SMS OTP 사용 중지
개요
주제: 소비자, 패스키, WebAuthn, 비용 절감
고객 여정: 인식 > 고려 > 등록 > 관리 > 인증
생성: 2024년 5월 24일
사람들이 비밀번호를 대체할 수 있는 패스키를 만들 수 있도록 허용하고 SMS OTP 인증을 추가합니다.
더 이상 사용되지 않는 SMS OTP 추가
- 열악한 사용자 환경, 피싱에 취약한 보안, 높은 비용의 SMS OTP 인증을 대체하세요.
- 사람들이 인증과 보안에 집중하는 것을 활용하기 위해 SMS OTP 인증을 완료한 직후(관련 컨텍스트)에 패스키를 도입하세요.
- 사람들에게 새롭고 더 안전한 인증 방법인 패스키에 대해 교육하고 인식을 제고하세요.
결과
- 패스키 채택을 늘림으로써 이 패턴은 다음 사항을 개선할 수 있습니다.
- SMS 인프라 및 관련 비용(예: SMS 요금, 유지 관리 ��및 지원)이 필요하지 않으므로 SMS OTP 운영 비용을 절감할 수 있습니다.
- 패스키의 원활하고 편리한 인증 경험을 통해 사용자 경험을 개선하여 사용자 만족도를 높이고 전환율을 높입니다.
- SIM 스왑 공격 및 일회용 코드 가로채기 등 SMS OTP와 관련된 일반적인 취약점과 관련된 보안 위험을 줄이는 데 도움이 됩니다.
- 잘못된 인증 코드 입력, 코드 오타 또는 SMS 코드 수신 지연과 관련된 사용자 오류를 줄여줍니다.
흐름: 개략도
흐름 단계
- 사용자가 로그인 환경을 시작합니다.
서비스 제공업체의 홈페이지에서 사용자는 검색 가능한 클릭 유도 문안(CTA)을 사용하여 로그인 또는 계정 만들기를 위한 로그인 환경을 시��작합니다. - 시스템에 로그인 또는 계정 만들기 페이지가 표시되고 사용자는 사용자 아이디와 비밀번호를 입력합니다.
사용자가 로그인 또는 계정 만들기 버튼을 선택하면 사용자 아이디와 비밀번호를 수정할 수 있는 필드와 로그인할 수 있는 작업 버튼이 있는 페이지가 표시됩니다. 사용자가 유효한 사용자 이름과 비밀번호를 입력하고 로그인을 선택하여 로그인 프로세스를 계속합니다. - 사용자가 사용자 이름과 비밀번호를 입력합니다.
- 시스템에서 SMS OTP 인증을 트리거하고 사용자가 신원을 확인합니다.
시스템에서 사용자 이름과 비밀번호를 인식하고 SMS OTP 인증을 트리거합니다. DigitalFiles는 사용자가 신원 증명 후 새 기기에서 로그인할 때 SMS OTP를 트리거합니다. 그러나 서비스 제공업체는 주기적인 재인증 또는 의심스러운 활동과 같은 다양한 시나리오에서 SMS OTP를 통합할 수 있습니다. 사용자 계정과 연결된 휴대폰 번호로 인증 코드가 전송됩니다. 사용자는 메시지에서 코드를 검색하여 인증 페이지의 지정된 필드에 입력합니다. - 인증 코드가 입력됩니다.
제출 시 시스템은 생성되어 사용자에게 전송된 코드와 비교하여 코드의 유효성을 검사합니다. 코드가 일치하고 지정된 시간 내에 입력된 경우 사용자에게 계정에 대한 액세스 권한이 부여됩니다. 코드가 일치하지 않는 경우(예: 코드를 잘못 입력한 경우) 사용자에게 코드를 다시 입력하거나 새 코드를 요청하라는 메시지가 표시됩니다. - 시스템에서 SMS OTP 인증 후 패스키를 도입합니다.
SMS OTP 인증 후 시스템에서 패스키 히어로 프롬프트를 사용하여 대체 인증 방법으로 패스키를 도입합니다. FIDO 권장 패스키 히어로에는 사용자가 SMS OTP 인증 프로세스를 완료한 후 패스키에 대한 가장 유용한 정보로 사용자 조사를 통해 발견된 특정 기호, 헤드라인, 메시징 및 클릭 유도 문안(CTA)이 포함되어 있습니다. 패스키 영웅 메시징을 사용하고 헤드라인 끝에 및 코드를 추가합니다. - 사용자는 화면 잠금(OS 대화 상자)을 사용하여 표시된 이메일 주소의 패스키를 만듭니다.
시스템은 패스키 OS 대화 상자를 트리거하여 사용자가 지정된 이메일에 대한 패스키를 만들거나 만들지 않도록 선택할 수 있도록 합니다. - 화면 잠금 사용 대화상자입니다.
