# "이메일이 인증이다" 패턴

> Clean Markdown view of GeekNews topic #16668. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16668](https://news.hada.io/topic?id=16668)
- GeekNews Markdown: [https://news.hada.io/topic/16668.md](https://news.hada.io/topic/16668.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-09-09T08:33:26+09:00
- Updated: 2024-09-09T08:33:26+09:00
- Original source: [rubenerd.com](https://rubenerd.com/the-email-is-authentication-pattern/)
- Points: 4
- Comments: 1

## Topic Body

- 대부분의 사람들은 광고 차단기, 제한된 자바스크립트, 비밀번호 관리자 등을 사용하지 않음  
- 많은 사람들이 다음과 같은 로그인 과정을 거침  
  - 로그인 페이지로 이동  
  - "비밀번호를 잊어버렸습니다" 클릭  
  - 이메일로 이동  
  - 복구 링크 클릭  
  - 기억하지 못할 임시 비밀번호 입력  
  - 반복  
- 사람들이 왜 이런 과정을 거치는지 물어보면, 대부분은 이유를 모름  
- 비밀번호 관리자, 신원 도용 위험, 이중 인증 및 다중 인증의 필요성에 대해 이미 많이 논의됨  
- 사람들이 왜 "비밀번호를 잊어버렸습니다"를 인증 수단으로 사용하는지에 대한 의문  
- 이는 의식적인 결정이 아니라 시간이 지나면서 형성된 습관임  
- 이러한 습관을 이용하여 사람들이 더 나은 방식으로 시스템을 사용하도록 설계할 수 있는지에 대한 고민  
  
### GN⁺의 정리  
- 이 글은 사람들이 비밀번호를 잊어버리는 과정을 통해 인증을 받는 습관에 대해 다룸  
- 비밀번호 관리자와 이중 인증의 필요성에 대해 이미 많이 논의되었지만, 사람들이 왜 특정 과정을 따르는지에 대한 의문을 제기함  
- 이러한 습관을 이용하여 더 나은 보안 시스템을 설계할 수 있는 가능성에 대해 탐구함  
- 비슷한 기능을 가진 제품으로는 LastPass, 1Password 등이 있음

## Comments



### Comment 28711

- Author: neo
- Created: 2024-09-09T08:33:27+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41475218) 
- 이메일 계정은 온라인 인증에서 가장 보편적인 방법임
  - 전화번호도 경쟁력 있지만, 사람들은 휴대폰을 잃어버릴 수 있음
  - 전화번호 보안은 이메일 계정보다 낮음
  - 사용자 인증 시스템 설계 시 계정 복구를 고려해야 함

- 비즈니스가 간편함을 제공하는 경우, 이메일 인증 시스템을 사용함
  - 사용자가 이메일 입력
  - 이메일로 인증 코드 전송
  - 사용자가 코드를 입력하면 "무기한" 로그인 상태 유지
  - 새로운 이메일이면 자동으로 계정 생성
  - 일부 사용자는 여러 이메일을 사용해 새로운 계정을 실수로 생성할 수 있음
  - 이 방법은 등록 및 로그인 전환율을 크게 개선함

- 비밀번호 기반 인증 시스템은 비현실적임
  - 비밀번호는 두 가지 방식으로 사용됨
    - 비밀번호 관리자를 통해 단일 비밀번호로 보호
    - 여러 서비스에서 동일한 비밀번호 반복 사용
  - 대부분의 서비스는 이메일 복구를 제공함
  - 개인 이메일 계정은 거의 교체되지 않으며, 공유되지 않고 재사용되지 않음

- 이메일로 일회용 URL 링크를 보내 로그인하는 방법 제안
  - 링크는 10분 내에 만료되고 일회용임
  - 링크를 가진 사람은 로그인 가능하지만, 이메일에서만 접근 가능함
  - 보안은 이메일 계정에 의존함

- 서비스 제공자가 사용자에게 불편을 주는 이유는 단순함
  - 이메일 제공자는 세션이 거의 끝나지 않음
  - 서비스 인증 토큰을 Gmail 세션 시간과 동일하게 설정하거나, OTP로 로그인 가능하게 함

- 대부분의 사람들은 컴퓨터 작업을 시도해보고 해결함
  - 소프트웨어는 시스템을 잘 이해하는 사람들이 만들지만, 사용자는 그렇지 않음
  - 사용자는 작동하는 패턴을 찾으면 그것을 고수함
  - 많은 학교가 태블릿을 사용해 컴퓨터 사용 감각을 익히지 못함

- 비밀번호를 잊어버리는 단계를 생략하고 이메일을 인증으로 사용하는 사이트 있음
  - 이메일 주소 입력
  - 코드가 포함된 이메일 수신
  - 코드 입력 후 로그인
  - 여러 이메일을 사용하는 사람들에게는 불편할 수 있음

- Best Buy에서 비슷한 방법을 사용함
  - 비밀번호 관리자를 사용해 비밀번호를 저장하지만, ATO 보호로 인해 비밀번호가 유효하지 않다고 나옴
  - 문제를 해결하려다 지쳐서 가장 쉬운 방법을 따르게 됨

- 로그인 흐름이 비슷함
  - A) 웹사이트 방문, 비밀번호 관리자 통해 비밀번호 복사 및 붙여넣기, 이메일로 TOTP 요청 수신
  - B) 웹사이트 방문, 비밀번호 잊어버림 클릭, 로그인 링크 수신, 임의의 문자열 입력
  - B 방법이 더 빠를 때도 있음

- 사용자가 비밀번호를 저장하지 않는 이유는 비밀번호 관리자가 없기 때문임
  - 비밀번호 관리자를 알고 있어도 공유 클라우드 PC에서 작업할 때 계정을 전환하는 것이 번거로움
  - 비밀번호 저장 기능이 없는 사이트는 비밀번호를 저장하지 않음