암호가 손상되었습니다. WebAuthn은 인증의 새로운 표준입니다.

게시 됨: 2022-09-22

최근에 iThemes Security Pro는 워드프레스 사이트의 기본 인증 방법으로 패스키를 추가했습니다. 이 획기적인 릴리스는 WordPress 공간에서 최초의 릴리스이며 알아야 할 사항입니다. 다시 한 번, iThemes Security는 WordPress 사용자에게 탁월한 보안 기능을 제공하는 데 리더십을 보여주었습니다.

이 게시물에서는 비밀번호 문제, WebAuthn이 무엇인지, 그리고 왜 이 기술을 모든 곳에서 사용하기 시작하는지 검토할 것입니다. 최종 사용자를 위한 로그인 및 보안 기능을 개선하려는 WordPress 사이트 소유자라면 이제 마찰 없는 로그인을 위한 최첨단 표준을 사용할 수 있습니다.

WebAuthn이 해결하는 비밀번호 문제 이해하기

WordPress에서 사용하는 사용자 계정을 포함한 우리의 온라인 생활은 사용자 이름과 비밀번호 액세스를 기반으로 합니다. 이것은 잠시 동안 괜찮았습니다. 그러나 재사용된 비밀번호, 사전 무차별 대입 공격, 악의적인 행위자가 유출된 계정 데이터를 공유함으로써 비밀번호 기반 보안 시스템이 비효율적으로 되었습니다.

실제로 Verizon의 2022년 DBIR 보고서에 따르면 도난 의 80% 이상이 자격 증명 도난으로 인한 것일 수 있으며 주요 침입 벡터로서 도난당한 자격 증명이 취약성 악용에 비해 30% 증가했습니다 .

자격 증명은 사용자 이름/암호 조합을 나타냅니다. 그리고 Verizon의 데이터는 우리에게 한 가지를 알려줍니다. 비밀번호가 손상되었다는 것입니다. 2FA(2단계 인증) 추가가 도움이 되었지만 불행히도 추가되는 마찰과 복잡성으로 인해 사용자의 28%만 채택했습니다. 우리는 그것을 얻는다. 2FA는 공격자에게 또 다른 마찰 계층을 추가하지만 사용자의 로그인도 어렵게 만듭니다. 그리고 SMS 기반 2FA의 경우 충분히 안전하지 않습니다. 고가치 대상에 대한 SIM 포트 공격에 대한 이야기는 일반적이지 않지만 발생하면 치명적입니다.

FIDO(Fast Identity Online) Alliance는 이러한 문제를 해결하기 위해 노력해 왔으며 WebAuthn은 그 작업에서 나온 사양입니다.

디지털 생활의 이 단계에서 암호는 깨졌습니다. 고맙게도 인증을 위한 새롭고 더 나은 방법이 있습니다. 바로 WebAuthn입니다.

WebAuthn이란 무엇입니까?

WebAuthn은 웹 인증 API의 약자입니다. Apple, Google, Mozilla, Microsoft, Yubico 등이 참여하여 W3C 및 FIDO에서 작성한 사양입니다. WebAuthn API를 사용하면 서버에서 암호 대신 공개 키 암호화를 사용하여 사용자를 등록하고 인증할 수 있습니다. 2019년 1월부터 WebAuthn은 Chrome, Firefox, Microsoft Edge 및 Safari에서 지원됩니다. 이 글을 쓰는 시점에서 WebAuthn은 90% 이상의 기기와 브라우저에서 지원됩니다.

WebAuthn은 서버, 브라우저 및 인증자 간에 암호 없는 인증을 가능하게 하는 기술 집합인 FIDO2 프레임워크의 일부입니다. WebAuthn은 World Wide Web Consortium에 의해 표준화되었습니다.

iPhone의 FaceID 또는 MacBook의 지문 인식, Windows Hello 및 기타 여러 장치와 같은 많은 장치에서 생체 인증을 사용하므로 로그인 시도가 실제로 유효한 사용자인지 여부를 결정하는 새로운 방법이 있습니다. 무차별 대입 공격이 아닙니다.

WebAuthn은 어떻게 작동합니까?

WebAuthn은 공개 키 암호화를 사용하여 사용자와 사용자가 사용하는 시스템 간의 연결을 보호합니다. WebAuthn을 사용하면 표준을 지원하는 모든 사이트에서 장치의 생체 인식 또는 YubiKey와 같은 단일 인증 방법을 사용할 수 있습니다. 이렇게 하면 사용자가 방문하는 모든 사이트에 대한 암호가 필요하지 않으며 WebAuthn과 함께 작동하는 강력한 인증자만 있으면 됩니다.

