암호의 끝의 시작

위대한 암호의 멸종은 이미 진행 중입니다

암호가 없는 세상을 상상해 보십시오.

암호가 없는 이 새로운 세상에서 여전히 모든 온라인 계정에 로그인할 수 있습니다. WordPress 사이트에서 은행에 이르기까지 암호 없이 온라인 계정을 만들고 액세스하는 것이 그 어느 때보다 쉽고 안전합니다.

안도감이 되지 않을까요? 희소식: 글로벌 암호 소멸이 이미 발생하고 있으며 그 반대편의 삶이 더 좋습니다.

2022년 후반에 Apple은 iOS 16 및 MacOS 13 "Ventura"에 암호 키 지원을 도입했습니다.

어제 Google은 "모든 주요 플랫폼의 Google 계정에 대한 암호 키 지원을 롤아웃"한다고 발표했습니다.

iThemes는 Security Pro 제품이 WordPress에 암호 키 및 기타 암호 없는 인증 방법을 최초로 도입한 것을 매우 자랑스럽게 생각합니다.

암호 없는 삶은 어떻게 가능합니까?

Apple Watch를 사용하기 시작한 지 약 한 달 만에 현재 버전의 MacOS를 실행하는 데스크톱 및 노트북 컴퓨터가 자동으로 잠금 해제되고 로그인되기 시작했습니다. 내 Google 계정 및 iThemes 보안과 함께 사용하기 위해 MacOS 암호 키 지원을 켜는 것 이상을 수행한 기억이 없습니다. 분명히 이것은 또한 내 시계가 신뢰할 수 있는 패스키 장치가 되도록 허용했습니다.

이전에는 Apple Touch 생체 인식 로그인이 가장 접근하기 쉬운 암호 대안이었습니다. 이제 내 시계야. 때로는 오랫동안 자리를 비운 경우 여전히 암호를 입력해야 하지만 내 Apple ID와 모든 Apple 장치에 연결된 공통 암호 키 덕분에 내 시계 덕분에 암호를 입력하는 것이 훨씬 덜 일반적입니다.

YubiKey와 같은 하드웨어 키는 동일한 비밀번호 없는 로그인 경험을 제공합니다. Apple 기기가 필요하지 않습니다.

Windows 및 Android 장치는 패스키 덕분에 암호 없는 로그인을 지원합니다.

패스키란 무엇입니까?

암호 키에 대한 오픈 소스에 감사할 수 있습니다. 패스키 기술은 FIDO("Fast Identity Online") 얼라이언스에서 설정한 공개 표준을 기반으로 합니다. W3C에서 개발한 WebAuthn API는 FIDO2 표준의 일부입니다. 패스키를 사용하여 플랫폼 간, 암호 없는 인증을 빠르고 쉽게 수행할 수 있게 해주는 것은 WebAuthn입니다.

암호 키는 스마트폰과 같은 인증 장치에서 생성되는 고유하고 암호화된 디지털 식별자입니다. 공개 키 암호화는 공개 및 개인 키 쌍을 만드는 데 사용됩니다. 이 키 쌍이 함께 인증 장치에서 암호 키를 형성합니다. 각 장치에는 고유한 개인 키가 있을 수 있지만 공개 키는 웹을 통해 공유됩니다. 아마, 당신은 그들 중 하나를 볼 수 없을 것입니다. 아무도하지 않을거야.

휴대폰 또는 기타 패스키 지원 장치는 암호, PIN을 입력하거나 생체 인식 챌린지를 통과할 때 인증된 사용자임을 확인합니다. 이렇게 하면 전화기와 암호 키가 추가 장치 및 응용 프로그램의 키 역할을 합니다. 랩톱에서 암호를 다시 입력하고 WordPress에 다시 로그인하는 대신 휴대 전화가 컴퓨터에 로그인을 허용하도록 지시합니다. 그런 다음 운영 체제는 암호 없이 WordPress에 로그인을 요청하도록 브라우저에 지시합니다.

장치와 웹 사이트에 암호 키가 설정되어 있으면 매우 원활하게 사용할 수 있습니다. PIN을 제공하거나 빠른 생체 인식 질문을 통과해야 할 수도 있지만 비밀번호를 재활용하거나 취약한 비밀번호를 사용하지 않고 세 가지 로그인 양식을 작성하는 것보다 훨씬 간단합니다. 이중 인증(2FA)이 싫다면 더 이상 사용할 필요가 없습니다. ¹

암호 키가 암호를 대체하는 이유

처음에는 암호 및 2FA와 함께 암호 키가 인증 옵션으로 부상하고 있습니다. 당신은 그들 중 하나를 사용할 수 있습니다. 그러나 시간이 지남에 따라 안전하지 않은 암호를 유지하거나 시간 소모적인 2FA 코드를 처리하려는 사람은 거의 없을 것입니다. 암호 키는 다음과 같은 이유로 빠르게 선호되는 옵션이 됩니다.

