ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
지난 1년여 동안 암호 키가 주류에 등장했습니다. 이 기술의 채택률은 놀라울 정도로 높았으며 둔화될 기미가 보이지 않습니다. 귀하의 경험이 저와 같다면 적어도 일주일에 한두 번은 새 암호 키를 저장하라는 초대를 받을 것입니다.
모두 합쳐서 이제 저장된 암호 키는 40개 이상입니다. 해당 패스키를 사용하면 비밀번호 프롬프트를 완전히 건너뛰고 Costco, Target, Amazon, Walmart와 같은 주요 쇼핑 목적지는 물론 Dell, Adobe, Dropbox와 같은 기술적인 사이트를 포함하여 수십 개의 웹사이트에서 생체 인식(얼굴 또는 지문)으로 로그인할 수 있습니다. 내 도메인 이름 등록을 관리하는 회사는 전력회사, 신용조합, 의사 진료실과 마찬가지로 패스키를 사용합니다.
또한: 저는 한 가지 이유로 패스키용 비밀번호를 버리고 있습니다. 이는 여러분이 생각하는 것과는 다릅니다.
하지만 여전히 암호키가 무엇인지, 어떻게 작동하는지, 왜 암호보다 나은지 잘 이해하지 못하는 독자들의 이야기를 듣습니다.
이 주제에 관해 친구와 오랜 온라인 대화 끝에 마침내 "아하!"를 달성했습니다. 순간 나는 주제가 왜 그렇게 혼란스러운지 이해했다고 생각합니다. 암호키는 유형의 것이 아니라 추상화입니다. 결과적으로 기술을 설명하려는 대부분의 시도는 기술적인 세부 사항에서 어려움을 겪습니다.
기술적인 지식이 부족한 사람이라도 비밀번호가 무엇인지 알 수 있습니다. 문자와 숫자의 조합, 기호 등이 포함될 수 있습니다. 일반적인 단어나 이름, 날짜를 사용하여 자신만의 비밀번호를 만들 수 있으며 스티커 메모에 적어둘 수도 있습니다. 대부분의 사람들은 그것이 나쁜 생각이라는 것을 알면서도 정기적으로 동일한 비밀번호나 변형된 비밀번호를 재사용합니다.
또한: 암호 키 작동 방식: 피할 수 없는 암호 없는 미래를 위한 완벽한 가이드
반면에 암호키는 설명하기 어렵습니다. 공개 키와 개인 키에서 생성된 안전한 디지털 자격 증명이라고 말하면 해당 단어에 어울리는 정신적 이미지를 형성할 수 있습니까? 아마도 그렇지 않을 것입니다. 더 기술적인 세부사항에 정의를 묻어두는 것은 도움이 되지 않습니다.
하지만 독자들로부터 계속 듣는 질문을 통해서 우리는 전문 용어 없이 평범한(대부분) 비기술적인 언어로 함께 거기에 도달할 수 있다고 생각합니다.
패스키는 생체 인식 또는 PIN으로 신원을 증명하여 특정 웹사이트나 웹 서비스에 로그인할 수 있도록 해주는 안전하고 저장된 자격 증명입니다. 암호키는 웹 인증(WebAuthn) 표준을 사용하여 정의됩니다.
암호 키를 만들면 실제로 두 개의 일치하는 암호화된 디지털 정보 조각이 생성되어 저장됩니다. 하나는 로그인 중인 웹 사이트나 서비스에 있습니다(표준에서는 이를 신뢰 당사자), 기기에 1초가 소요됩니다. 이러한 키는 함께만 작동할 수 있습니다. 하나는 다른 하나 없이는 쓸모가 없습니다.
작동 방식은 다음과 같습니다.
웹사이트로 이동하여 평소처럼 비밀번호를 사용하여 로그인합니다. 로그인하면 다음 메시지가 표시됩니다. 암호 키를 생성하시겠습니까? 그리고 당신은 "왜, 그래, 그럴 거야"라고 말합니다. 또는 웹사이트에서 암호 키 생성을 지원하지 않는 경우 계정의 보안 설정 페이지에서 옵션을 찾으세요. 예를 들어 다음 스크린샷은 Dell.com에서 볼 수 있는 내용을 보여줍니다.
웹사이트나 서비스에 대한 암호 키를 생성하려면 설정을 자세히 살펴봐야 할 수도 있습니다.
패스키를 생성하는 데 사용할 인증자를 선택해야 하지만(자세한 내용은 나중에 설명) 그 외에는 다른 작업을 수행할 필요가 없습니다. 귀하는 이미 비밀번호를 사용하여 로그인했기 때문에 웹사이트는 귀하에게 해당 계정을 사용할 권한이 있음을 알 수 있습니다.
연결하려는 웹사이트나 서비스는 고유한 암호화 키를 서버에 저장하고, 인증자(기기 또는 비밀번호 관리자)는 두 번째 고유한 개인 암호화 키를 생성하여 기기의 안전한 위치에 저장합니다.
