FIDO AllianceFIDO Alliance
FIDO AlliancePasskey CentralAuthenticate Conference
Skip to main content

패스키 작동 방식

FIDO의 사용자 인증 표준은 공개 키 암호화 기술을 활용하여 사용자가 패스키로 로그인할 수 있도록 사용자 친화적이고 피싱 방지 인증을 제공합니다.

다음 동영상에서는 실제로 작동하는 패스키를 보여줍니다.

온라인 서비스에 패스키 등록

먼저 사용자는 온라인 서비스에 패스키를 등록합니다. 등록 시작은 일반적으로 로그인 설정 페이지(사용자가 직접 찾음)에서 또는 사용자에게 설정을 홍보하는 방식(예: 로그인 중에 온라인 서비스에서 사용자에게 하는 클릭 유도 문구)을 통해 이루어집니다.

패스키 등록 프로세스는 일반적으로 사용자가 기존 인증 방법을 사용하여 온라인 서비스 계정에 로그인한 후에 발생합니다. 사용자는 메시지가 표시되면 기기를 잠금 해제하여 패스키 생성을 승인합니다. 패스키는 사용자의 비밀번호 관리자(자격 증명 관리자라고도 함)에 저장됩니다. 사용자가 비밀번호 관리자를 설치하지 않은 경우 운영 체제와 함께 제공되는 기본 비밀번호 관리자가 사용됩니다. 사용자가 보안 키(하드웨어 기기)를 사용하도록 선택한 경우 패스키는 기기의 비밀번호 관리자가 아닌 보안 키에 저장됩니다.

패스키는 여러 기기에서 동기화하거나 자격 증명 관리자 또는 보안 키에 저장할 수 있습니다.

패스키로 온라인 서비스에 로그인

사용자가 온라인 서비스에 로그인하려고 하면 사용할 계정을 선택하라는 메시지가 표시된 다음 생체 인식 또는 로컬 PIN을 사용하여 기기(또는 보안 키)를 잠금 해제하라는 메시지가 표시됩니다. 사용자가 인증되면 온라인 계정에 로그인됩니다. 브라우저, 운영 체제 및 비밀번호 관리자(또는 보안 키)가 함께 작동하여 매끄럽게 진행할 수 있습니다.

기술 개요

등록 단계에서 비밀번호 관리자(또는 보안 키)는 해당 온라인 서비스의 특정 계정에 고유한 암호화 키 쌍을 만듭니다. 비밀번호 관리자(또는 보안 키)는 개인 키를 보관하고 공개 키는 온라인 서비스에 등록됩니다.

사용자가 온라인 서비스에 로그인하려고 하면 서버에서 사용자의 기기로 임의의 도전을 보냅니다. 비밀번호 관리자(또는 보안 키)는 사용자가 기기 잠금을 해제하여 로그인을 승인했는지 확인한 후 해당 개인 키를 사용하여 이 도전에 서명합니다. 서명은 기록된 공개 키에 대해 서명의 유효성을 검사하는 서버로 반환됩니다.

사용자가 새 기기에 비밀번호 관리자를 설치하면 개인 키가 새 기기와 동기화됩니다. 이렇게 하면 사용자가 새 기기에서 온라인 서비스에 로그인할 수 있습니다.

사용자가 보안 키를 사용하여 패스키를 저장하는 경우 개인 키는 동기화되지 않고 해당 특정 보안 키 기기에 남습니다. 새 기기에서 보안 키를 사용하려면 사용자가 새 기기에 보안 키를 탭하거나 연결할 수 있습니다.

패스키는 설계상 안전합니다

패스키는 설계상 등록된 사이트에만 제공됩니다. 사용자가 실수로 공격자의 사이트에 입력할 방법이 없습니다. 또한 온라인 서비스에는 공격자가 서버에서 훔쳐서 비밀번호를 알아내기 위해 크래킹할 수 있는 비밀번호 해시에 해당하는 것이 없습니다. 온라인 서비스에는 공개 키만 있으며 암호학의 수학적 계산에 따라 공개 키에서 개인 키를 추출하는 것은 계산적으로 불가능합니다.

패스키는 설계상 비공개입니다

고유한 패스키가 각 도메인 및 계정에 대해 생성됩니다. 따라서 여러 온라인 서비스가 협력하여 사용자를 추적할 수 있는 방법은 없습니다. 기기 잠금 해제(생체 인식 또는 PIN 사용)는 로컬로 유지됩니다. 온라인 서비스는 사용자 기기의 공개 키와 서명만 볼 수 있습니다. 개인이 개인 키를 사용할 수 있도록 비밀번호 관리자는 운영 체제에서 제공하는 API를 사용하여 기기 운영 체제에서 이미 수년 동안 제공해 온 친숙하고 설계상 비공개인 기기 잠금 해제를 직접 활용합니다.

온라인 서비스에 패스키 등록

다음 단계에서는 사용자가 온라인 서비스 계정에 패스키를 등록하는 프로세스를 간략하게 설명합니다.

  1. 사용자가 앱 또는 웹사이트에 액세스합니다.
  2. 사용자는 온라인 서비스에서 패스키를 생성하라는 메시지를 받거나 계정 설정에서 패스키 생성을 시작합니다.
  3. 사용자는 기기를 사용하여 생체 인식, 로컬 PIN 또는 FIDO 보안 키 터치와 같은 로컬 인증 방법을 통해 패스키 생성을 확인합니다.
  4. 사용자의 기기에서 로컬 기기, 온라인 서비스 및 사용자 계정에 고유한 새 공개/개인 키 쌍(패스키)을 만듭니다.
  5. 공개 키가 온라인 서비스로 전송되고 사용자 계정과 연결됩니다. 로컬 인증 방법(예: 생체 인식 측정값 또는 템플릿)에 대한 정보는 로컬 기기에서 벗어나지 않습니다.

다음 로그인에 패스키 사용

  1. 사용자는 클라이언트 기기에서 패스키로 로그인하라는 메시지를 받습니다.
  2. 여러 계정이 있는 사용자는 사용할 계정을 선택하라는 메시지가 표시됩니다.
  3. 사용자는 생체 인식, 로컬 PIN을 사용하거나 FIDO 보안 키를 터치하여 로컬 인증 방법을 완료하라는 메시지를 받습니다.
  4. 클라이언트 기기는 서명된 도전을 서비스로 다시 보내고 서비스는 저장된 공개 키로 확인한 후 사용자를 로그인시킵니다.
Google
TrusonaTrusona
Yubico

설립 후원사

Learn more about underwriting