1. 향상된 보안. 암호 키가 암호를 대체하는 주된 이유 중 하나는 그들이 제공하는 향상된 보안입니다. 많은 데이터 유출은 취약하거나 도난당한 암호로 인해 발생하며 이는 기존 암호 기반 인증의 취약성을 강조합니다. 암호 키 뒤의 공개 키 암호화는 해독하기가 훨씬 더 어렵습니다.

2. 더 나은 사용자 경험. 온라인 계정에 대한 많은 복잡한 암호를 기억하는 것은 어려울 수 있으며 종종 잘못된 암호 사용으로 이어집니다. 패스키는 인증 프로세스를 단순화합니다. 패스키 인증을 지원하는 계정에 액세스하려면 패스키를 저장하는 장치만 있으면 됩니다. 이 편리한 사용자 경험은 암호 키를 안전한 인증 방법으로 채택하도록 권장합니다.

3. 암호 관리자 선택 사항입니다. 패스키는 기존 암호 관리자의 필요성을 없애지는 못하더라도 감소시킬 수 있습니다. 비밀번호 관리자는 여러 개의 비밀번호를 저장하는 대안을 제공하지만 추가적인 위험도 수반합니다. 이러한 암호 저장소는 단일 실패 지점이 될 수 있습니다. LastPass에서 본 것처럼, 침해된 암호 관리 플랫폼은 모든 고객 계정, 암호 및 개인 정보를 노출할 수 있습니다.

비밀번호 없는 미래: 어떤 모습일지

패스키에 의한 암호의 소멸에는 세 가지 큰 장점이 있지만 공통된 스레드는 패스키가 보안과 단순성 모두에 이점을 주는 방식입니다.

장점

1. 원활한 인증. 암호 키가 널리 보급됨에 따라 온라인 서비스 인증 및 액세스 프로세스가 점점 더 원활해질 것입니다. 사용자는 패스키 저장 장치나 지문이나 안면 인식과 같은 생체 인식 방법을 사용하여 간단히 계정에 로그인할 수 있습니다.

2. 다단계 인증이 쉬워졌습니다. 암호 키는 본질적으로 사용자가 알고 있는 것(암호 키)과 사용자가 가지고 있는 것(암호 키를 저장하는 장치)을 결합하여 다단계 인증(MFA)을 지원합니다. MFA를 인증 프로세스에 원활하게 통합하면 사용자 경험을 희생하지 않고도 보다 안전한 온라인 환경을 구축할 수 있습니다.

3. 데이터 유출 감소. 패스키가 인증의 새로운 표준이 됨에 따라 약하거나 도난당한 패스워드로 인한 데이터 유출 건수가 감소할 가능성이 높습니다. 암호 키가 제공하는 향상된 보안은 사이버 범죄자가 사용자 계정을 손상시키기 어렵게 만들어 더 안전한 디지털 환경으로 이어집니다.

지금까지 보안 인증이 우수한 사용자 경험과 함께 제공되는 경우는 거의 없었습니다. 암호 키는 큰 예외입니다. 그것은 환상적이지만 항상 단점이 있습니다.

단점

1. 정교한 피싱 및 소셜 해킹. 암호 키는 훔치고 크래킹하는 것이 거의 불가능할 수 있지만 범죄자는 보안이 강화될 때 결코 포기하지 않습니다. 그들은 새로운 도구에 적응하고 방치된 약점을 악용합니다. 오늘날 AI 도구를 사용하면 누구나 쉽게 어떤 언어에도 유창하게 보이도록 할 수 있습니다. 이는 다른 사람을 속여 자신을 믿도록 하려는 사람에게 큰 자산입니다. 대규모 암호 유출은 과거로 사라질 수 있지만 피싱 및 소셜 해킹은 더욱 정교해지고 널리 퍼질 수 있습니다.

2. 물리적 보안 및 개인 정보 보호. 내 Apple 기기는 왼손잡이인 딸이 반대쪽 손목에 내 시계를 차면 내가 아니라는 것을 알 수 없습니다. 그녀에게 필요한 것은 내 시계와 내 컴퓨터에 로그인하기 위한 4자리 PIN뿐입니다. ² 도둑도 그렇게 할 수 있고 경찰도 그렇게 할 수 있습니다. ³ 장치와의 관계가 물리적으로 더 복잡해짐에 따라 개인 정보 보호에 대한 많은 어려운 질문이 제기됩니다. ⁴ 이미 쇠퇴하고 있는 온라인 익명성은 사라질 수 있습니다.

