한국어
  • webauthn
  • passkey
  • mfa

WebAuthn 통합하기 전에 알아야 할 사항들

WebAuthn의 기본 개념들을 소개하며, WebAuthn을 통합할 때 더 나은 결정을 할 수 있도록 돕는 것이 목표입니다.

Sijie
Sijie
Developer

WebAuthn은 전통적인 비밀번호에 비해 더 안전하고 사용자 친화적인 대안을 제공합니다. 이 기술을 채택하는 웹사이트의 수가 증가함에 따라 인기도 상승하고 있습니다. 만약 당신이 자신의 웹사이트에 WebAuthn을 통합하고자 한다면, 당신은 혼자가 아닙니다. 그러나 비교적 새로운 기술이기 때문에, 아마도 이에 대해 많은 질문이 있을 것입니다.

당신의 웹사이트 또는 애플리케이션에 WebAuthn을 통합하는 것을 고려할 때, 이러한 핵심 개념과 고려사항들을 이해하면 이를 지금 구현할지 여부에 대한 근거 있게 결정하는 데 도움이 될 것입니다.

WebAuthn과 패스키는 무엇인가요?

정의를 명확하게 하겠습니다:

  • **Web 인증 API (WebAuthn)**은 자격 증명 관리 API의 확장입니다. 이는 공개 키 암호화를 사용한 강력한 인증을 가능하게 하며, SMS 텍스트가 필요 없는 비밀번호 없는 안전한 다중 인증 요소(MFA)를 가능하게 합니다.
  • 패스키는 많은 이들이 겪었던 전통적인 "비밀번호 + 두 번째 요소" 접근 방식에 대한 흥미로운 WebAuthn 기반 대안을 나타냅니다. 이 문맥에서 패스키는 WebAuthn 표준 내의 특정 사용 사례입니다.

패스키를 여러 장치에서 사용할 수 있나요?

네, 당신은 두 가지 방법으로 여러 장치에서 패스키를 사용할 수 있습니다:

  1. 비밀번호 관리자를 통한 동기화: iCloud 키체인, Google 비밀번호 관리자, 1Password와 같은 인기 있는 비밀번호 관리자들은 패스키를 동기화할 수 있게 해줍니다. 등록 응답에서 "크로스 플랫폼"으로 표시된 패스키, 예를 들어 GitHub의 "동기화된" 태그,는 다양한 장치에서 사용될 수 있습니다.
  2. QR코드와 블루투스: 다른 장치에서 로그인하기 위해 QR 코드와 블루투스를 사용하는 것이 또 다른 접근 방식입니다. 이 방법은 사용자가 다른 플랫폼에서 자신의 계정을 액세스하는 데 유연성을 제공합니다.

이것만으로 인증 방법이 될 수 있나요?

당연히, WebAuthn은 매우 안전한 인증 요소입니다. 패스키는 "사용자 ID"를 포함하며, 인증 과정에서 서버는 확인된 "사용자 ID"를 식별자로 받습니다. 이 "사용자 ID"는 유니버설 유니크 식별자(UUID) 또는 이메일, 전화번호, 사용자 이름과 같은 다른 고유 식별자일 수 있습니다. 사용자는 먼저 자신의 "사용자 ID"를 입력하고 유효한 패스키를 찾거나, 현재 도메인과 연관된 목록에서 패스키를 선택할 수 있습니다.

호환성은 어떻게 되나요?

WebAuthn은 안전한 컨텍스트(HTTPS)에서 사용될 수 있으며, 대다수의 브라우저의 최신 버전들에서 지원됩니다. 자세한 호환성 정보는 MDN 문서를 참조하시기 바랍니다.

도메인은 패스키의 핵심 식별자입니다

WebAuthn 작업에서, 등록이나 인증에 관계없이, "rp ID"(의존하는 당사자 ID)는 필수 필드입니다. 이는 현재 웹 페이지의 도메인 호스트 이름을 나타냅니다. 만약 이것이 현재 도메인과 일치하지 않으면, 브라우저는 요청을 거부할 것입니다. 이는 패스키가 특정 도메인에 바인딩되어 있음을 의미하며, 현재로서는 기존 패스키를 다른 도메인으로 마이그레이션하는 방법이 없습니다. 또한 패스키는 다른 도메인 간에 사용될 수 없습니다. 자세한 내용은 이 이슈를 참조하시기 바랍니다.

인증 앱(TOTP) 비교

시간 기반 일회용 비밀번호(TOTP)와 인증 앱과 같은 전통적인 이중 인증 방법들과 WebAuthn을 비교하면 여러 가지 장점이 드러납니다. WebAuthn은 더 사용자 친화적이고 안전한 인증 경험을 제공합니다. 지속적으로 바뀌는 코드를 수동으로 입력해야 하는 TOTP나 장치가 빼앗기면 침해될 수 있는 인증 앱과 달리, WebAuthn은 안전한 하드웨어와 생체 인식을 기반으로한 매끄럽고 견고한 인증 과정에 의존합니다.

그러나, TOTP가 여전히 쉬운 백업과 크로스 디바이스 사용 등의 장점을 가지고 있음을 주목하는 것이 중요합니다, 그래서 거의 모든 장치와 호환성이 있습니다.

결론

WebAuthn은 의심할 여지 없이 흥미롭지만, 어떤 혁신적인 기술이든 이를 채택하기 전에 철저히 이해하는 것이 중요합니다. 이 기사는 당신에게 WebAuthn 통합에 대한 신중한 판단을 내릴 수 있는 지식을 갖추는 것을 목표로 합니다. 그것의 잠재적인 이점들을 고려하면서, 자신을 계속 교육하는 것이 성공의 길이라는 사실을 기억해야 합니다. 참고로, 기다려 주세요. 왜냐하면 Logto의 다음 주요 기능은 WebAuthn을 지원할 것이며, 이는 매끄럽고 안전한 인증에 대해 더 많은 가능성을 제공할 것입니다.

오늘 Logto를 시도해보세요