패스키

패스키는 FIDO Alliance에서 개발한 개방형 인증 표준이다. 궁극적인 목적은 비밀번호 없는 인증을 실현하는 것이다.

패스키는 FIDO 표준을 기반으로 하며 WebAuthn을 지원하는데, 이는 패스키만으로 로그인을 가능케 하며 비밀번호 없는 로그인을 가능하게 한다. 따라서 패스키가 저장된 기기가 탈취되지 않는 이상 계정 해킹은 사실상 불가능하다. 패스키는 스마트폰이나 노트북 등의 기기, 구글과 같이 패스키 저장을 지원하는 계정, 비밀번호 관리자, yubikey와 같은 물리적인 보안키 등에 저장할 수 있다.

놀라운 점은, 패스키는 설계상 등록된 사이트에만 제공되기 때문에 사용자가 실수로 공격자의 사이트[1]에 입력할 방법이 없다. 즉 패스키 인증은 그 자체로 피싱을 방어한다는 것이다. 아무리 사이트가 너무나 감쪽같이 잘 속여도 패스키 인증 단계에서는 어찌할 방법이 없다는 것이다.

1. 등록 단계에서 비밀번호 관리자(또는 보안 키)는 해당 온라인 서비스의 특정 계정에 고유한 암호화 키 쌍을 생성한다.
비밀번호 관리자(또는 보안 키)는 개인 키를 보관하고 공개 키는 온라인 서비스에 등록된다.

2. 사용자가 온라인 서비스에 로그인하려고 하면 서버에서 사용자의 기기로 임의의 챌린지를 보낸다. 비밀번호 관리자(또는 보안 키)는 사용자가 기기 잠금을 해제하여 로그인을 승인했는지 확인한 후 해당 개인 키를 사용하여 이 챌린지에 서명한다. 서명은 기록된 공개 키에 대해 서명의 유효성을 검사하는 서버로 반환됩니다.

3. 사용자가 새 기기에 비밀번호 관리자를 설치하면 개인 키가 새 기기와 동기화된다. 이렇게 하면 사용자가 새 기기에서 온라인 서비스에 로그인할 수 있다.

사용자가 보안 키를 사용하여 패스키를 저장하는 경우 개인 키는 동기화되지 않고 해당 특정 보안 키 기기에 남는다. 따라서 새로운 기기에서 보안 키를 사용하려면 사용자가 새 기기에 보안 키를 탭하거나 연결하여 사용할 수 있다.

보안키(Security Key)와 패스키는 다르다. 보안 키는 yubikey와 같은 물리적 인증 장치를 부르는 명칭일 뿐이다. yubikey는 보안키면서 패스키를 지원하는 것이다. 패스키는 기술이고, 보안키는 실체다.

즉 2단계 인증을 설정할 때 보안키를 추가하는 것은 그저 보안키를 통한 2단계 인증을 구현하는 것이며, 비밀번호 없는 로그인은 패스키를 설정해야 할 수 있는 것이다. 보안키를 패스키로 등록할 수 있기 때문에 yubikey를 많이 쓰는 것이기도 하다.