3. 사람들은 암호도 공유할 것입니다. 암호 관리자는 암호를 공유하는 데 널리 사용되며 이는 끔찍한 보안 관행이지만 완료되었습니다. 공유 암호는 결국 도난당한 암호가 됩니다. 다행스럽게도 직장 동료나 친구에게 암호 키를 암기하거나 적어 두거나 전자 메일로 보내는 것은 말할 것도 없고 보기도 어렵습니다. 그러나 이제 일부 비밀번호 관리자를 사용하여 비밀번호를 저장하고 공유할 수도 있습니다. 이를 수행하는 안전한 방법이 있지만 실제로 얼마나 잘 작동하는지 의심스럽습니다. 어떻게 하든 비밀 공유는 본질적으로 안전하지 않습니다. (공유된 비밀은 더 이상 비밀이 아닙니다.) 민감한 데이터나 정보를 공유하는 것은 사람들 간의 신뢰에 크게 의존하며 이는 항상 약한 유대입니다. 위의 1번과 2번 항목을 참조하십시오.

보안적 사고와 "생각하게 만들지 마십시오"

암호가 없는 미래에 어떤 도전이 닥치든 우리는 그곳으로 갈 것입니다. 암호는 깨졌습니다. 암호는 인증을 위한 끔찍한 방법이며 사라져야 합니다. 빠를수록 좋습니다. 암호 없는 인증을 수용하면 온라인 경험이 향상되고 디지털 생활을 보호하는 데 도움이 됩니다. 암호 보안 및 관리에 대해 크게 걱정할 필요가 없다는 것은 큰 안도감을 줍니다.

반면에 "Do n't Make Me Think"는 사용자 경험과 인터페이스 디자인에서는 훌륭한 목표이지만 보안에는 재앙이 될 수 있습니다. 디자인의 단순성은 사용자의 효율성을 가능하게 하고 사용자의 인지 부담을 낮춥니다. 패스키는 이러한 단순성을 매우 잘 전달합니다. 그러나 끊임없이 진화하는 위협의 세계에서 잠재적인 보안 위험에 대해 더 안주해서는 안 됩니다.

암호 키와 모든 주요 플랫폼에서의 채택으로 구동되는 웹의 미래는 우리가 온라인 서비스에 액세스할 때 보다 안전하고 사용자 친화적인 경험이 될 것입니다. 복잡한 암호를 기억(및 공유 또는 재활용)하는 데 어려움을 겪던 시절은 곧 과거의 일이 될 것이며 확실히 개선되었습니다.

기본 보안 표준도 높일 때입니다. 암호 키가 그렇게 할 것이며 이것이 사이버 범죄, 사기 및 신원 도용을 더욱 어렵고 드물게 만드는 데 도움이 될 것으로 기대합니다. 지금 사용을 시작하고 WordPress 사이트가 있는 경우 암호 키를 로그인 옵션으로 만드는 것을 고려하십시오. 보안에 대해서도 계속 생각하십시오. 암호가 없는 세상이라는 새로운 맥락에서 보안의 의미와 위협이 어떻게 변할 수 있는지 물어보십시오.

노트:

1. "내 디지털 생활에 접근할 수 없게 되었습니다." 및 "Gmail 2FA로 인해 노숙자들이 1년에 세 번 영구적으로 액세스 권한을 잃게 됩니다."와 같은 보고서는 이중 인증의 단점을 보여줍니다.
2. Apple Watch는 Touch ID와 같은 생체 인증 없이는 최고의 보안 키가 아닐 수 있습니다. Apple의 최근 특허 중 일부를 기반으로 손바닥 기반 버전의 Touch ID가 작업 중일 수 있습니다.
3. 전자 프론티어 재단(Electronic Frontier Foundation)은 법 집행 기관이 하나의 장치에 대한 패스키 액세스를 사용하여 더 많은 장치와 온라인 계정을 검색할 경우 민권 침해 가능성에 대해 우려를 표명했습니다.
4. COVID와 같은 질병의 초기 발병을 감지할 수 있기 때문에 시계 및 유사 장치에서 수집한 생물학적 데이터에서 고유한 생체 서명을 식별하는 것도 가능할 수 있습니다.

댄 크나우스

Dan Knauss는 StellarWP의 기술 콘텐츠 제너럴리스트입니다. 그는 1990년대 후반부터 오픈 소스에서 일하고 2004년부터 WordPress에서 일하는 작가, 교사 및 프리랜서였습니다.