암호가 없는 미래: 패스키가 삶을 단순화하고 우리 모두를 보호하는 방법

게시 됨: 2022-11-16

암호 없는 인증이 인계받는 것은 비밀이 아닙니다. Apple, Google 및 Microsoft와 같은 글로벌 기술 리더는 암호 키 사용으로 전환하고 있습니다. 공개 키 암호화를 활용하는 패스키는 디지털 보안에서 거의 패러다임을 바꾸는 경험을 제공합니다.

iThemes는 WordPress를 만드는 데 앞장서 왔으며 궁극적으로 모든 사람이 전체 인터넷을 더 안전하고 사용할 수 있도록 했습니다. 미래에는 암호가 없으며 그 이유를 알려드리겠습니다.

암호 없는 인증에 대한 이 가이드에서는 암호 기반 인증의 보안 취약성을 극복하는 방법과 암호를 사용해야 하는 이유에 대해 설명합니다.

암호 없는 인증으로의 여정

암호 없는 인증으로의 여정은 이미 시작되었습니다. 모든 주요 브라우저와 기술 대기업은 암호 키에 대한 완전한 지원을 도입했습니다. 2022년은 여러 장치와 디지털 플랫폼에서 보다 일관되고 안전하며 쉬운 암호 없는 로그인을 구현하는 데 있어 새로운 이정표가 되었습니다.

매년 5월 첫 번째 목요일로 지정되는 세계 비밀번호의 날은 모든 사람이 웹을 보다 안전하고 사용할 수 있도록 하기 위한 공동 노력의 새로운 발전을 기념합니다. 2022년 5월 5일, Apple, Google 및 Microsoft는 FIDO Alliance 및 World Wide Web Consortium에서 만든 암호 없는 로그인 표준에 대한 지원을 확대할 계획을 발표했습니다.

수년 동안 FIDO(Fast Identity Online) 얼라이언스와 World Wide Web 컨소시엄은 인터넷을 통해 암호 없는 인증을 구현할 수 있는 일련의 표준을 위해 노력해 왔습니다. FIDO 2는 최신 사양 세트로, 현재 대부분의 브라우저와 플랫폼에서 지원됩니다.

가이드에서 더 자세히 암호 없는 인증이 작동하는 방식을 검토할 것입니다. 하지만 그 전에 암호 인증이 이제 점차 과거의 일이 되어가는 이유를 살펴보겠습니다.

암호 기반 인증이 뒤처지는 이유는 무엇입니까?

암호 기반 인증은 거의 인터넷이 존재하는 한 우리와 함께 했으며 사용자는 자격 증명 쌍(사용자 이름과 암호)을 사용하여 웹 사이트나 웹 응용 프로그램에 로그인할 수 있습니다. 이 접근 방식은 그 신뢰성과 다양성이 입증되었으며 수년 동안 업계 표준이었습니다.

그러나 쉬운 구현 및 사용에도 불구하고 암호 기반 인증과 관련된 수많은 단점과 보안 위험이 사용자와 서버 측 모두에서 빠르게 발견되었습니다. 간단히 말해서 사용자와 서버 모두 공유 비밀을 안전하게 유지할 수 있는 능력이 부족합니다.

암호 기반 인증과 관련된 주요 보안 위험은 암호를 공유 비밀로 사용하는 데 집중됩니다. 이는 인증 프로세스의 여러 단계에서 악의적인 행위자에게 제공될 수 있습니다. 성공적인 무차별 암호 대입 공격으로 인해 암호가 유출되거나 단순히 추측될 수 있습니다.

비밀번호가 노출되는 3가지 일반적인 방법

연구에 따르면 모든 해킹 관련 위반의 80% 이상이 암호 손상으로 인한 것으로 나타났습니다. 이는 어느 시점에서 해커가 웹사이트 또는 웹 애플리케이션의 정당한 소유자를 사칭하여 시스템에 대한 무단 액세스 권한을 얻었음을 의미합니다. 하지만 정확히 어떻게 웹사이트가 해킹당할까요?

암호가 노출되는 가장 일반적인 방법에는 피싱, 무차별 암호 대입 공격 및 데이터 유출이 포함됩니다. 사용자는 자신의 인증 정보를 제공하도록 속일 수 있습니다. 또는 서비스 제공자 측에서 데이터 유출이 발생한 경우 비밀번호를 추측하거나 유출할 수 있습니다.