암호 대신 이 강력한 인증을 사용하여 웹 사이트에 대한 개인-공개 키 쌍을 만들 수 있습니다. 개인 키는 귀하의 장치(예: 전화 또는 컴퓨터)에 안전하게 저장되며 공개 키와 임의로 생성된 자격 증명은 저장을 위해 웹 서버로 전송됩니다. 웹 서버와 iThemes Security Passkeys의 경우 WordPress 사이트에서 공개 키를 사용하여 사용자의 신원을 확인할 수 있습니다.

WebAuthn 작동 방식

이 공개 키는 비밀이 아닙니다. 따라서 웹 서버나 워드프레스 사이트가 해킹을 당하면 공개 키로 저장된 자격 증명은 공격자에게 쓸모가 없습니다. 공개 키는 개인 키 없이는 사용할 수 없습니다.

WebAuthn이 실제로 어떻게 작동하는지 이해하기 위해 FIDO2 프로젝트에는 몇 가지 훌륭한 리소스가 있습니다.

WebAuthn은 보안 환경을 변경합니다.

WebAuthn은 보안의 세계에서 정말 획기적인 것입니다. 공개 키가 그들에게 유용하지 않기 때문에 데이터베이스는 더 이상 해커에게 매력적이지 않습니다. 또한 WebAuthn은 자격 증명 도용을 더 어렵게 만듭니다.

그리고 최종 사용자의 경우 WebAuthn을 사용하면 여러 사용자 이름과 암호를 기억할 필요가 없습니다. 예를 들어 MacBook의 모든 사용자는 iThemes 보안 패스키로 활성화된 사이트에 로그인하기 위해 지문만 있으면 됩니다.

WebAuthn을 구현한 Apple도 WebAuthn이 피싱 공격으로부터 보호한다고 언급합니다. 가짜 로그인 화면에 대한 링크가 포함된 이메일을 사용자에게 보내는 피싱 공격은 암호 없이는 효과적이지 않습니다. 계정 로그인에 암호 키를 사용하는 사용자는 악의적인 피싱 양식에 제공할 암호조차 갖고 있지 않습니다. 인증은 웹 서버에 저장된 공개 키와 통신하는 장치에 저장된 개인 키에 의해 완전히 처리됩니다. WebAuthn은 무작위 피싱 공격과 표적 스피어피싱 공격을 모두 효과적으로 무효화합니다.

WebAuthn으로 보안 게임이 변경되었습니다. 무차별 대입 공격과 암호 도용이 악의적인 공격자에게 덜 매력적이 되는 데 시간이 걸릴 수 있지만 WebAuthn을 구현하기로 선택한 사전 예방적 사이트 소유자는 자신의 사이트가 더 이상 게임의 일부가 되지 않도록 하는 데 앞장서게 될 것입니다.

더 행복한 고객을 위한 마찰 없는 로그인

이러한 사이트 소유자는 또한 사용자, 고객, 학생 또는 WordPress 사이트에 로그인하는 모든 사용자에게 유용한 추가 기능을 제공합니다. WordPress 사이트를 안전하게 유지하기 위해 마찰이 많은 다단계 인증 프로토콜을 요구하는 대신 iThemes Security에서 구현한 WebAuthn을 사용하면 사이트 소유자가 마찰 없는 암호 없는 로그인을 제공하면서 사이트를 해커에게 훨씬 덜 매력적으로 만들 수 있습니다.

WebAuthn의 더 많은 구현이 제공됩니다.

이 기술이 삶을 얼마나 변화시키는지 살펴보고 왜 더 많은 사이트, 서비스 및 앱이 WebAuthn을 사용하지 않는지 궁금할 것입니다. 이 기술은 획기적이면서도 매우 새롭습니다. 레거시 서비스에 WebAuthn을 추가하려면 약간의 리팩토링이 필요합니다. 그러나 풍경을 바꾸는 많은 새로운 기술에서 보았듯이 그 기술이 오고 있습니다. 암호를 넘어서야 할 필요성은 확실한 동인입니다. 그리고 더 많은 사용자가 마찰 없는 로그인 기능을 경험함에 따라 암호 없는 로그인을 확장하려는 사용자 요청이 나타나기 시작할 것입니다.

이러한 방식으로 iThemes Security는 WordPress 사용자 로그인 방식의 면모를 변화시키면서 WordPress 보안의 선두 주자로 확고히 자리 잡았습니다. iThemes Security Passkeys는 WordPress 공간에서 WebAuthn의 첫 번째 구현이며 앞으로 표준이 될 것입니다.

지금 WordPress 사이트에 대한 iThemes Security Passkeys를 얻으려면 iThemes Security Pro가 필요합니다. 다행히도 현재 할인된 가격으로 구입할 수 있습니다. 그러나 이러한 저렴한 가격은 오랫동안 볼 수 없습니다. 판매는 2022년 9월 30일에 종료됩니다.

귀하의 사이트에 대한 iThemes 보안 암호를 얻으십시오