GN⁺: 비밀번호는 비용이 들어갈 것입니다.
(fy.blackhats.net.au)- "패스키"에 대한 많은 관심과 인증 방식 변화 가능성
- 패스키에 대한 집착은 보안 키의 사용을 불필요하게 만들 수 있음
- 문제는 거주 키와 비거주 키의 차이에 있음
- 거주 키는 개인 키를 보안 키 자체에 저장하며, 비거주 키는 복호화를 위해 자격 증명 ID에 의존함
- 거주 키는 보안 키의 공간을 소비하며 빠르게 가득 찰 수 있음
- 비거주 키는 여전히 안전하며 TLS와 동일한 보안 기능에 의존함
- 거주 키 없이도 사용자 인증이 가능함
- 문제는 패스키에 대한 과대 홍보와 그 정의에 대한 혼란에서 발생함
- 패스키는 처음에 Apple에 의해 웹인증기로서 터치 ID/얼굴 인식을 사용하는 방법으로 소개되었음
- 패스키의 정의가 변화하여 이제는 거주 키를 의미함
- 이 정의는 널리 퍼져 보안 키 사용자에게 문제를 일으키고 있음
- 보안 키는 저장 공간이 제한되어 자격 증명 관리가 부족하여 거주 키 사용이 어려움
- 모든 등록에 거주 키가 필요한 요구는 사용자 경험을 저하시킴
- 사용자가 원하는 인증기를 선택할 수 있는 목표에 반하는 것임
- 패스키 세계에서는 몇 가지 인증기 유형만 제대로 작동함
- 문제 해결을 위한 제안으로 보안 키를 패스키 요구에서 제외하고, 인증된 장치에 대한 저장 요구 사항을 의무화하는 것이 있음
- 전반적으로, 패스키로서의 거주 키에 대한 과대 홍보는 사용자가 선호하는 인증기를 선택하는 능력을 저해하고 있음.
Hacker News 의견
- 물리적 보안 키는 폰이나 데스크톱의 2단계 인증 기능이 없어서 패스키로서 최적의 선택이 아닐 수 있습니다.
- 패스키는 아이클라우드 키체인을 통해 동기화된 키 쌍으로 정의되며, 그 정의는 다른 클라우드 동기화 방법에까지 확장되었습니다.
- 보안 키는 대다수의 사용자에게 중요하지 않으며, 패스키는 비밀번호를 대체하는 더 나은 선택입니다.
- 패스키와 레지던트 키를 위한 프로토콜 디자인은 잠재적인 보안 문제와 호환성 문제로 비판받고 있습니다.
- 레지던트 키와 보안 요소의 현재 상황은 혼란스럽고 개선이 필요합니다.
- 보안이나 암호학에 대한 배경지식이 없는 사람들에게는 이 기사를 이해하기 어려울 수 있습니다.
- 새로운 인증 표준으로 업그레이드하려면 새 하드웨어 키에 돈을 투자해야 할 수도 있습니다.
- 하드웨어 키는 저장 공간이 제한적이며, 대량 저장을 위한 안전한 프로세서 추가는 비용을 증가시킬 수 있습니다.
- 이 기사는 패스키와 그 영향에 대해 명확한 설명을 제공합니다.
- 일부 사용자는 패스키 동기화를 위해 Google, Apple 또는 Microsoft에 의존하고 싶지 않습니다.
- 하드웨어 기반 토큰과 레지던트 키 동기화를 위한 중앙 집중식 솔루션이 원하는 바입니다.
- 장치가 분실되거나 침해당하는 경우, 무언가를 가지고 인증하는 방식은 문제가 될 수 있습니다.
- 일부 사용자는 패스키가 정부와 기업에 너무 많은 통제력을 부여하여 개인 정보와 보안을 저해한다고 믿습니다.