# Passkey 기술은 우아하지만, 사용 가능한 보안은 아님 > Clean Markdown view of GeekNews topic #18513. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=18513](https://news.hada.io/topic?id=18513) - GeekNews Markdown: [https://news.hada.io/topic/18513.md](https://news.hada.io/topic/18513.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-12-31T10:00:13+09:00 - Updated: 2024-12-31T10:00:13+09:00 - Original source: [arstechnica.com](https://arstechnica.com/security/2024/12/passkey-technology-is-elegant-but-its-most-definitely-not-usable-security/) - Points: 6 - Comments: 2 ## Summary 패스키 기술은 비밀번호의 대안으로 주목받고 있으며, 피싱 및 데이터베이스 해킹에 강력한 방어책으로 여겨지지만, 사용자 경험이 복잡하고 플랫폼마다 구현 방식이 일관되지 않아 사용성이 저하됩니다. 1Password와 같은 보안 관리자를 통해 패스키를 동기화할 수 있지만, 이는 비밀번호 없는 인증의 취지를 약화시키며, 대부분의 사용자는 여전히 패스워드 관리자를 사용하지 않습니다. 패스키는 비밀번호의 보안 문제를 해결할 가능성이 있지만, 현재로서는 기술적 제약과 사용성 문제로 인해 완벽한 대안이 아니며, 기존 인증 방식을 병행하는 것이 가장 합리적입니다. ## Topic Body - 프라임타임을 위한 준비가 덜 된 기술 : 패스키 기술은 우아하지만, 사용하기에는 보안성이 부족함 - 비밀번호의 대안으로 주목받고 있으며, 피싱 및 데이터베이스 해킹에 강력한 방어책으로 여겨짐 - FIDO2와 WebAuthn 사양은 우아하지만, 사용자 경험은 여전히 복잡함 - 수백 개의 사이트와 주요 운영 체제 및 브라우저에서 패스키를 지원하지만, 플랫폼마다 구현 방식과 일관성 없는 워크플로로 사용성을 저하 - 예를 들어, 동일한 사이트에서도 iOS와 Android에서의 로그인 경험이 다르고, 일부 브라우저에서는 아예 지원되지 않음 - 각 플랫폼은 자사의 패스키 동기화 옵션을 강요하며, 사용자가 다른 옵션을 선택하기 어렵게 만듦 - 패스키 구현은 사용자가 쉽게 사용할 수 있도록 해야 하지만, 현재는 그렇지 않음 - 1Password와 같은 보안 관리자를 통해 패스키를 동기화하면 문제를 해결할 수 있지만, 이는 패스키의 근본적인 장점인 비밀번호 없는 인증의 취지를 약화시킴. - 또한 대부분의 사용자는 여전히 패스워드 관리자를 사용하지 않음 - 패스키를 지원하는 사이트 중 비밀번호를 완전히 제거한 곳은 없음 - SMS 기반 MFA 인증은 여전히 취약하며, 패스키의 보안성을 저해함 - 기업 환경에서는 패스키가 비밀번호와 인증기의 대안이 될 수 있음 ### 제안 - **보안 관리자 사용**: 1Password와 같은 도구를 통해 패스키를 동기화하고 MFA를 활성화하여 보안을 강화 - **MFA 우선 사용**: 가능하다면 보안 키 또는 인증 앱을 활용해 다중 인증을 활성화 - **패스키 도입 검토**: 패스키는 궁극적으로 유망하지만, 현재는 비밀번호와 보안 관리자가 여전히 필수적 ### 결론 - 패스키는 비밀번호의 보안 문제를 해결할 가능성이 높지만, 현 시점에서는 기술적 제약과 사용성 문제로 인해 완벽한 대안은 아님 - 앞으로 개선될 가능성이 높지만, 현재로서는 기존 인증 방식을 병행하는 것이 가장 합리적인 선택. ## Comments ### Comment 32954 - Author: ndrgrd - Created: 2025-01-03T18:29:48+09:00 - Points: 1 패스키 저도 Bitwarden에 넣어놓고 쓰고 있는데요. 이름을 하나하나 등록할 수 있게 해 둔 것 보면 패스키를 하나만 만들어서 동기화하며 사용하라고 만든 기술은 아닌 것 같긴 합니다. 기기마다 하나씩 만드라는 취지인 것 같은데 솔직히 귀찮죠. ### Comment 32812 - Author: neo - Created: 2024-12-31T10:00:13+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=42548719) - 어떤 평행 우주에서는 모든 컴퓨팅 장치 제조업체가 사용자가 보안 자격 증명을 플러그인할 수 있는 저장소를 제공해야 한다는 법이 존재함. 현재의 패스키 접근 방식은 사용자가 하나의 생태계에 완전히 몰입하는 상상 속의 모델을 기반으로 설계됨. - 패스키는 Yubico가 원하는 방식으로는 하드웨어 키를 사용하여 인증하는 것이었으나, Apple, Google, Microsoft는 OS를 통해 마법처럼 인증하는 것을 선호함. - OS 벤더들은 사용자가 비OS 소프트웨어나 하드웨어를 사용하지 않기를 원하며, 클라우드 기반 패스키를 사용하도록 유도함. - 이상적인 미래 상태는 브라우저 설정에서 새로 등록된 자격 증명의 제공자를 선택할 수 있는 것임. - TOTP도 유사한 문제를 겪고 있으며, 많은 패스키 저장소는 내보내기를 허용하지 않음. Bitwarden은 예외적으로 패스키를 내보낼 수 있음. - 패스워드에서 패스키로의 전환은 현대 인터넷 보안 모델에 큰 변화이며, 사람들이 신중하고 의견이 분분한 것은 당연함. - 패스키를 좋아하는 소수의 사용자로서, iCloud Keychain과 1Password에 패스키를 생성함. 더 나은 내보내기/가져오기 기능이 필요하다고 생각함. - 패스키는 보이지 않는 블랙박스이며, 일반 사용자가 백업할 수 없음. 구현이 미완성 상태이며 공격 표면이 더 큼. - Fido는 웹사이트/프레임워크/라이브러리 지원이 부족하며, 패스키는 실패한 제품이라고 생각함. 사용성 문제로 인해 패스키를 신뢰할 수 없음. - 기술 사용자로서 패스키 인증 세션의 길이가 짧아 Google 사용을 중단함. 자주 재인증해야 하는 불편함이 있음.