사용자가 Android에서 계속 버튼을 선택하거나 iOS에서 확인 버튼을 선택하여 패스키를 생성하도록 선택하면 모바일 OS에서 화면 잠금을 사용하여 인증하라는 메시지를 표시합니다. 사용자가 Android에서 취소 버튼을 선택하거나 iOS 대화상자의 오른쪽 상단 모서리에 있는 X 버튼을 선택하여 패스키 생성을 거부하도록 선택하면 모바일 OS에서 생성 프로세스를 종료하고 OS 오버레이를 제거합니다. - 화면 잠금 사용 대화상자가 성공적으로 표시됩니다.
패스키가 성공적으로 생성되면 OS에서 패스키 생성 확인 메시지가 표시되었다가 자동으로 사라집니다. 사용자 작업은 필요하지 않습니다. - 시스템에서 패스키가 성공적으로 생성되었음을 확인합니다.
시스템에서 성공 메시지와 함께 패스키가 성공적으로 생성되었음을 확인합니다. 이를 승인하려면 FIDO 권장 기호, 헤드라인, 메시징 및 작업을 사용합니다. FIDO 권장 성공 메시지의 주요 목적은 다음 두 가지입니다. (1) 패��스키 생성 프로세스가 성공적으로 완료되었음을 사용자에게 명확하고 긍정적으로 확인하고 (2) 사용자 소유권을 강화하고, 참여를 유도하고, 유지 관리를 용이하게 하고, 궁극적으로 안전하고 사용자 친화적인 인증 솔루션으로 패스키를 장기적으로 채택하도록 장려합니다.
흐름: 동영상
흐름: 프로토타입
전체 화면으로 보려면 프로토타입 위로 마우스를 가져간 다음 확장 아이콘을 선택합니다.
콘텐츠
사용자 테스트를 거친 콘텐츠 예제를 복사하여 필요에 맞게 편집합니다.
패스키를 사용하면 복잡한 비밀번호와 코드를 기억할 필요가 없습니다.
패스키란 무엇인가요?
패스키는 지문, 얼굴 또는 화면 잠금을 사용하여 생성하는 암호화된 디지털 키입니다.
패스키는 어디에 저장되나요?
패스키는 자격 증명 관리자에 저장되므로 다른 기기에서 로그인할 수 있습니다.
UX 리서치
SMS OTP에 대한 대안으로서의 패스키에 대한 인식(요약)
사용자 경험 리서치 결과 SMS OTP 신원 증명 후 패스키를 소개하는 데 사용된 FIDO 권장 이미지와 메시징이 참가자의 패스키 생성을 유도한 것으로 나타났습니다. 60%의 전환율(참가자 16명 중 9명)을 보이는 이러한 결과는 패스키의 편리함과 보안상 이점을 강조하는 명확하고 간결한 메시지를 전달하여, 참가자들은 SMS OTP 인증 대체 시 패스키를 채택하는 데 있어 효과적인 동기 부여를 받게 됩니다.
“이 [passkey hero] 덕분에 ‘패스키 만들기’를 클릭하고 싶어질 것 같아요. 복잡한 비밀번호와 코드를 없애고, 지문, 얼굴 또는 잠금 화면처럼 빠르고 쉽게 인식할 수 있는 것을 사용하고, 나머지 모든 비밀번호와 같은 위치에 저장된다는 첫 번째 설명이 마음에 들었습니다."
—2단계 연구 - 참가자 2 (24세, Android 사용, Chrome 브라우저)
패스키 소개에 대한 응답
참��가자들은 복잡한 비밀번호와 코드 대신 생체 인식을 사용하는 것에 대해 높이 평가하며 패스키의 간편함과 편리함을 긍정적으로 인식했습니다(_왜 패스키를 사용해야 하는가?). 생체 인식 인증에 대한 편안함과 신뢰가 패스키를 안전하고 사용자 친화적인 대안으로 인식하는 데 영향을 미쳤습니다. 또한, 참가자들은 패스키의 암호화 측면을 인식하여 SMS OTP 인증에 비해 보안상의 이점을 더 많이 인식했습니다(패스키란 무엇인가요?).
“따라서 저는 패스키를 모든 것[비밀번호 관리]에 대한 솔루션에 가깝다고 생각합니다. 복잡성은 유지하면서도 더 쉽게 만들 수 있습니다.”
—3단계 - 참가자 2(나이: 29세), Android(Chrome)
사용자 조사 결과 참가자들은 패스키를 기존 비밀번호 관리 도구와 통합하고 여러 기기에서 사용하는 것(패스키는 어디에 저장됩니까?)에 대해 긍정적인 견해를 보였습니다. 이는 참가자들이 자격 증명을 중앙에서 관리하고 익숙한 인터페이스를 제공하는 자격 증명 관리자에 익숙하기 때문이었습니다. 또한 일부 참가자들은 기기 간 기능에 관심을 표했으며 다양한 기기와 플랫폼에서 패스키의 호환성 및 상호 운용성에 대해 질문했습니다.
“노트북이 아닌 다른 기기에서 로그인하는 경우 [패스키 상호 운용성]이 매우 혁신적이라고 생각합니다. 기기에 로그인하는 효율적인 방법이 될 수 있다고 생각합니다.”
