FIDO AllianceFIDO Alliance
FIDO AlliancePasskey CentralAuthenticate Conference
Skip to main content

인증 옵션으로서의 보안 키 인식

개요

주제: 소비자, 보안 키의 패스키, 보안 키, 기기에 연결된 패스키, 인식
고객 여정: 인식 > 고려사항 > 등록 > 관리 > 인증
생성: 2022년 5월 14일

사용자가 사용자 이름과 비밀번호를 입력한 후 두 번째 요소로 보안 키를 사용하여 로그인할 수 있도록 허용합니다.

note

이 패턴은 원래 2022년에 게시되었습니다. 패스키 관리 UI: 모든 패스키 유형을 결합하기 위한 모범 사례에 대한 2024 디자인 패턴도 참조해야 합니다.

보안 키에 대한 인지도 높이기

  • 비밀번호 전용 인증을 대체할 수 있는 방법에 대한 사용자 인지도를 높이고, 보안 키를 포함한 새로운 로그인 옵션을 관리할 수 있도록 보안 및 개인 정보 보호 설정으로 사용자를 안내합니다.
  • 메시징 전략과 사이트 정보 아키텍처 업데이트를 통해 비밀번호 전용 인증을 대체할 수 있는 방법에 대한 고객 인식을 높입니다.
  • 신뢰 당사자(RP)는 타겟팅하는 고객 세그먼트나 사업 분야에 따라 고객에게 동기화된 패스키 및/또는 보안 키를 홍보하기로 선택할 수 있습니다.
  • 당사의 사용자 조사에 따르면 고객은 새로운 로그인 방법을 설정하기 전에 새로운 인증 옵션에 대해 여러 번 안내를 받아야 할 수 있습니다.

결과

  • 사용자는 계정에 대한 추가 보안 옵션을 찾습니다.
  • 인증 메커니즘의 강도와 그에 따른 신뢰도는 [NIST SP 800-63-3]에 정의된 대로 AAL1(어느 정도의 신뢰도), AAL2(높은 신뢰도), AAL3(매우 높은 신뢰도)의 세 가지 수준으로 정의됩니다. 대부분의 디바이스 바운드 하드웨어 보안 키는 AAL3를 준수합니다.
  • 피싱 방지 인증.
  • 귀중한 자산을 보호하려는 사람들의 신뢰를 얻습니다.

보안 키에 대한 고객 여정.

흐름: 사전 로그인

콜투액션

로그인 옵션을 업데이트하라는 지속적인 콜투액션을 포함합니다(예: "새로운 로그인 옵션을 설정하려면 로그인 후 보안 및 개인 정보 보호를 방문하세요.").

흐름: 로그인 후

새로운 로그인 옵션을 추가할 수 있도록 토스트 알림을 사용하여 사용자를 보안 및 개인 정보 보호로 안내합니다. 토스트 알림에 인증 아이콘을 추가합니다.

흐름: 기본 탐색

사용자 프로필 메뉴에 보안 및 개인정보 링크를 기본 계정 탐색의 대상으로 추가하거나 설정과 동등한 수준의 메뉴 항목으로 배치할 수 있습니다.

흐름: 관리

보안 및 개인 정보 보호 설정 페이지를 제공하여 사용자가 보안 키를 포함하여 사이트에서 사용할 수 있는 인증 옵션을 비교하고 알아볼 수 있도록 지원합니다.

비밀번호 외에 두 번째 인증 방법을 추가하여 계정의 보안을 강화하라는 명시적인 권장 사항을 표시합니다. 사용자가 이 권장 메시지를 닫을 수 있도록 확인합니다.

아이콘을 사용하여 스토리를 전달합니다. 스토리는 사용자가 기억하기 쉬우며, 아이콘은 스토리를 전달합니다. 보안 및 개인 정보 보호 설정의 권장 메시지에 아이콘을 추가하여 가시성과 시각적 흥미를 높이고 패스키 및 보안 키와 같이 추가할 권장 방법을 나타냅니다.

인증 방법 이름 옆에 아이콘을 사용하여 각 방법을 구분하고 페이지의 가독성을 높입니다. 사용자가 현재 등록한 로그인 방법을 표시하는 명확한 시각적 표시기를 제공합니다.

각 방법의 인증 프로세스 또는 고유한 가치 제안에 대한 간략한 설명을 제공합니다. 보안 키에 대한 소비자 인지도가 더 필요하기 때문에 보안 키가 두 번째 요소(즉, 비밀번호 외에 사용됨)이며 여러 보안 키를 사용할 수 있으며 권장된다는 점을 강조하는 것이 좋습니다.