무차별 대입 공격 및 데이터 유출

무차별 대입 공격이 증가하고 있으며 전체 네트워크 공격의 약 80%를 차지합니다. 암호 추측이 자동화되었기 때문에 공격자가 계정을 해킹하는 데 많은 시간이 걸리지 않습니다.

해커의 기계(또는 봇넷으로 알려진 컴퓨터 네트워크)는 초당 수천 개의 조합을 생성할 수 있습니다. 이를 통해 공격자는 즉시 웹 사이트 또는 웹 응용 프로그램에 대한 무단 액세스 권한을 얻을 수 있습니다.

해커가 웹사이트를 공격하는 이유가 궁금하다면 설명은 간단합니다. 해커는 초당 수천 건의 웹 요청을 할 수 있습니다. 그들은 침입하고 싶은 웹사이트를 거의 선택하지 않습니다. 그들은 가능한 한 많은 웹사이트를 해킹하려고 할 것입니다.

웹 사이트 또는 전체 서버에 대한 관리자 액세스 권한을 얻으면 해커가 시스템을 악용할 수 있는 거의 무제한의 기회가 열립니다. 그 중 하나는 애플리케이션의 데이터베이스에서 사용자 이름과 암호를 포함한 사용자 정보를 유출하는 것입니다.

강력한 암호를 사용해도 모든 보안 위험이 해결되지 않는 이유

강력한 암호를 사용하는 것이 절대적으로 필요하며 무차별 암호 대입 공격에 대한 강력한 방어선을 제공합니다. 강력한 암호를 사용하면 모든 보안 위험이 해결되는 것으로 알려져 있습니다. 그러나 자격 증명이 손상될 가능성을 어느 정도 줄일 수 있습니다.

약 30%의 사용자만이 2단계 인증을 구성합니다. 다단계 인증을 사용하지 않으면 해커가 중요한 정보에 액세스하는 데 한 걸음만 더 다가갈 수 있습니다.

일회용 비밀번호, SMS 확인 또는 기타 유형의 2FA를 설정하는 것은 대부분의 비밀번호 인증 보안 취약성을 극복할 수 있는 훌륭한 옵션입니다. 그러나 암호 키는 사이버 보안 세계에서 실질적인 차이를 만들 수 있습니다.

패스키

패스키란 무엇입니까?

암호 키는 암호 기반 인증을 완전히 대체할 수 있는 비대칭 암호화로 구동되는 디지털 자격 증명입니다. 암호 없는 인증의 한 형태인 암호 키는 여러 사용자 장치에서 서비스 및 응용 프로그램에 로그인할 수 있는 더 빠르고 안전한 방법을 제공합니다.

암호 없는 인증을 사용하면 로그인하기 위해 사용자 이름과 암호를 입력하지 않아도 됩니다. 대신 장치에서 암호 키(특정 자격 증명 ID가 식별하는 암호화 키 쌍)를 생성합니다.

패스키가 보안 인증을 보장하는 방법

생성하는 모든 패스키는 고유하며 개별 웹사이트 또는 웹 애플리케이션으로 범위가 지정됩니다. 사용자가 기억해야 하는 공유 비밀이나 암호가 없기 때문에 패스키는 피싱 및 무차별 암호 대입 공격으로부터 완전한 보호를 제공합니다.

새 패스키가 생성되면 서버는 공개 키와 자격 증명 ID를 저장합니다. 개인 키는 사용자의 장치 또는 휴대할 수 있는 YubiKey와 같은 하드웨어 보안 키에 안전하게 저장됩니다.

암호 키를 지원하려면 사용자 장치에 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 칩이 있어야 키 생성 및 플랫폼 인증과 같은 암호화 작업을 수행할 수 있습니다. 플랫폼 인증자는 일반적으로 생체 정보 및 PIN 코드를 포함하여 여러 유형의 신원 확인을 지원합니다.

암호 키는 클라우드 서비스를 통해 사용자 장치 간에 자동으로 동기화될 수도 있습니다. 따라서 다른 장치에서 새 키 쌍을 생성할 필요가 없습니다. 암호 키 동기화는 종단 간 암호화되며 클라우드 서비스는 암호 키의 암호화된 복사본을 안전하게 저장합니다.