—3단계 - 참가자 6(나이: 32세), Android(Chrome)
참가자들은 패스키가 익숙하고 신뢰할 수 있는 기기의 인증 시스템을 사용하여 새로운 로그인 옵션을 제공한다고 정확하게 추론했습니다. 따라서 참가자��들은 생체 인식 인증 경험을 바탕으로 생성 및 로그인 프로세스가 빠르고 쉽고 안전할 것으로 예상했습니다. 대부분의 참가자가 패스키를 생성하기로 선택했지만(전환율 60%), 일부 참가자는 기존 비밀번호 및 코드의 유형성과 친숙성을 선호하여 선택을 취소했습니다.
SMS OTP 인증과 비교하여 사용자 조사에 따르면 생체 인식 인증에 대한 참가자들의 긍정적인 경험은 패스키의 보안 및 사용성에 대한 더 호의적인 인식을 형성하는 데 중요한 역할을 했습니다. 이러한 친숙함은 새로운 패스키 용어 및 개념에 대한 초기 불확실성이나 생소함을 극복하는 데 도움이 되었습니다.
“패스키가 확실히 더 간단했고 로그인하기 위해 다른 계정을 볼 필요가 없었습니다. 마음에 들어요. 다시 말하지만, 패스키를 사용하면 사용자 이름과 비밀번호를 가져오는 것이 매우 쉬웠고, 당시 작업을 중단하고 문자 메시지나 이메일을 확인할 필요가 없었습니다.”
—2단계 - 참가자 7(나이: 38세), iPhone(Safari)
패스키 성능 평가(생성 및 로그인)
참가자들은 일관되게 패스키를 만드는 과정이 쉽고 간단하며 최소한의 노력만 있으면 된다고 설명했습니다. 또한 참가자들은 생체 인식 인증 방법을 변경하고, 삭제하고, 추가하는 기능을 포함하여 패스키를 제어할 수 있다는 기대를 충족하므로 패스키를 관리하는 방법에 대한 팁이 유용하다고 생각했으며, 이를 통해 온라인 계정을 제어할 수 있다는 확신을 얻었습니다.
“처음에는 빨랐고 두 번째는 훨씬 더 빨랐습니다. 아니면 처음에는 정말 빨랐고 두 번째는 거의 시간이 걸리지 않았기 때문에 정말, 정말 빨랐다고 해�야 할 것입니다.”
—3단계 - 참가자 8(나이: 23세), iPhone(Safari)
"[패스키가 더 안전합니다] 본인임을 확인하려고 하기 때문입니다. 2FA는 본인임을 확인하는 것이 아니라 본인 기기임을 확인하는 것이라고 생각합니다_."
—3단계 - 참가자 8(나이: 23세), iPhone(Safari)
두 가지 인증 방식(SMS OTP 및 패스키) 으로 로그인 프로세스를 경험한 후 참가자들은 패스키가 훨씬 쉽고 효율적이라는 것을 알게 되었습니다. 그러나 일부 참가자는 패스키로 로그인하는 것이 기기에서 지원되는 생체 인식 로그인 환경과 다르며 패스키는 추가로 탭해야 한다는 점을 알게 되었습니다.
출시 전략
일부 서비스 제공업체는 특정 비즈니스 통신 회선의 비용을 줄이기 위해 (패스키로 로그인)과 함께 이 패턴을 먼저 출시하기로 선택합니다.
생태계
- 패스키를 사용하려면 사용자 기기에 특정 하드웨어 또는 소프트웨어 지원이 필요할 수 있습니다. 사용자가 패스키 사용에 대한 호환성 요구 사항을 알고 있는지 확인하고 호환되는 기기 및 브라우저에 대한 안내를 제공합니다.
- 네이티브 모바일 앱 컨텍스트에서 패스키로 로그인하는 것은 수년 동안 존재해 온 생체 인식 로그인 환경과 다릅니다. 패스키로 로그인하려면 추가�로 탭해야 합니다.
보안
- 패스키는 사용자가 피싱 가능한 비밀번호나 피싱 가능한 일회용 코드를 입력할 필요가 없도록 하여 피싱과 자격 증명 도용의 위험을 완화합니다.
- DigitalBiz는 문제가 발생할 경우 이메일 OTP로 정상적으로 대체됩니다. 선택하는 정상적인 대체 옵션은 고유한 보안 및 비즈니스 목표와 일치해야 합니다. 고유한 보안 및 비즈니스 요구 사항에 따라 UX를 계획합니다. 이 지침에서는 동기화된 패스키를 사용하는 FIDO 고유의 UX 개념에 중점을 둡니다. 이 작업 전반에 걸쳐 다양한 형태의 신원 증명 및 FIDO 이외의 인증 예가 표시됩니다. 이 지침에서는 신원 증명 또는 기타 FIDO 이외의 인증 메커니즘에 대한 보안 지침을 규정하지 않습니다. 이러한 메커니즘은 각 신뢰 당사자(RP)에 고유하며 고유한 비즈니스 요구 사항 및 보안 정책을 기반으로 하기 때문입니다.