흐름: 자세히 알아보기

자세히 알아보기 링크에서 보안 키에 대한 자세한 정보를 점진적으로 공개합니다. 보안 키 등록 전후에 자세히 알아보기 링크가 표시되도록 합니다. 사용자가 보안 키 사용에 대해 질문이나 우려 사항이 있을 때 관련 접점이 되므로 이 두 가지를 모두 표시해야 합니다. 사용자 연구를 통해, 보안 키 도입의 잠재적 장애 요인으로 작용했던 주요 질문과 우려 사항을 해결하는 주제들을 파악했습니다.

로그인 전 권장 사항:

웹사이트 외부에서 여러 채널을 전략적으로 사용하여 계정 보안을 최적화할 수 있는 대상으로 보안 및 개인정보 보호 설정을 홍보하세요.

  • 사이트 외부에서 이메일 캠페인, 우편물 또는 소셜 미디어를 사용하여 사용자에게 보안 및 개인정보 보호 설정을 방문하여 계정 보안에 대해 알아보고 개선하고, 보안 키 사용을 포함한 MFA를 설정하도록 권장합니다.
  • 개인정보 보호 및 보안 권장 사항에 대한 고객과의 온라인 커뮤니케이션 내에서 항상 보안 및 개인정보 보호 설정 페이지로 연결합니다.
  • 보안 키의 이점을 포함하여 인증 옵션에 대한 교육 자료를 보내서 보안 키를 사용하여 가장 큰 이점을 얻을 수 있는 특정 고객 프로필(예: 자산 규모가 큰 은행 고객)을 타겟팅하도록 고려합니다.

로그인 시 권장 사항:

생소할 수 있는 보안 키 방식을 구체적으로 홍보하기보다는 비밀번호 전용 인증 대신 사용할 수 있는 대체 인증 수단에 대한 일반적인 인식을 높이세요.

  • 데스크톱 웹에서 생체 인식을 제공하는 RP의 경우 익숙한 생체 인식 아이콘(즉, 지문)을 표시하여 로그인 UI에 암호만 사용하는 인증 방식에 대한 대안 인증 방식이 있음을 알릴 수 있습니다. 사용자가 생체 인식 로그인 또는 터치 잠금 해제의 사용 가능성을 나타내는 것으로 널리 인식하고 있기 때문입니다.
  • 익숙한 지문 아이콘은 알려지지 않은 보안 키 개념을 구체적으로 언급하는 것보다 로그인 옵션 업데이트에 대한 사용자의 관심을 끌 때 더 효과적이었습니다.
  • 데스크톱 웹에서 생체 인식을 제공하지 않는 RP는 로그인 UI에서 더 광범위한 인증 범주를 나타내는 아이콘(예: 사용자 아웃라인과 체크 표시 또는 PIN 코드를 나타내는 별표가 있는 잠금장치)을 사용하는 것이 좋습니다.
  • 로그인 UI의 인증 아이콘 옆에 간단한 정적 메시지를 콜투액션으로 포함시켜 로그인 후 사용자가 보안 및 개인정보 설정으로 이동하여 새로운 로그인 옵션을 설정할 수 있도록 안내합니다.

로그인 후 권장 사항:

웹사이트 내에서 사이트 아키텍처를 업데이트하거나 사이트에서 이 설정 링크를 전략적으로 홍보하여 계정 보안을 관리할 수 있는 검색 가능한 대상으로 보안 및 개인정보 보호 설정을 만듭니다.

  • 사이트 내에서 보안 및 개인정보 보호 설정을 더 쉽게 찾을 수 있도록 합니다. 메인 사이트 탐색 메뉴에 보안 및 개인 정보 보호 설정 링크를 추가하거나 프로필 아래의 고유한 대상으로 추가합니다(즉, 보다 일반적인 설정 메뉴 항목 외부).
  • 웹사이트 내에서 여러 메시징 전략을 전략적으로 사용하여 계정 보안을 최적화할 수 있는 대상으로 보안 및 개인정보 보호를 홍보합니다.
  • 여러 사이트 방문에서 관심을 불러일으키려면 두 개 이상의 메시징 형식을 사용하세요. 예를 들어 배너 광고 또는 토스트 알림과 같은 임시 메시징 전략을 사용하여 사용자를 보안 및 개인정보 보호로 안내하여 로그인 방법을 업데이트하도록 유도할 수 있습니다.
  • 특히 보안 키를 채택하는 경우 새로운 로그인 방법 등록을 유도하려면 여러 번 메시지를 노출해야 하는 경우가 많습니다.
  • 보안 키를 등록하는 것은 보안 키에 대해 알아보고, 구입하고, 등록하기 위해 시간과 노력을 투자해야 하는 여러 단계로 구성된 프로세스입니다.
  • 예를 들어 여러 사이트 방문에서 토스트 알림을 표시하여 사용자에게 보안 및 개인정보 보호 설정을 방문하여 로그인 방법을 업데이트하도록 유도합니다.

