GN⁺: Passkey 기술은 우아하지만, 사용 가능한 보안은 아님
(arstechnica.com)- 프라임타임을 위한 준비가 덜 된 기술 : 패스키 기술은 우아하지만, 사용하기에는 보안성이 부족함
- 비밀번호의 대안으로 주목받고 있으며, 피싱 및 데이터베이스 해킹에 강력한 방어책으로 여겨짐
- FIDO2와 WebAuthn 사양은 우아하지만, 사용자 경험은 여전히 복잡함
- 수백 개의 사이트와 주요 운영 체제 및 브라우저에서 패스키를 지원하지만, 플랫폼마다 구현 방식과 일관성 없는 워크플로로 사용성을 저하
- 예를 들어, 동일한 사이트에서도 iOS와 Android에서의 로그인 경험이 다르고, 일부 브라우저에서는 아예 지원되지 않음
- 각 플랫폼은 자사의 패스키 동기화 옵션을 강요하며, 사용자가 다른 옵션을 선택하기 어렵게 만듦
- 패스키 구현은 사용자가 쉽게 사용할 수 있도록 해야 하지만, 현재는 그렇지 않음
- 1Password와 같은 보안 관리자를 통해 패스키를 동기화하면 문제를 해결할 수 있지만, 이는 패스키의 근본적인 장점인 비밀번호 없는 인증의 취지를 약화시킴.
- 또한 대부분의 사용자는 여전히 패스워드 관리자를 사용하지 않음
- 패스키를 지원하는 사이트 중 비밀번호를 완전히 제거한 곳은 없음
- SMS 기반 MFA 인증은 여전히 취약하며, 패스키의 보안성을 저해함
- 기업 환경에서는 패스키가 비밀번호와 인증기의 대안이 될 수 있음
제안
- 보안 관리자 사용: 1Password와 같은 도구를 통해 패스키를 동기화하고 MFA를 활성화하여 보안을 강화
- MFA 우선 사용: 가능하다면 보안 키 또는 인증 앱을 활용해 다중 인증을 활성화
- 패스키 도입 검토: 패스키는 궁극적으로 유망하지만, 현재는 비밀번호와 보안 관리자가 여전히 필수적
결론
- 패스키는 비밀번호의 보안 문제를 해결할 가능성이 높지만, 현 시점에서는 기술적 제약과 사용성 문제로 인해 완벽한 대안은 아님
- 앞으로 개선될 가능성이 높지만, 현재로서는 기존 인증 방식을 병행하는 것이 가장 합리적인 선택.
패스키 저도 Bitwarden에 넣어놓고 쓰고 있는데요.
이름을 하나하나 등록할 수 있게 해 둔 것 보면 패스키를 하나만 만들어서 동기화하며 사용하라고 만든 기술은 아닌 것 같긴 합니다. 기기마다 하나씩 만드라는 취지인 것 같은데 솔직히 귀찮죠.
Hacker News 의견
-
어떤 평행 우주에서는 모든 컴퓨팅 장치 제조업체가 사용자가 보안 자격 증명을 플러그인할 수 있는 저장소를 제공해야 한다는 법이 존재함. 현재의 패스키 접근 방식은 사용자가 하나의 생태계에 완전히 몰입하는 상상 속의 모델을 기반으로 설계됨.
-
패스키는 Yubico가 원하는 방식으로는 하드웨어 키를 사용하여 인증하는 것이었으나, Apple, Google, Microsoft는 OS를 통해 마법처럼 인증하는 것을 선호함.
-
OS 벤더들은 사용자가 비OS 소프트웨어나 하드웨어를 사용하지 않기를 원하며, 클라우드 기반 패스키를 사용하도록 유도함.
-
이상적인 미래 상태는 브라우저 설정에서 새로 등록된 자격 증명의 제공자를 선택할 수 있는 것임.
-
TOTP도 유사한 문제를 겪고 있으며, 많은 패스키 저장소는 내보내기를 허용하지 않음. Bitwarden은 예외적으로 패스키를 내보낼 수 있음.
-
패스워드에서 패스키로의 전환은 현대 인터넷 보안 모델에 큰 변화이며, 사람들이 신중하고 의견이 분분한 것은 당연함.
-
패스키를 좋아하는 소수의 사용자로서, iCloud Keychain과 1Password에 패스키를 생성함. 더 나은 내보내기/가져오기 기능이 필요하다고 생각함.
-
패스키는 보이지 않는 블랙박스이며, 일반 사용자가 백업할 수 없음. 구현이 미완성 상태이며 공격 표면이 더 큼.
-
Fido는 웹사이트/프레임워크/라이브러리 지원이 부족하며, 패스키는 실패한 제품이라고 생각함. 사용성 문제로 인해 패스키를 신뢰할 수 없음.
-
기술 사용자로서 패스키 인증 세션의 길이가 짧아 Google 사용을 중단함. 자주 재인증해야 하는 불편함이 있음.