작성자가 여전히 passkey에 대해 오해하고 있음. 많은 사람들이 passkey를 잃으면 복구 불가능하다고 생각하지만, 실제로는 비밀번호를 잃은 것과 같음. 대부분의 서비스에서는 이메일이나 SMS로 비밀번호 재설정이 가능함. 다만 Apple, Google, Facebook 같은 계정은 복구 절차가 복잡하므로 백업 코드를 인쇄해 안전하게 보관해야 함. 또한 password manager에 로그인하기 위한 마지막 비밀번호나 YubiKey 같은 외부 수단이 반드시 필요함
passkey 도입 전에도 Apple과 Google 계정에서 잠금 문제가 있었는지 궁금함. 현재 passkey는 사용자가 직접 백업하거나 내보낼 수 없고, 보안 엔지니어들이 키 복제 방지에만 집중한 결과 수십억 명이 잠금 위험에 노출됨. 이런 접근은 규제 리스크를 초래할 수 있음
passkey의 재설정 가능 여부는 서비스 제공자 구현에 달려 있음. 어떤 곳은 전화로만 복구가 가능하다는 불만도 있었음
Apple과 Google 계정은 다른 대부분의 비밀번호와 passkey를 저장하므로, 이 계정을 잃는 건 훨씬 더 심각한 문제임
passkey는 기기마다 독립적으로 존재하며, 모든 기기에 설정할 필요는 없음. 다른 기기에서는 단순히 비밀번호로 로그인하면 됨
passkey에 대해 두 가지를 개선했으면 함.
등록된 기기가 하나뿐인데도 UI가 불필요한 선택지를 보여줌
처음부터 SSH 키처럼 이식성과 유연성을 가졌다면 좋았을 것임. 지금은 벤더 종속이 너무 강함
Mac에서는 보안 키 버튼을 먼저 눌러 선택 단계를 건너뛸 수 있음
옵션을 숨기지 말고 회색으로 표시하고 “등록된 키 없음”이라고 안내해야 함. 그래야 사용자가 문제 원인을 파악할 수 있음
passkey 시스템은 피싱 불가능을 목표로 설계되어 사용자가 직접 자격 증명을 내보내지 못하게 함. 결국 벤더 락인 구조로 귀결됨. 예를 들어 Safari에서 passkey를 쓰려면 iCloud Keychain이 필수라서 로컬 전용 사용이 불가능함
기술에 익숙하지 않은 사용자를 위해서는 passkey가 좋은 선택일 수 있음. 다만 구조 코드를 종이에 적어 안전하게 보관하도록 도와야 함
KeePass 관련 이슈를 보면, 업계가 사용자의 개인 키 내보내기를 막으려는 압박이 커지고 있음. 이런 흐름은 우려스러움 관련 GitHub 이슈
나는 그 이슈의 댓글 작성자임. 암호화된 백업을 기본으로 요구하는 것은 내보내기를 막는 게 아니라 오히려 사용자가 키를 직접 통제하게 하는 것임
서비스 제공자가 passkey 저장 방식(하드웨어/소프트웨어)을 강제하거나, Touch ID 같은 MFA를 강제하는 한 나는 여전히 비밀번호 + TOTP 조합을 선호함
(1)은 이미 불가능함. 서비스가 passkey 저장 방식을 강제할 수 없음
(2)는 MFA가 아니라 생체 확인(liveness check) 에 가까움. 단순히 사람이 직접 로그인 중임을 증명하는 절차임
비상 상황에서는 수동 입력 방식의 백업이 필요함. 결국 비밀번호와 비슷한 형태로 돌아감
“벤더가 사용자를 잠글 수 있다”는 점 때문에 passkey를 절대 쓰지 않음. 특히 사용자가 사망했을 때 상속인이 접근할 수 없는 문제가 큼
일부 password manager는 오프라인 루트 신뢰 체계를 제공함. 예를 들어 1Password의 Emergency Kit은 인쇄된 복구 코드를 통해 상속자나 가족이 접근 가능함
비밀번호와 passkey 중 어느 쪽이든 벤더의 정책이 동일하다면 접근 제한은 같음
이런 계약을 법적 신탁(trust) 형태로 전환할 수 있다면 좋겠지만, 기업들이 싫어할 것임
passkey 등록을 강요하는 다크 패턴 UI가 너무 짜증남. 회사 계정으로만 쓰는데도 계속 등록하라고 뜸. 이미 SSO와 2FA를 쓰고 있는데 왜 또 passkey를 요구하는지 이해 불가임
passkey의 UX가 엉망임. 몇 개가 활성화되어 있는지도 모르겠고, 인증 앱이 passkey를 잊어버리는 경우도 있음. 그냥 혼란스러움
Password + TOTP 조합이 여전히 가장 실용적임. 기기 간 이동도 Bitwarden 로그인만 하면 됨. 반면 passkey는 기기 분실 시 복구 절차가 불분명함. iPhone에서 설정한 passkey가 Linux 데스크톱에서도 작동하는 이유조차 명확하지 않음. 단일 플랫폼 사용자에게만 유리함
기기를 여러 개 등록했거나 동기화했다면 복구 가능하지만, 그렇지 않으면 계정 복구 절차 외에는 방법이 없음. 결국 비밀번호보다 나을 게 없음
결국 passkey는 과도하게 복잡한 설계임. 락인을 수용하면 일부 문제는 줄지만 새로운 제약이 생김. TOTP가 현실적인 대안임
TOTP는 귀찮지만 사용자 통제권이 있음. 그래서 직접 만든 LazyOTP 크롬 확장으로 단일 인증으로 쓸 수 있게 함
passkey는 대부분의 일반 사용자에게는 훌륭한 솔루션임. 복잡한 비밀번호 관리나 재사용 문제를 없애고, 로그인 절차도 단순함.