공개 키가 유출되더라도 해당 개인 키가 없으면 해커에게는 쓸모가 없습니다. 이렇게 하면 데이터 위반으로 인한 무단 액세스 가능성이 제거됩니다. 악의적인 행위자가 귀하를 사칭할 수 있는 실질적인 방법은 없습니다.

암호 키는 어떻게 작동합니까?

FIDO Alliance와 World Wide Web Consortium에서 만든 비대칭 암호화와 여러 표준 및 프로토콜의 개발 덕분에 패스키 사용이 가능해졌습니다. 공개 키 암호화, WebAuthn 및 Client to Authenticator Protocol에 대해 자세히 알아보면서 암호 키가 작동하는 방식을 자세히 살펴보겠습니다.

공개 키 암호화

공개 키 또는 비대칭 암호화에는 서로 다른 당사자가 교환한 데이터를 암호화하고 해독하는 데 사용되는 한 쌍의 키(개인 및 공개)가 포함됩니다. 개인 키는 공개 키가 온라인에 게시되는 동안(또는 암호 키가 생성될 때 서버에 제공되는 동안) 비밀로 유지되어야 합니다.

암호 없는 인증 외에도 비대칭 암호화는 네트워크를 통해 이동하는 트래픽을 보호하기 위해 종단 간 암호화를 보장하는 데 도움이 됩니다. SSL/TLS 인증서는 원본 서버에 개인 키가 설치되어 있고 공개 키는 연결을 설정하기 전에 웹 사이트의 신원을 확인하는 데 사용됩니다.

웹 인증 API(WebAuthn) 및 클라이언트-인증자 프로토콜

Client to Authenticator Protocol과 함께 Web Authentication API는 FIDO2 프레임워크의 일부이며 서버, 브라우저 및 인증자 간에 암호 없는 인증을 사용할 수 있도록 하는 기술 집합입니다.

Web Authentication API의 줄임말인 WebAuthn은 World Web Consortium과 FIDO에서 개발한 새로운 사양으로 서버에서 암호 없는 인증을 구현할 수 있습니다. 2019년부터 WebAuthn은 Chrome, Firefox, Safari 및 Edge를 포함한 모든 주요 브라우저에서 지원됩니다.

애플리케이션 프로그래밍 인터페이스인 WebAuthn을 사용하면 웹사이트와 웹 애플리케이션에서 비밀번호 대신 패스키를 사용하여 사용자를 등록하고 인증할 수 있습니다.

웹 인증은 자격 증명 관리 및 CTAP 2(Client to Authenticator Protocol 2)와 같은 다른 FIDO 표준과 함께 작동합니다. CTAP 2는 브라우저, 운영 체제 및 로밍 인증자 간의 통신을 지정하는 애플리케이션 계층 프로토콜입니다.

패스키 등록

인증을 위해 새 패스키를 등록하면 애플리케이션을 호스팅하는 서버에서 챌린지를 생성합니다. 그러면 장치가 새 키 쌍을 생성하고 챌린지에 서명한 다음 자격 증명 ID와 함께 공개 키를 서버로 보냅니다.

서버는 다음에 로그인할 때 인증하기 위해 공개 키와 자격 증명 식별자를 저장합니다. 중복성을 위해 각 계정에 대해 여러 암호 키를 만들 수 있습니다. 이것은 또한 기본 패스키를 분실한 경우 더 빠른 계정 복구에 도움이 됩니다.

개인 키는 기기에 저장되어 안전하게 보관됩니다. 개인 키에 액세스할 수 있는 유일한 방법은 생체 인식 센서를 사용하여 신원을 확인하는 것입니다. 여기에는 지문이나 얼굴 패턴 또는 PIN이 포함됩니다.

비밀번호 없는 인증 프로세스

계정에 대한 새 암호 키가 생성되면 웹 사이트나 응용 프로그램에 로그인해야 할 때마다 암호 없는 인증을 활용할 수 있습니다. 사용자 이름과 암호로 로그인하는 대신 암호 키를 사용하도록 선택할 수 있습니다.

