패스키 접근성

세계보건기구(WHO)는 전 세계 인구의 15%에 해당하는 10억 명 이상이 어떤 형태로든 장애를 안고 살아가고 있다고 추산합니다. 많은 국가에서 장애인(PwD)에 대한 차별을 금지하는 법률을 통해 장애인들이 사회의 모든 영역에 완전하고 평등하게 참여할 수 있도록 지원하고 있습니다. 예를 들어, 193개 유엔 회원국 중 52개국의 헌법은 장애를 이유로 한 평등 또는 차별 금지를 명시적으로 보장하고 있습니다. 디지털 액세스는 교육, 고용, 엔터테인먼트 등 사회의 여러 측면에서 점점 더 중요해지고 있습니다. 이 서비스에 대한 비공개적이고 안전한 액세스를 허용하는 인증도 마찬가지로 중요해졌습니다.

문자 메시지나 이메일을 통해 전달되는 보안 코드는 기술적으로 접근이 가능하지만, 보조 기술을 사용하는 장애인이 코드를 전송하려면 고급 수준의 기술과 지식이 필요한 경우가 많습니다. FIDO 기술은 매우 다양한 장애인 요구 사항을 수용할 수 있는 광범위한 옵션을 지원하므로 이 프로세스를 간소화하고 접근 가능한 인증을 제공하는 데 가장 적합한 위치에 있습니다.

이 섹션에서는 다양한 장애가 있는 사용자가 액세스할 수 있는 FIDO 배포 계획에 대한 지침을 제공하며, 하드웨어 제조사가 더 접근하기 쉬운 외부 인증자를 제공할 수 있는 기회를 파악하는 데 도움을 줍니다.

웹 콘텐츠 접근성 지침(WCAG)

WCAG는 웹의 장기적인 성장을 보장하기 위해 개방형 표준을 개발하는 국제 커뮤니티인 W3C에서 개발한 광범위한 접근성 지침 세트입니다. WCAG는 원래 웹 콘텐츠 표준으로 설계되었지만, 웹이 아닌 제품에도 적합한 지침으로 인정받으며 널리 사용되고 있습니다. WCAG는 규범적이지만, 여러 국가의 많은 의무적 접근성 표준은 WCAG를 직접 참조하거나 WCAG 기준을 반영합니다.

WCAG에는 인증과 관련된 두 가지 섹션이 있습니다.

1. 인증 UI의 WCAG 준수. 제품 경험의 일부인 인증 UI는 제품의 다른 부분과 함께 WCAG를 준수하여 만들어야 합니다. 목표는 인증 UI가 장애인에 적합하고 보조 기술과의 호환성이라는 기본 기준을 충족하도록 하는 것입니다. WCAG 레벨 AA는 종종 완전히 충족되는 적합성 수준입니다. 접근성 설계 및 개발을 지원하는 내부 도구 및 프로세스, 부적합 사항을 식별하고 개선 조치를 제공하는 외부 접근성 감사, 다양한 범위의 장애인과 함께 사용한 사용성 테스트 등 기업은 다양한 방법으로 WCAG 준수를 달성할 수 있습니다.

2. WCAG 3.3.8 접근 가능한 인증 준수. WCAG 버전 2.2 성공 기준 3.3.8에 접근 가능한 인증 지침이 제안되어 있습니다. 지침 내용은 다음과 같습니다. "인지 기능 테스트에 의존하는 인증 프로세스의 각 단계마다 인지 기능 테스트에 의존하지 않는 다른 인증 방법을 하나 이상 사용할 수 있거나 사용자가 인지 기능 테스트를 완료하는 데 도움이 되는 메커니즘을 사용할 수 있어야 합니다." 예외: 인지 기능 테스트가 사용자가 웹사이트에 제공한 사물 또는 콘텐츠를 인식하기 위한 경우.

note

예외에 해당하는 객체와 콘텐츠는 이미지, 텍스트, 비디오 또는 오디오로 표현할 수 있습니다. 메커니즘의 예는 다음과 같습니다.

• 암기 인지 기능 테스트를 해결하기 위한 비밀번호 관리자의 비밀번호 입력 지원
• 복사 및 붙여넣기를 통해 전사 인지 기능 테스트 해결 지원

이 지침의 목적은 사이트별 비밀번호를 기억할 수 있는 대안(인지 기능 테스트)을 마련하기 위한 것입니다. WCAG는 지침을 따르는 방법의 몇 가지 예를 제공하며, 여기에는 FIDO 오퍼링이 포함되어 있습니다.

WCAG 지침을 따르는 방법

• 타사 자격 증명 관리자에 의한 자동 채우기를 허용합니다. 웹사이트는 제대로 표시된 사용자 이름(또는 이메일) 및 비밀번호 필드를 로그인 인증으로 사용합니다. 사용자의 브라우저 또는 통합된 타사 자격 증명 관리자 확장 프로그램은 입력 목적을 식별하여 사용자 이름과 비밀번호를 자동으로 완성할 수 있습니다.
• 비밀번호 붙여넣기를 허용합니다. 웹사이트는 붙여넣기 기능을 차단하지 않습니다. 사용자는 타사 자격 증명 관리자를 사용하여 자격 증명을 저장하고, 복사하고, 로그인 양식에 직접 붙여넣을 수 있습니다.
• WebAuthn을 사용합니다. 웹사이트는 사용자가 사용자 이름/비밀번호 대신 장치를 사용하여 인증할 수 있도록 WebAuthn을 사용합니다. 사용자의 장치는 사용 가능한 모든 방식을 사용할 수 있습니다. 노트북과 휴대폰의 일반적인 방법은 얼굴 스캔, 지문 및 PIN입니다. 웹사이트는 특정 용도를 강제하지 않습니다. 사용자가 자신에게 맞는 방법을 설정한다고 가정합니다.
• OAuth를 사용합니다. 웹사이트는 OAuth 프레임워크를 사용하여 타사 공급자를 통해 로그인하는 기능을 제공합니다.
• 2단계 인증을 사용합니다. 2단계 인증을 요구하는 웹사이트는 2단계 인증에 대해 다음을 포함한 여러 옵션 즉, 사용자가 버튼을 한 번만 눌러 시간 기반 토큰을 입력할 수 있는 USB 기반 방법, 사용자 장치의 앱에서 스캔하여 신원을 확인할 수 있는 QR 코드 표시, 또는 사용자 장치로 전송되는 알림(사용자는 장치의 인증 메커니즘(예: 사용자 정의 PIN, 지문 또는 얼굴 인식)을 작동하여 신원 확인) 등을 허용합니다.