기술적으로 이해하는 입장에서도 빠르고 매끄러운 로그인 경험이 훨씬 낫다고 느낌
하지만 기기를 잃거나 고장 내면 모든 계정 접근이 막힘. 종이 비밀번호는 그런 문제가 없음
passkey의 가장 큰 장점은 피싱 방어력임. 잘못된 도메인에 자격 증명을 제출할 수 없음
다만 PC와 휴대폰 간 비밀키 동기화 과정이 불분명함. 결국 Apple 생태계에 완전히 묶이는 구조 같음
실제로 여러 플랫폼 간 완벽히 매끄럽게 작동하는 구현은 아직 본 적 없음
나는 미리 비밀번호 관리자와 2FA 체계를 구축했는데, 이제 passkey로 전환하라는 흐름 때문에 그 모든 노력이 무의미해진 느낌임. 미리 대비한 사람일수록 불이익을 받는 기술 환경이 싫음
Hacker News 의견들
작성자가 여전히 passkey에 대해 오해하고 있음. 많은 사람들이 passkey를 잃으면 복구 불가능하다고 생각하지만, 실제로는 비밀번호를 잃은 것과 같음. 대부분의 서비스에서는 이메일이나 SMS로 비밀번호 재설정이 가능함. 다만 Apple, Google, Facebook 같은 계정은 복구 절차가 복잡하므로 백업 코드를 인쇄해 안전하게 보관해야 함. 또한 password manager에 로그인하기 위한 마지막 비밀번호나 YubiKey 같은 외부 수단이 반드시 필요함
passkey에 대해 두 가지를 개선했으면 함.
KeePass 관련 이슈를 보면, 업계가 사용자의 개인 키 내보내기를 막으려는 압박이 커지고 있음. 이런 흐름은 우려스러움
관련 GitHub 이슈
서비스 제공자가 passkey 저장 방식(하드웨어/소프트웨어)을 강제하거나, Touch ID 같은 MFA를 강제하는 한 나는 여전히 비밀번호 + TOTP 조합을 선호함
“벤더가 사용자를 잠글 수 있다”는 점 때문에 passkey를 절대 쓰지 않음. 특히 사용자가 사망했을 때 상속인이 접근할 수 없는 문제가 큼
passkey의 UX가 엉망임. 몇 개가 활성화되어 있는지도 모르겠고, 인증 앱이 passkey를 잊어버리는 경우도 있음. 그냥 혼란스러움
Password + TOTP 조합이 여전히 가장 실용적임. 기기 간 이동도 Bitwarden 로그인만 하면 됨. 반면 passkey는 기기 분실 시 복구 절차가 불분명함. iPhone에서 설정한 passkey가 Linux 데스크톱에서도 작동하는 이유조차 명확하지 않음. 단일 플랫폼 사용자에게만 유리함
결국 passkey는 과도하게 복잡한 설계임. 락인을 수용하면 일부 문제는 줄지만 새로운 제약이 생김. TOTP가 현실적인 대안임
passkey는 대부분의 일반 사용자에게는 훌륭한 솔루션임. 복잡한 비밀번호 관리나 재사용 문제를 없애고, 로그인 절차도 단순함.
기술적으로 이해하는 입장에서도 빠르고 매끄러운 로그인 경험이 훨씬 낫다고 느낌
나는 미리 비밀번호 관리자와 2FA 체계를 구축했는데, 이제 passkey로 전환하라는 흐름 때문에 그 모든 노력이 무의미해진 느낌임. 미리 대비한 사람일수록 불이익을 받는 기술 환경이 싫음