서버는 자격 증명 ID(또는 계정에 대해 둘 이상의 패스키를 생성한 경우 여러 ID)와 챌린지를 보냅니다. 그런 다음 장치는 자격 증명 ID를 사용하여 올바른 키를 찾고 지원되는 인증 방법 중 하나를 사용하여 신원 확인을 요청합니다.

키가 잠금 해제되면 장치가 챌린지에 서명하고 인증을 위해 서버로 보냅니다. 서버는 쌍의 공개 키를 사용하여 서명된 챌린지를 확인하고 계정에 대한 액세스 권한을 부여합니다.

iThemes는 WordPress에 암호 없는 인증을 제공합니다.

WordPress는 항상 전 세계 해커의 최우선 목표였습니다.

워드프레스 웹사이트에 대한 공격 수의 증가와 글로벌 맬웨어 볼륨은 눈에 띄지 않습니다. 악의적인 공격 대상이 더 많아짐에 따라 웹사이트 보안이 그 어느 때보다 중요해졌습니다.

수년 동안 iThemes는 계속 증가하는 보안 위협으로부터 WordPress 웹사이트를 보호할 수 있는 새로운 방법을 찾고 있었습니다. 주간 WordPress 취약성 보고서는 WordPress 웹사이트의 중요한 영역 중 하나인 관리 대시보드를 보호하는 방법을 이해하는 데 도움이 되었습니다.

암호 키는 의심할 여지 없이 사이버 보안 세계에서 가장 놀라운 혁신 중 하나입니다. 플랫폼과 운영 체제 전반에서 암호 키의 적응이 증가함에 따라 인터넷은 영원히 바뀔 수 있습니다. WordPress 암호 키는 WordPress 보안에 실질적인 차이를 만들 수 있습니다. 그리고 iThemes는 WordPress 커뮤니티에서 암호 없는 인증을 사용할 수 있도록 하기 위해 1분도 더 기다리지 않았습니다.

2022년 9월에 iThemes Security Pro에는 암호 없는 인증을 위한 WordPress 암호에 대한 지원이 포함되었습니다. 사이버 보안의 최신 개발을 WordPress 웹사이트에 도입한 iThemes Security Pro는 보다 안전하고 일관된 인증 경험을 향한 큰 발걸음을 내디뎠습니다.

iThemes Security Pro를 사용하면 모든 유형의 장치에서 WordPress 인증용 패스키를 사용할 수 있습니다. Apple Touch ID, Face ID 및 Windows Hello와 같은 플랫폼 인증자는 물론 모든 로밍 인증자를 사용할 수 있습니다.

WordPress에 암호 키 사용 시작

WordPress 관리자 인증에 암호 키 사용을 시작하려면 iThemes Security Pro를 최신 버전으로 업데이트해야 합니다. 암호 없는 인증을 활성화하는 옵션은 로그인 보안 탭에서 사용할 수 있습니다. 암호 키 지원이 활성화되면 관리 대시보드에서 WordPress 사용자에 대한 암호 키를 구성합니다.

여전히 자동 WordPress 코어, 테마 및 플러그인 업데이트를 활용하지 않는다면 시작할 때입니다. 수상 경력에 빛나는 WordPress용 백업 솔루션인 BackupBuddy는 모든 업데이트를 자신 있게 처리할 수 있는 강력한 백업 전략을 구축하는 데 도움이 됩니다.

둘 이상의 웹사이트를 운영 중이신가요? iThemes Sync를 사용하면 단일 대시보드에서 여러 WordPress 웹사이트를 관리하여 시간과 비용을 절약할 수 있습니다. 고급 모니터링, SEO 지표 추적, BackupBuddy 및 iThemes Security Pro와의 통합 – 모두 개인 WordPress 웹사이트 비서와 함께 사용할 수 있습니다.

거대 기술 기업이 패스키를 구현하는 방법

Apple, Google 및 Microsoft의 3대 글로벌 기술 대기업은 모든 주요 브라우저 및 운영 체제에서 암호 없는 인증을 향한 길을 주도했습니다. Android, iOS 및 Windows는 이제 강력한 내장 플랫폼 인증자를 사용하고 여러 장치에서 암호 키를 동기화할 수 있습니다.

