# 마이크로소프트의 새로운 "Passwordless by default"는 훌륭하지만 비용이 든다 > Clean Markdown view of GeekNews topic #20748. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=20748](https://news.hada.io/topic?id=20748) - GeekNews Markdown: [https://news.hada.io/topic/20748.md](https://news.hada.io/topic/20748.md) - Type: news - Author: [baeba](https://news.hada.io/@baeba) - Published: 2025-05-07T10:16:40+09:00 - Updated: 2025-05-07T10:16:40+09:00 - Original source: [arstechnica.com](https://arstechnica.com/security/2025/05/microsoft-pushes-unphishable-logins-forward-with-new-sign-in-options/) - Points: 1 - Comments: 0 ## Topic Body 1. Microsoft는 **신규 계정에 기본적으로 비밀번호 없는 로그인(passkey)을 적용**하는 방식을 도입했지만, 실제로는 Microsoft Authenticator 앱 설치가 필수라는 제약이 있다. 2. Passkey는 피싱·유출에 강한 차세대 인증 방식으로 **WebAuthn(FIDO2) 표준에 기반**하며, 공개/비공개 키 쌍으로 작동한다. 3. 이 제도는 보안을 강화하지만, 특정 앱에 종속되는 구조는 **사용자 경험과 보안 혜택을 일부 저해**할 수 있다. --- ##### 1. Microsoft의 “비밀번호 없는 기본 로그인” 정책 * **2025년부터 신규 Microsoft 계정에 기본 로그인 방식으로 passkey를 채택**. * 기존 사용자도 로그인 시 passkey 등록을 유도받게 됨. * 목적: * 비밀번호 생성·관리에 따른 **보안 위협과 사용자 부담을 줄이기 위함**. * 패스워드 스프레이 공격 및 유출 문제의 해결 시도. --- ##### 2. 기술 개요와 구현 방식 * **Passkey란?** * WebAuthn(FIDO2) 기반으로 생성된 **공개/비공개 키 쌍**을 통해 인증. * 비공개 키는 사용자의 기기(폰, PC, Yubikey 등)에 저장되고 외부로 유출되지 않음. * 피싱·패스워드 재사용·유출에 원천적으로 강함. * **작동 원리**: * 사이트가 난수 기반 “챌린지” 전송 → 기기 내 인증자(Authenticator)가 서명 → 서버는 공개 키로 검증. * 키는 해당 URL과 바인딩되므로 **피싱 사이트에 재사용 불가**. --- ##### 3. 제약 사항과 한계 * **문제점**: passkey를 설정하더라도, Microsoft Authenticator 앱이 없으면 **완전한 비밀번호 제거 불가능**. * Authy, Google Authenticator 등은 **호환되지 않음**. * 사용자에게 **앱 강제 설치를 요구**하는 셈이며, 이는 “기본적으로 passwordless”라는 주장과 충돌. * **보안적 시사점**: * 여전히 비밀번호가 남아 있는 경우, **passkey의 일부 보안 이점이 상실됨**. * WebAuthn은 현재도 발전 중이며, **사용성 면에서 아직 미흡한 점 존재**. ## Comments _No public comments on this page._