부는 확실하지 않다.”

그러나 그는 FIDO의 일반적인 접근 방식이 보안과 사용성을 모두 향상시키는 훌륭한 도구라고 말했습니다.

Weaver는 “정말로 좋은 진전이며 그것을 보게 되어 기쁩니다.”라고 말했습니다. “전화 소유자의 강력한 전화 인증(적절한 암호가 있는 경우)을 활용하는 것은 꽤 멋진 일입니다. 그리고 최소한 iPhone의 경우 이 기능과 보안을 처리하는 주머니 금고이기 때문에 전화 손상에도 이 기능을 강력하게 만들 수 있습니다. pocket은 호스트를 신뢰하지 않습니다.”

기술 대기업들은 “내년 동안” Apple, Google 및 Microsoft 플랫폼에서 새로운 암호 없는 기능이 활성화될 것이라고 말했습니다. 그러나 전문가들은 소규모 웹 사이트가 이 기술을 채택하고 비밀번호를 완전히 포기하려면 몇 년이 더 걸릴 것이라고 말했습니다.

최근 연구에 따르면 너무 많은 사람들이 여전히 비밀번호를 재사용하거나 재사용(동일한 비밀번호를 약간 수정)하고 있어 해당 자격 증명이 결국 데이터 유출로 노출될 때 계정 탈취의 위험이 있습니다. ㅏ 보고서 3월 사이버보안업체 스파이클라우드 사용자의 64%가 여러 계정에 대해 비밀번호를 재사용하고 있으며 이전 위반으로 손상된 자격 증명의 70%가 여전히 사용 중인 것으로 나타났습니다.

2022년 3월 FIDO 접근 방식에 대한 백서 제공 여기 (PDF). 그것에 대한 질문과 답변이 있습니다 여기.