사과

Apple은 IOS 16 및 macOS Ventura 출시와 함께 암호 키를 도입하여 모든 Apple 장치에서 사용자가 암호 없는 인증을 사용할 수 있도록 했습니다. Touch ID 및 Face ID와 같은 Apple의 내장 인증자는 Safari 및 기타 주요 브라우저에서 암호 키 사용을 승인합니다.

암호 키는 iCloud 키체인의 도움으로 모든 사용자의 Apple 기기에서 동기화됩니다. 사용자가 처음으로 iCloud 키체인을 활성화하면 Apple 기기는 신뢰 관계를 설정하고 기기의 키체인에 저장된 고유한 새 키 쌍을 생성합니다. 이러한 방식으로 iCloud 키체인은 강력한 암호화 키로 종단 간 암호화를 제공합니다.

Google

지난 10월에 Google은 Chrome 및 Android에 암호 키 지원을 제공한다고 발표했습니다. 이것은 암호 키를 생태계에 통합하는 데 중요한 이정표였습니다. Chrome 및 Android에서 암호 키는 Google Password Manager에 저장됩니다. 자격 증명은 동일한 Google 계정에 로그인한 사용자 기기 간에 동기화됩니다.

앞으로 Google은 Android용 암호 키에 대한 지원을 확대할 계획입니다. 새로운 API를 통해 Android 애플리케이션에 대한 암호 키를 사용할 수 있습니다.

마이크로소프트

Microsoft는 인터넷에서 암호 없는 인증을 구현하는 데 앞장서 왔습니다. 2022년 이전에는 Windows 365 및 Azure Virtual Desktop에 대한 암호 키 지원이 이미 포함되었습니다.

Microsoft는 현재 Windows 10 및 11에 내장된 강력한 플랫폼 인증자인 Windows Hello를 사용하여 암호 없는 로그인을 지원합니다. Microsoft의 암호 키 구현은 Apple과 유사합니다. 동일한 Microsoft 계정에 로그인된 장치 간에 암호 키를 동기화할 수 있습니다.

패스키를 사용하는 다른 회사

여러 회사에서 이미 FIDO Alliance에서 개발한 표준을 기반으로 암호 없는 인증을 채택했습니다. PayPal, Amazon, eBay, Facebook, Netflix 및 IBM은 플랫폼에 암호 없는 인증을 제공하는 혁신가 중 하나입니다.

마무리

비대칭 암호화와 FIDO Alliance 및 World Web Consortium에서 개발한 많은 강력한 프로토콜 및 사양을 기반으로 하는 암호 키는 가까운 미래에 암호 기반 인증을 완전히 대체할 수 있습니다. 가장 큰 기술 회사는 암호 키에 대한 지원을 점차 확대하고 있습니다. 우리는 곧 무차별 대입 공격과 무단 액세스를 잊을 수 있습니다.

보다 일관된 인증 경험을 제공하기 위해 수년간 올바른 솔루션을 찾은 후 암호 키는 우리의 삶을 단순화하고 보호합니다. 암호가 무엇인지 이미 잊어버렸습니까? 아직은 아니지만 암호 키를 사용할 준비가 되어 있어야 합니다.


인증의 미래는 패스키입니다! iThemes Security Pro에서만 사용할 수 있는 생체 인식으로 WordPress 사이트에 로그인

크리덴셜 스터핑, 피싱 공격, 비밀번호 재사용을 통한 무차별 암호 대입 공격 문제로 인해 우리의 디지털 생활은 덜 안전해졌습니다. 우리 모두는 보호 수단으로 2단계 인증을 장려하려고 노력했지만 실제로 2FA를 사용하는 사용자는 30% 미만입니다. 암호 기반 로그인이 문제입니다.

인증의 미래는 패스키이며, iThemes Security Pro는 이 획기적인 기술을 WordPress 사이트에 처음으로 도입했습니다. 공개/비공개 암호화를 기반으로 하는 획기적인 WebAuthn 기술을 사용하는 패스키는 암호를 쓸모 없게 만듭니다. 이제 웹 사이트 관리자와 최종 사용자는 추가적인 2단계 앱, 암호 관리자 또는 복잡한 암호 요구 사항 없이 보안 로그인을 할 수 있습니다.

암호 키에 대해 자세히 알아보기