이것이 바로 암호 키입니다. 양쪽 끝에 하나씩 두 개의 비밀이 함께 작용하여 계정 사용 권한을 설정합니다. 귀하의 사용자 이름과 비밀번호는 더 이상 관련되지 않으며 귀하를 포함한 누구도 귀하의 컴퓨터에 있는 개인 암호화 키를 볼 수 없습니다.
암호키를 생성할 때 사용할 인증자를 선택합니다. 기본 위치는 Windows Hello 생체 인증을 지원하는 PC 등 장치 자체입니다. 암호 키를 지원하는 암호 관리자를 선택하거나 하드웨어 보안 키를 사용할 수도 있습니다.
그게 왜 중요해요? PC나 모바일 장치 또는 하드웨어 보안 키를 인증자로 사용하는 경우 장치 바인딩된 암호 키. 해당 하드웨어와 연계해서만 작동합니다. 다른 장치에서 로그인을 시도하거나 하드웨어 보안 키가 편리하지 않은 경우 해당 암호 키에 액세스할 수 없습니다.
반면, 비밀번호 관리자는 여러 장치에서 사용할 수 있는 동기화 가능한 비밀번호 키를 저장할 수 있습니다. Google 비밀번호 관리자와 iCloud 키체인을 사용하면 여러 기기에서 비밀번호 키를 동기화할 수 있습니다. 1Password 또는 Bitwarden과 같은 타사 비밀번호 관리자도 마찬가지입니다. (패스키 인증자의 최신 목록은 이 GitHub 페이지를 참조하세요.)
또한: Windows 11 사용자는 패스키를 저장하는 더 편리한 방법을 얻었습니다. 작동 방법은 다음과 같습니다.
암호 키를 지원하는 암호 관리자를 사용하는 데 이미 익숙하다면 이것이 최선의 선택입니다. 이미 사용하고 있는 것과 동일한 인터페이스를 사용하여 암호키를 생성, 관리 및 사용할 수 있습니다.
다음은 유용한 팁입니다. 여러 개의 암호 키 인증자를 사용하고 동일한 사이트에 대해 여러 개의 암호 키를 만들 수 있습니다. 일부 고가치 사이트의 경우 2개 이상의 하드웨어 키와 1Password에 암호키를 생성하여 익숙하지 않은 하드웨어에서도 해당 사이트에 안전하게 로그인할 수 있는 방법을 선택할 수 있게 했습니다.
이전에 암호 키를 생성한 웹 사이트를 방문하면 평소와 같이 이메일 주소나 사용자 이름을 입력하지만 암호를 입력하는 상자가 표시되는 대신 다음 메시지가 표시됩니다. 암호 키로 로그인하시겠습니까? 예라고 대답하고 저장된 암호 키에 대한 버튼을 클릭합니다.
암호키를 저장하려면 먼저 신원을 증명해야 합니다.
웹사이트는 해당 키(패스키를 설정할 때 생성된 키)를 사용하여 PC 또는 비밀번호 관리자에 질문을 보냅니다. 실제로는 "이 키와 연결된 개인이 자신의 계정에 액세스하려고 합니다. 괜찮으십니까?"라는 메시지가 표시됩니다.
인증자(PC의 Windows Hello, Apple 장치의 iCloud 키체인 또는 하드웨어 키)는 요청이 피싱 웹 사이트가 아닌 유효한 소스에서 오는 것인지 확인합니다. 그런 다음 생체 인식 또는 PIN으로 자신을 식별하도록 요청하고 챌린지가 암호 키에 저장된 정보와 일치하는지 확인하고 일치하는지 확인합니다.
또한: 이미 암호 키 인증에 소프트웨어 전용 접근 방식을 사용하고 있습니다. 이것이 중요한 이유
인증자는 개인 키를 사용하여 귀하의 신원이 입증되었으며 일치하는 암호 키가 있음을 웹사이트에 알리는 메시지를 생성합니다. 이제 비밀번호를 사용한 것처럼 로그인되었습니다.
귀하와 다른 웹사이트는 실제 암호화 키를 교환한 적이 없으므로 이를 가로채거나 복사할 수 없습니다. 귀하의 PC 또는 비밀번호 관리자가 한 일은 귀하가 귀하이며 비밀번호 키가 일치하는지 확인하는 것뿐입니다. 전체 프로세스는 비밀번호 기반 대안보다 훨씬 빠르고 안전합니다.
암호 키는 Windows PC의 TPM, Mac 또는 iOS 장치의 Secure Enclave, Android 장치의 Trusted Execution Environment 등 암호화 하드웨어로 보호되는 휴대폰이나 컴퓨터의 안전한 위치에 저장됩니다.
인증자만 암호 키에 액세스할 수 있으며, 귀하의 신원을 확인한 후에만 액세스할 수 있습니다. 암호 키는 파일 시스템에 액세스할 수 없습니다. 즉, 파일 탐색기나 Finder를 사용하여 암호 키 컬렉션을 스크롤할 수 없습니다. (또한 맬웨어가 저장된 패스키에 액세스할 수 없다는 의미이기도 합니다.)
