패스키
소개
패스키는 비밀번호를 대체하는 더 안전하고 간편한 방법입니다. 패스키를 사용하면 생체 인식 센서 (예: 지문 또는 얼굴 인식)나 PIN, 패턴으로 사용자가 앱과 웹사이트에 로그인할 수 있으므로 비밀번호를 기억하고 관리할 필요가 없습니다.
개발자와 사용자 모두 비밀번호를 싫어합니다. 비밀번호는 사용자 환경을 저해하고 전환 마찰을 더하며 사용자 및 개발자 모두에게 보안 책임을 만듭니다. Android 및 Chrome의 Google 비밀번호 관리자는 자동 완성을 통해 마찰을 줄입니다. 전환과 보안을 더욱 개선하려는 개발자에게는 패스키와 ID 연동이 업계의 최신 접근 방식입니다.
패스키는 피싱 공격에 대한 강력한 보호를 제공하며 로그인 시 SMS 또는 앱 기반 일회용 비밀번호를 묻는 메시지를 표시할 필요가 없습니다. 패스키는 표준화되어 있으므로 단일 구현을 통해 다양한 브라우저와 운영체제에서 사용자의 모든 기기에 걸쳐 비밀번호 없는 환경을 지원할 수 있습니다.
개발자와 사용자 모두 비밀번호를 싫어합니다. 비밀번호는 사용자 환경을 저해하고 전환 마찰을 더하며 사용자 및 개발자 모두에게 보안 책임을 만듭니다. Android 및 Chrome의 Google 비밀번호 관리자는 자동 완성을 통해 마찰을 줄입니다. 전환과 보안을 더욱 개선하려는 개발자에게는 패스키와 ID 연동이 업계의 최신 접근 방식입니다.
패스키는 피싱 공격에 대한 강력한 보호를 제공하며 로그인 시 SMS 또는 앱 기반 일회용 비밀번호를 묻는 메시지를 표시할 필요가 없습니다. 패스키는 표준화되어 있으므로 단일 구현을 통해 다양한 브라우저와 운영체제에서 사용자의 모든 기기에 걸쳐 비밀번호 없는 환경을 지원할 수 있습니다.
패스키가 더 쉽습니다.
사용자는 로그인할 계정을 선택할 수 있습니다. 사용자 이름을 입력하지 않아도 됩니다.
사용자는 지문 센서, 얼굴 인식, PIN과 같은 기기의 화면 잠금을 사용하여 인증할 수 있습니다.
패스키가 생성되고 등록되면 사용자는 새 기기로 원활하게 전환하여 각 기기에서 설정해야 하는 기존 생체 인식 인증과 달리 다시 등록하지 않고도 즉시 사용할 수 있습니다.
패스키가 더 안전함
패스키는 피싱 공격으로부터 사용자를 보호합니다. 패스키는 등록된 웹사이트와 앱에서만 작동합니다. 브라우저나 OS에서 인증을 처리하므로 사용자가 속임수로 가짜 사이트에서 인증하도록 유도할 수 없습니다.
개발자는 비밀번호 대신 공개 키만 서버에 저장하므로 악의적인 행위자가 서버를 해킹할 가치가 훨씬 적고 유출 시 정리해야 하는 작업도 훨씬 적습니다.
패스키는 SMS를 전송할 필요가 없어 비용을 절감하므로 더 안전하고 비용 효율적인 인증 수단입니다.
비밀번호란 무엇인가요?
패스키는 사용자 계정 및 웹사이트 또는 애플리케이션에 연결된 디지털 사용자 인증 정보입니다. 패스키를 사용하면 사용자 이름이나 비밀번호를 입력하거나 추가 인증 요소를 제공하지 않고도 사용자를 인증할 수 있습니다. 이 기술은 비밀번호와 같은 기존 인증 메커니즘을 대체하는 것을 목표로 합니다.
사용자가 패스키를 사용하는 서비스에 로그인하려고 하면 브라우저나 운영체제에서 올바른 패스키를 선택하고 사용하는 데 도움을 줍니다. 이 환경은 현재 저장된 비밀번호가 작동하는 방식과 유사합니다. 정당한 소유자만 패스키를 사용할 수 있도록 시스템에서 기기 잠금 해제를 요청합니다. 이 작업은 생체 인식 센서 (예: 지문 또는 얼굴 인식)나 PIN, 패턴으로 실행할 수 있습니다.
웹사이트 또는 애플리케이션의 패스키를 만들려면 사용자가 먼저 해당 웹사이트 또는 애플리케이션에 패스키를 등록해야 합니다.
- 애플리케이션으로 이동하여 기존 로그인 방법을 사용하여 로그인합니다.
- 패스키 생성 버튼을 클릭합니다.
- 새 패스키로 저장된 정보를 확인합니다.
- 기기 화면 잠금 해제를 사용하여 패스키를 만듭니다.
이 웹사이트 또는 앱으로 돌아와 로그인할 때 다음 단계를 따를 수 있습니다.
- 애플리케이션으로 이동합니다.