콘텐츠

사용자 테스트를 거친 콘텐츠 예제를 복사하여 필요에 맞게 편집합니다.

아래에서 추가 인증 방법을 추가하여 계정 보안을 강화하는 것이 좋습니다.
보안 키란 무엇인가요?
보안 키는 지원되는 사이트에서 비밀번호 외에 작동하는 소형 물리적 장치입니다. 단일 키를 여러 계정이나 사이트에서 사용할 수 있습니다.

보안 키를 사용해야 하는 이유는 무엇인가요?
보안 키는 로그인 자격 증명(예: 사용자 이름 및 비밀번호)을 훔치려는 가짜 웹사이트로부터 사용자를 보호합니다. 다른 형태의 2단계 인증(문자, 이메일, 메시지, 인증자 앱 및 푸시 알림 포함)은 보안 키와 동일한 수준의 보호를 제공하지 않습니다.

보안 키 작동 방식
먼저 위 버튼을 사용하여 보안 키를 추가해야 합니다. 추가되면 사용자 이름과 비밀번호로 로그인한 후 보안 키를 사용해야 합니다. 이렇게 하면 계정을 보호하는 데 사용할 수 있는 가장 강력한 형태의 인증 중 하나가 생성됩니다.

보안 키는 어떤 보안 기술을 사용하나요?
대부분의 키는 드라이버나 소프트웨어 없이 안전한 인증을 허용하는 FIDO®라는 인증 표준을 사용합니다. 사용자가 키로 웹사이트에 로그인하면 FIDO®는 브라우저에서 웹사이트의 실제 도메인 이름을 확인하는 검증 요청에 암호로 서명하여 피싱(예: 가짜 웹사이트에서 사용자를 속여 개인 정보를 공유하게 하는 경우)으로부터 강력하게 보호합니다. 공격자는 키에서 사용 가능한 서명을 얻으려면 웹사이트 도메인 이름이나 브라우저를 제어해야 합니다.

보안 키가 USB 메모리처럼 보이는 이유는 무엇인가요?
하드웨어 보안 키는 USB 메모리 형태와 유사하고 때로는 컴퓨터의 USB 포트에 삽입되지만 저장 장치가 아닙니다. 보안 키를 사용할 때 개인 정보는 사이트나 온라인 계정에서 추적하거나 연결할 수 없습니다.

보안 키를 도난당하면 어떻게 되나요?
키는 비밀번호를 대체하는 것이 아니라 비밀번호와 함께 사용됩니다. 누군가 키를 훔친다고 해도 비밀번호(또는 키로 등록된 사이트)를 모르면 은행 계좌에 액세스할 수 없습니다. 백업 방법으로 로그인하고 계정에서 도난당한 키를 제거할 수 있습니다.

보안 키를 여러 개 추가
여러 보안 키를 추가하는 것이 좋습니다. 보안 키를 분실하거나 도난당했는데 등록된 백업 보안 키(또는 다른 백업 인증 방법)가 없는 경우 신원을 확인하는 동안 계정에 대한 액세스가 중단될 수 있습니다. 키 하나는 쉽게 접근할 수 있는 곳에 보관하고 다른 키는 안전한 곳에 별도로 보관하는 것이 좋습니다.

보안 키 구입
보안 키는 제조업체마다 다르며 주로 온라인 소매업체에서 구입할 수 있습니다. FIDO 인증 키를 사용하는 것이 좋습니다. FIDOⓇ 인증 키 목록을 참조하세요. (https://fidoalliance.org/certification/fido-certified-products/)

보안 키에 이름 지정
보안 키에 나만 볼 수 있는 친숙한 별칭을 지정하여 나중에 이 계정에 어떤 키를 등록했는지 알 수 있도록 합니다.

UX 리서치

조사 결과 다른 사이트 목표와 관련하여 사용자가 조치를 취하기 전에 새로운 로그인 옵션 설정에 대한 개념을 여러 번 소개해야 하는 경우가 많습니다. 사용자가 관련 메시지를 여러 번 확인하고 편할 때 조치를 취할 수 있도록 합니다.

조사 결과 사용자가 생체 인식 로그인을 사용하지 않는 경우에도 지문 아이콘이 있으면 비밀번호가 없는 로그인을 고려하게 되었습니다.