또한: Apple, Microsoft 또는 Google: 누구의 플랫폼 인증자가 암호 키의 미래를 지배합니까?
패스키를 열고 그 내용을 검사할 수는 없습니다. 휴대폰이나 컴퓨터에 저장된 암호 키의 복사본을 만들 수 없으며, 악의적인 사람이 합법적인 웹 사이트처럼 보이도록 설계된 가짜 웹 사이트로 사용자를 속인 경우 실수로 암호 키를 사용할 수 없습니다.
지금으로부터 몇 년 후, 언젠가 우리는 비밀번호가 없는 세상에 살게 될 수도 있습니다. 그 날은 오늘이 아닙니다.
추가 정보: 비밀번호 관리자를 통해 비밀번호 키를 쉽게 설정하는 방법과 설정해야 하는 이유
현재로서는 암호 키가 암호 대신 사용되며 일반적으로 암호는 암호 키를 생성한 사이트에 로그인하는 방법으로 계속 사용할 수 있습니다. 일부 서비스에서는 여러 개의 암호 키를 만든 후 암호를 제거할 수 있도록 허용하지만(예를 들어 Microsoft 계정으로 제거할 수 있음) 이러한 옵션은 여전히 드뭅니다.
비밀번호를 사용하면 다음과 같은 일이 발생합니다. 웹사이트로 이동하여 사용자 이름과 비밀번호를 입력하고 버튼을 클릭합니다. 모든 것이 잘 되면 로그인된 것입니다. 하지만 잘못될 수 있는 일이 많이 있습니다.
우선, 비밀번호는 피싱될 수 있습니다. 악의적인 사람이 귀하의 은행 로그인 페이지처럼 보이는 웹사이트를 구축할 수 있다면 귀하는 거기에 비밀번호를 입력하도록 속일 수 있으며, 이때 악의적인 사람은 귀하로 로그인하여 귀하의 은행 계좌에 있는 자금을 훔칠 수 있습니다.
문자, 숫자, 기호를 조합하여 가능한 모든 조합을 시도하는 무차별 대입 공격이나 추측하기 쉬운 비밀번호를 찾아내는 공격자를 통해 비밀번호를 추측할 수 있습니다. 트위터 계정 비밀번호를 추측하기 어렵지 않았던 도널드 트럼프에게 물어보세요. 너 해고했어 2014년에는 maga2020! 6년 후.
또한: 내 Microsoft 계정 암호를 암호 키로 바꿨습니다. 귀하도 마찬가지입니다.
비밀번호도 도난당할 수 있습니다. 키로거 또는 원격 액세스 트로이 목마는 공격자에게 암호를 보내거나 "숄더 서핑"이라는 매우 낮은 기술 옵션을 사용할 수 있습니다. 비디오 카메라를 사용하여 사용자 이름과 암호를 입력하는 것을 지켜볼 수도 있습니다.
귀하의 opsec이 완벽하더라도 웹 사이트가 암호를 저장하고 보호하는 데 형편없는 작업을 수행하면 여전히 암호를 탈취할 수 있습니다.
마지막으로, 해당 사용자 이름과 비밀번호 조합을 다른 사이트에서 (현명하지 않게) 재사용할 수 있으며, 한 사이트의 비밀번호가 유출되거나 피싱될 경우 취약해질 수 있습니다.
패스키는 이러한 공격에 면역입니다. 숙련된 피싱 공격자는 가짜 웹사이트가 진짜라고 속일 수 있지만 도메인과 관련 암호화 키가 일치하지 않기 때문에 해당 웹사이트는 결코 암호키에 액세스할 수 없습니다. 그리고 장치의 안전한 저장소를 떠나지 않기 때문에 도난당할 수도 없습니다.
잠금을 해제하는 유일한 방법은 인증자가 원격 서버로부터 합법적인 요청을 받은 후 생체 인식이나 PIN으로 자신을 식별하는 것입니다. 전체 프로세스로 인해 피싱이 불가능해집니다.
수년 동안 여러분은 각 사이트에 고유한 비밀번호를 갖는 것이 얼마나 중요한지 알려주는 조언 칼럼을 읽어 오셨습니다. 그렇다면 동일한 수준의 주의를 기울여야 하며 이를 허용하는 각 사이트에 대해 고유한 암호 키를 만들어야 합니까?
하아! 그것은 거의 속임수에 가까운 질문입니다. 암호키는 정의에 따라 고유합니다. 각 암호 키는 해당 암호 키가 생성된 사이트나 서비스에서만 사용하도록 생성된 두 개의 별도 암호화 키로 구성됩니다.
그러나 단일 사이트에 대해 여러 개의 암호키를 가질 수 있습니다. 장치에 바인딩된 경우 노트북용 하나와 휴대폰용 하나가 있을 수 있습니다. 또는 YubiKey와 같은 하나 이상의 하드웨어 키가 있을 수도 있습니다. 앞서 언급했듯이 비밀번호 관리자에서 동기화 가능한 비밀번호 키를 만드는 것이 가장 편리한 옵션입니다.