GN⁺: "이메일이 인증이다" 패턴
(rubenerd.com)- 대부분의 사람들은 광고 차단기, 제한된 자바스크립트, 비밀번호 관리자 등을 사용하지 않음
- 많은 사람들이 다음과 같은 로그인 과정을 거침
- 로그인 페이지로 이동
- "비밀번호를 잊어버렸습니다" 클릭
- 이메일로 이동
- 복구 링크 클릭
- 기억하지 못할 임시 비밀번호 입력
- 반복
- 사람들이 왜 이런 과정을 거치는지 물어보면, 대부분은 이유를 모름
- 비밀번호 관리자, 신원 도용 위험, 이중 인증 및 다중 인증의 필요성에 대해 이미 많이 논의됨
- 사람들이 왜 "비밀번호를 잊어버렸습니다"를 인증 수단으로 사용하는지에 대한 의문
- 이는 의식적인 결정이 아니라 시간이 지나면서 형성된 습관임
- 이러한 습관을 이용하여 사람들이 더 나은 방식으로 시스템을 사용하도록 설계할 수 있는지에 대한 고민
GN⁺의 정리
- 이 글은 사람들이 비밀번호를 잊어버리는 과정을 통해 인증을 받는 습관에 대해 다룸
- 비밀번호 관리자와 이중 인증의 필요성에 대해 이미 많이 논의되었지만, 사람들이 왜 특정 과정을 따르는지에 대한 의문을 제기함
- 이러한 습관을 이용하여 더 나은 보안 시스템을 설계할 수 있는 가능성에 대해 탐구함
- 비슷한 기능을 가진 제품으로는 LastPass, 1Password 등이 있음
Hacker News 의견
-
이메일 계정은 온라인 인증에서 가장 보편적인 방법임
- 전화번호도 경쟁력 있지만, 사람들은 휴대폰을 잃어버릴 수 있음
- 전화번호 보안은 이메일 계정보다 낮음
- 사용자 인증 시스템 설계 시 계정 복구를 고려해야 함
-
비즈니스가 간편함을 제공하는 경우, 이메일 인증 시스템을 사용함
- 사용자가 이메일 입력
- 이메일로 인증 코드 전송
- 사용자가 코드를 입력하면 "무기한" 로그인 상태 유지
- 새로운 이메일이면 자동으로 계정 생성
- 일부 사용자는 여러 이메일을 사용해 새로운 계정을 실수로 생성할 수 있음
- 이 방법은 등록 및 로그인 전환율을 크게 개선함
-
비밀번호 기반 인증 시스템은 비현실적임
- 비밀번호는 두 가지 방식으로 사용됨
- 비밀번호 관리자를 통해 단일 비밀번호로 보호
- 여러 서비스에서 동일한 비밀번호 반복 사용
- 대부분의 서비스는 이메일 복구를 제공함
- 개인 이메일 계정은 거의 교체되지 않으며, 공유되지 않고 재사용되지 않음
- 비밀번호는 두 가지 방식으로 사용됨
-
이메일로 일회용 URL 링크를 보내 로그인하는 방법 제안
- 링크는 10분 내에 만료되고 일회용임
- 링크를 가진 사람은 로그인 가능하지만, 이메일에서만 접근 가능함
- 보안은 이메일 계정에 의존함
-
서비스 제공자가 사용자에게 불편을 주는 이유는 단순함
- 이메일 제공자는 세션이 거의 끝나지 않음
- 서비스 인증 토큰을 Gmail 세션 시간과 동일하게 설정하거나, OTP로 로그인 가능하게 함
-
대부분의 사람들은 컴퓨터 작업을 시도해보고 해결함
- 소프트웨어는 시스템을 잘 이해하는 사람들이 만들지만, 사용자는 그렇지 않음
- 사용자는 작동하는 패턴을 찾으면 그것을 고수함
- 많은 학교가 태블릿을 사용해 컴퓨터 사용 감각을 익히지 못함
-
비밀번호를 잊어버리는 단계를 생략하고 이메일을 인증으로 사용하는 사이트 있음
- 이메일 주소 입력
- 코드가 포함된 이메일 수신
- 코드 입력 후 로그인
- 여러 이메일을 사용하는 사람들에게는 불편할 수 있음
-
Best Buy에서 비슷한 방법을 사용함
- 비밀번호 관리자를 사용해 비밀번호를 저장하지만, ATO 보호로 인해 비밀번호가 유효하지 않다고 나옴
- 문제를 해결하려다 지쳐서 가장 쉬운 방법을 따르게 됨
-
로그인 흐름이 비슷함
- A) 웹사이트 방문, 비밀번호 관리자 통해 비밀번호 복사 및 붙여넣기, 이메일로 TOTP 요청 수신
- B) 웹사이트 방문, 비밀번호 잊어버림 클릭, 로그인 링크 수신, 임의의 문자열 입력
- B 방법이 더 빠를 때도 있음
-
사용자가 비밀번호를 저장하지 않는 이유는 비밀번호 관리자가 없기 때문임
- 비밀번호 관리자를 알고 있어도 공유 클라우드 PC에서 작업할 때 계정을 전환하는 것이 번거로움
- 비밀번호 저장 기능이 없는 사이트는 비밀번호를 저장하지 않음