이 문서에서는 규제 산업(예: 금융 또는 의료) 사용 사례를 기반으로 FIDO 보안 키를 두 번째 요소로 사용하여 다단계 인증(MFA)을 활성화하려는 신뢰 당사자와 구현자를 위한 사용자 경험(UX) 지침 및 모범 사례를 제공합니다. 이러한 지침은 FIDO 구현 중 의사 결정을 가속화하고 사용자에게 어떤 정보와 제어를 제공해야 하는지 명시하는 것을 목표로 합니다. 이러한 UX 권장 사항은 모바일 앱이나 모바일 웹보다는 데스크톱/노트북 컴퓨터에서 액세스하는 브라우저 기반 사이트에 최적화되어 있습니다. 그러나 이러한 지침에는 보안 정책이나 계정 복구에 대한 권장 사항은 포함되어 있지 않습니다.

이 문서의 원칙은 Blink가 FIDO UX 태스크포스 회원들과 협력하여 진행한 여러 차례의 소비자 연구(N = 68, 모더레이션 및 비모더레이 세션 포함)를 바탕으로 개발되었습니다. 사용자 조사 참가자에는 주로 업무용으로 보안 키를 소유하고 사용하는 소비자와 개인 온라인 뱅킹에 2단계 인증을 사용하지만 조사 세션 전에 보안 키를 사용한 적이 없는 잠재적 보안 키 사용자가 포함되었습니다. 조사 범위에는 잠재적 사용자의 키 구매를 유도하는 전략은 포함되지 않았습니다. 사용자 조사 외에도 FIDO UX Taskforce에서 현재 시중에 나와 있는 보안 키 2단계 인증 경험을 검토했으며 조사 및 평가 과정에서 이를 입력으로 사용했습니다.

이 권장 사항은 프로슈머를 대상으로 데스크톱/노트북에서 FIDO 보안 키를 2단계 인증 수단으로 구현하는 방법에 대해 FIDO Alliance UX 태스크 포스의 관점을 보여줍니다. 이 문서에서 _프로슈머_는 개인 생활에서 보안 및 개인 정보 보호 기술과 서비스를 조기에 채택하는 보안 및 개인 정보 보호에 민감한 소비자를 말합니다.

출시 전략

  • 익숙한 인증 언어 및 기호로 안내: 익숙하지 않은 보안 키 개념을 명시적으로 홍보하는 대신, 익숙한 지문 아이콘(생체 인식이 지원되는 경우) 또는 PIN에 대한 잠금 장치 및 별표와 같이 인증을 나타내는 기타 이미지를 사용하여 비밀번호만으로 로그인하는 것에 대한 대안을 홍보합니다.
  • 보안 및 개인정보 설정 페이지를 계정 보안 전반 및 보안 키 관리와 학습을 위한 중심 허브로 홍보: 사용자가 보안 키를 로그인 옵션으로 발견할 수 있도록 보안 및 개인정보 설정 페이지 방문을 권장합니다. 사용자가 보안 키의 특성과 이점에 대해 배우고 구매할 보안 키를 식별하고 보안 키를 등록하기 위한 조치를 취할 수 있는 컨텍스트를 만듭니다.
  • 다음을 숙지하여 고객 지원 준비: FIDO 보안 키를 사용하여 등록 및 인증하는 방법, 사이트에서 사용할 수 있는 FIDO 인증 및 호환 가능한 보안 키의 종류, 그리고 FIDO 보안 키가 웹사이트에서 안전하고 보안성이 뛰어나며 편리한 인증 대안인 이유
  • 보안 키를 분실하거나 도난당한 경우 사용자가 계정에 액세스하지 못하는 것을 방지하기 위해 여러 보안 키를 등록하도록 적극 권장합니다.

생태계

이 패턴은 원래 2022년에 게시되었습니다. 패스키 관리 UI: 모든 패스키 유형을 결합하기 위한 모범 사례에 대한 2024 디자인 패턴도 참조해야 합니다.

보안

이 문서에서는 규제 산업(예: 은행 또는 의료) 사용 사례를 기반으로 FIDO 보안 키를 두 번째 요소로 사용하여 다단계 인증(MFA)을 사용하려는 신뢰 당사자 및 구현자를 위한 사용자 경험(UX) 지침과 모범 사례를 제공합니다. 이러한 지침은 FIDO 구현 중 의사 결정을 가속화하고 사용자에게 어떤 정보와 제어를 제공해야 하는지 명시하는 것을 목표로 합니다. 이러한 UX 권장 사항은 모바일 앱이나 모바일 웹보다는 데스크톱/노트북 컴퓨터에서 액세스하는 브라우저 기반 사이트에 최적화되어 있습니다. 그러나 이러한 지침에는 보안 정책이나 계정 복구에 대한 권장 사항은 포함되어 있지 않습니다.

Google
TrusonaTrusona
Yubico

설립 후원사

Learn more about underwriting