4P by neo 1달전 | favorite | 댓글 1개
  • 대부분의 사람들은 광고 차단기, 제한된 자바스크립트, 비밀번호 관리자 등을 사용하지 않음
  • 많은 사람들이 다음과 같은 로그인 과정을 거침
    • 로그인 페이지로 이동
    • "비밀번호를 잊어버렸습니다" 클릭
    • 이메일로 이동
    • 복구 링크 클릭
    • 기억하지 못할 임시 비밀번호 입력
    • 반복
  • 사람들이 왜 이런 과정을 거치는지 물어보면, 대부분은 이유를 모름
  • 비밀번호 관리자, 신원 도용 위험, 이중 인증 및 다중 인증의 필요성에 대해 이미 많이 논의됨
  • 사람들이 왜 "비밀번호를 잊어버렸습니다"를 인증 수단으로 사용하는지에 대한 의문
  • 이는 의식적인 결정이 아니라 시간이 지나면서 형성된 습관임
  • 이러한 습관을 이용하여 사람들이 더 나은 방식으로 시스템을 사용하도록 설계할 수 있는지에 대한 고민

GN⁺의 정리

  • 이 글은 사람들이 비밀번호를 잊어버리는 과정을 통해 인증을 받는 습관에 대해 다룸
  • 비밀번호 관리자와 이중 인증의 필요성에 대해 이미 많이 논의되었지만, 사람들이 왜 특정 과정을 따르는지에 대한 의문을 제기함
  • 이러한 습관을 이용하여 더 나은 보안 시스템을 설계할 수 있는 가능성에 대해 탐구함
  • 비슷한 기능을 가진 제품으로는 LastPass, 1Password 등이 있음
Hacker News 의견
  • 이메일 계정은 온라인 인증에서 가장 보편적인 방법임

    • 전화번호도 경쟁력 있지만, 사람들은 휴대폰을 잃어버릴 수 있음
    • 전화번호 보안은 이메일 계정보다 낮음
    • 사용자 인증 시스템 설계 시 계정 복구를 고려해야 함
  • 비즈니스가 간편함을 제공하는 경우, 이메일 인증 시스템을 사용함

    • 사용자가 이메일 입력
    • 이메일로 인증 코드 전송
    • 사용자가 코드를 입력하면 "무기한" 로그인 상태 유지
    • 새로운 이메일이면 자동으로 계정 생성
    • 일부 사용자는 여러 이메일을 사용해 새로운 계정을 실수로 생성할 수 있음
    • 이 방법은 등록 및 로그인 전환율을 크게 개선함
  • 비밀번호 기반 인증 시스템은 비현실적임

    • 비밀번호는 두 가지 방식으로 사용됨
      • 비밀번호 관리자를 통해 단일 비밀번호로 보호
      • 여러 서비스에서 동일한 비밀번호 반복 사용
    • 대부분의 서비스는 이메일 복구를 제공함
    • 개인 이메일 계정은 거의 교체되지 않으며, 공유되지 않고 재사용되지 않음
  • 이메일로 일회용 URL 링크를 보내 로그인하는 방법 제안

    • 링크는 10분 내에 만료되고 일회용임
    • 링크를 가진 사람은 로그인 가능하지만, 이메일에서만 접근 가능함
    • 보안은 이메일 계정에 의존함
  • 서비스 제공자가 사용자에게 불편을 주는 이유는 단순함

    • 이메일 제공자는 세션이 거의 끝나지 않음
    • 서비스 인증 토큰을 Gmail 세션 시간과 동일하게 설정하거나, OTP로 로그인 가능하게 함
  • 대부분의 사람들은 컴퓨터 작업을 시도해보고 해결함

    • 소프트웨어는 시스템을 잘 이해하는 사람들이 만들지만, 사용자는 그렇지 않음
    • 사용자는 작동하는 패턴을 찾으면 그것을 고수함
    • 많은 학교가 태블릿을 사용해 컴퓨터 사용 감각을 익히지 못함
  • 비밀번호를 잊어버리는 단계를 생략하고 이메일을 인증으로 사용하는 사이트 있음

    • 이메일 주소 입력
    • 코드가 포함된 이메일 수신
    • 코드 입력 후 로그인
    • 여러 이메일을 사용하는 사람들에게는 불편할 수 있음
  • Best Buy에서 비슷한 방법을 사용함

    • 비밀번호 관리자를 사용해 비밀번호를 저장하지만, ATO 보호로 인해 비밀번호가 유효하지 않다고 나옴
    • 문제를 해결하려다 지쳐서 가장 쉬운 방법을 따르게 됨
  • 로그인 흐름이 비슷함

    • A) 웹사이트 방문, 비밀번호 관리자 통해 비밀번호 복사 및 붙여넣기, 이메일로 TOTP 요청 수신
    • B) 웹사이트 방문, 비밀번호 잊어버림 클릭, 로그인 링크 수신, 임의의 문자열 입력
    • B 방법이 더 빠를 때도 있음
  • 사용자가 비밀번호를 저장하지 않는 이유는 비밀번호 관리자가 없기 때문임

    • 비밀번호 관리자를 알고 있어도 공유 클라우드 PC에서 작업할 때 계정을 전환하는 것이 번거로움
    • 비밀번호 저장 기능이 없는 사이트는 비밀번호를 저장하지 않음