- 계정 이름 필드를 탭하면 자동 완성 대화상자에 패스키 목록이 표시됩니다.
- 패스키를 선택합니다.
- 기기 화면 잠금 해제를 사용하여 로그인을 완료합니다.
직접 해보기
이 데모에서 패스키를 사용해 볼 수 있습니다.
패스키는 어떻게 작동하나요?
패스키는 동기화되기 전에 기기에서 안전하게 암호화되며 새 기기에서 복호화해야 합니다. 패스키는 동일한 Google 계정으로 로그인한 사용자의 Android 기기와 Chrome 브라우저 간에 패스키를 동기화하는 Google 비밀번호 관리자와 같은 비밀번호 관리자에 저장할 수 있습니다. Android OS 14 이상을 사용하는 사용자는 호환되는 서드 파티 비밀번호 관리자에 패스키를 저장할 수도 있습니다.
사용자는 패스키를 사용할 수 있는 기기에서만 패스키를 사용하도록 제한되지 않습니다. 휴대전화에 있는 패스키는 휴대전화가 노트북 근처에 있고 사용자가 휴대전화에서 로그인을 승인하는 한 패스키가 노트북에 동기화되지 않더라도 노트북에 로그인할 때 사용할 수 있습니다. 패스키는 FIDO 표준을 기반으로 구축되므로 모든 브라우저에서 채택할 수 있습니다.
사용자는 패스키를 사용할 수 있는 기기에서만 패스키를 사용하도록 제한되지 않습니다. 휴대전화에 있는 패스키는 휴대전화가 노트북 근처에 있고 사용자가 휴대전화에서 로그인을 승인하는 한 패스키가 노트북에 동기화되지 않더라도 노트북에 로그인할 때 사용할 수 있습니다. 패스키는 FIDO 표준을 기반으로 구축되므로 모든 브라우저에서 채택할 수 있습니다.
개인 정보 보호 기능
중요: 패스키는 사용자 개인 정보 보호를 염두에 두고 설계되었습니다. 최종 사용자가 제기할 수 있는 몇 가지 우려사항이 아래에 나와 있습니다.사용자를 안심시키기 위해 개발자는 UI에 안심 메시지 (예: '패스키를 사용하면 사용자의 생체 인식 정보가 웹사이트나 앱에 공개되지 않습니다. 생체 인식 자료는 사용자의 개인 기기를 벗어나지 않습니다.')를 추가하고 자세한 내용을 설명하는 FAQ 또는 지원 도움말을 만들어야 합니다.
생체 인식으로 로그인하면 민감한 정보가 서버로 전송된다는 잘못된 인상을 사용자에게 줄 수 있기 때문입니다. 실제로 생체 인식 자료는 사용자의 개인 기기 외부로 유출되지 않습니다.
패스키 자체로는 사이트 간에 사용자나 기기를 추적할 수 없습니다. 동일한 패스키는 두 개 이상의 사이트에서 사용되지 않습니다. 패스키 프로토콜은 사이트와 공유되는 정보가 추적 벡터로 사용될 수 없도록 신중하게 설계되었습니다.
패스키 관리자는 무단 액세스 및 사용으로부터 패스키를 보호합니다. 예를 들어 Google 비밀번호 관리자는 패스키 보안 비밀을 엔드 투 엔드 암호화합니다. 사용자만 액세스하고 사용할 수 있으며 Google 서버에 백업되더라도 Google은 이를 사용하여 사용자를 사칭할 수 없습니다.
보안 이점
패스키는 웹사이트 또는 앱의 ID에 바인딩되므로 피싱 공격에 강합니다. 브라우저와 운영체제는 패스키가 패스키를 생성한 웹사이트 또는 앱에서만 사용될 수 있도록 합니다. 따라서 사용자는 정품 웹사이트나 앱에 로그인할 필요가 없습니다.
-
패스키는 공개 키 암호화를 사용합니다.
공개 키 암호화는 잠재적인 데이터 유출의 위협을 줄여줍니다. 사용자가 사이트 또는 애플리케이션으로 패스키를 만들면 사용자 기기에 공개 키-비공개 키 쌍이 생성됩니다. 사이트에서는 공개 키만 저장하지만 공격자에게는 쓸모가 없습니다. 공격자는 인증을 완료하는 데 필요한 서버에 저장된 데이터에서 사용자의 비공개 키를 파생할 수 없습니다. -
피싱 공격에 강함
패스키는 웹사이트 또는 앱의 ID에 바인딩되므로 피싱 공격에 강합니다. 브라우저와 운영체제는 패스키가 패스키를 생성한 웹사이트 또는 앱에서만 사용될 수 있도록 합니다. 따라서 사용자는 정품 웹사이트나 앱에 로그인할 필요가 없습니다.
추가 리소스
- 패스키 우수사례
- 사용 사례
- 신뢰 당사자를 위한 패스키 개발자 가이드
- Google 패스키 개발자 뉴스레터를 구독하여 패스키 업데이트에 관한 알림을 받으세요.