W3C 접근성 태스크포스에서 이를 명확히 밝혔습니다.

• Providing any current FIDO Authentication methods in addition to the username/password mechanism as an alternative will automatically pass 3.3.8 (assuming FIDO Authentication does not rely on cognitive function testing).
• 비밀번호 없는 인증이 제공되는 경우 비밀번호 없는 인증이 인지 기능 테스트에 의존하지 않는 한 WCAG에도 부합합니다.

글로벌 접근성 법률

WCAG는 규범적이지만 다양한 국가의 많은 법률에 WCAG에서 지지하는 것과 유사한 원칙이 통합되었습니다. 다음은 제품의 인증 환경을 포함하여 신뢰 당사자의 제품에 적용될 수 있는 접근성 법률의 전체 목록이 아닌 일부입니다.

• 미국 장애인법(ADA). ADA의 타이틀 III은 미국 내 공공 숙박 시설들을 장애인이 이용할 수 있게 해야 할 것을 요구합니다. ADA는 조건에 따라 물리적 공간에만 적용되지만 법원은 일관성은 없지만 웹사이트, 앱 및 온라인 상점에 ADA를 점점 더 많이 적용해 왔습니다.
• 1973년 재활법의 섹션 504 및 섹션 508. 섹션 504는 미국 연방 정부로부터 재정 지원을 받는 모든 프로그램 또는 활동에서 장애인에 대한 차별을 금지합니다. 섹션 508은 연합 정부에서 개발, 조달, 유지 관리 또는 사용하는 모든 전자 또는 정보 기술이 액세스 가능해야 한다고 규정하고 있습니다. 결과적으로 연합 기관은 일반적으로 기술을 구매하는 회사도 섹션 508을 준수하도록 요구합니다. 이를 위해 회사는 일반적으로 정부 고객에게 각 제품이 접근성을 어떻게 해결하는지 명시하는 접근성 적합성 보고서(ACR)라는 문서를 제공합니다. 또한 섹션 508에 포함되는 기술은 WCAG 규정 준수와 일치합니다.
• 21세기 통신 및 비디오 접근성 법(CVAA). CVAA는 미국 연방통신위원회(FCC)에서 시행하는 법률로, VoIP(Voice over Internet Protocol), 메시징 서비스, 화상 채팅 또는 회의 서비스, 이와 유사한 온라인 통신과 같은 고급 통신 서비스를 제공하는 제품에 적용됩니다.
• 유럽 접근성 법(EAA). EAA는 2019년에 법률이 되었으며, 기업의 비용을 절감하고, 국경 간 거래를 용이하게 하고, 액세스 가능한 제품 및 서비스에 대한 시장 기회를 제공하기 위해 EU 전역의 접근성에 대한 공통 규칙을 도입하기 위해 고안되었습니다.
• 접근 가능한 캐나다 법률 (ACA). ACA는 연합 기관 및 규제 산업(예: 통신 및 금융)이 접근 가능한 정보 기술 및 통신 기술을 조달하고 제공하도록 요구하는 캐나다의 연합 법률이며, 해당 기관은 새로운 보고 요구 사항을 따라야 합니다.
• 일본 산업 표준 (JIS) X 8341-3. JIS X8341-3은 일본에서 공공 및 민간 부문 조직 모두에게 WCAG 준수에 대한 지침을 제공합니다.

접근 가능한 FIDO 인증의 최신 모델

신뢰 당사자의 최신 FIDO 인증 배포는 FIDO의 두 인증 프로토콜인 WebAuthn 모델과 UAF(통합 인증 프레임워크) 모델 모두에 대해 주로 고유한 모델을 따릅니다. WebAuthn과 UAF의 주요 차이점은 인증 방식에 대한 신뢰 당사자의 제어 수준입니다. WebAuthn의 맥락에서 신뢰 당사자는 기술적으로 가능하더라도 방식에 따라 차별할 가능성이 낮으며 그렇게 해서는 안 됩니다. UAF에서는 신뢰 당사자가 최종 사용자가 사용할 수 있는 방식을 정의할 수 있습니다. 접근 가능한 배포와 관련하여 서로 다른 고려 사항이 필요하므로 두 모델을 별도로 논의합니다.

책임 모델 및 접근 가능한 WebAuthn 배포

웹 인증(WebAuthn)은 FIDO2의 핵심 구성 요소이며 W3C에서 게시한 웹 표준입니다. WebAuthn은 공개 키 암호화를 사용하여 웹 기반 애플리케이션 및 서비스에 사용자를 인증하기 위한 표준화된 인터페이스를 제공합니다.

접근 가능한 인증의 웹 인증 표준 모델

접근 가능한 인증 책임의 WebAuthn 모델에는 다음과 같은 세 부류의 당사자가 있습니다.

• 장애가 있는 최종 사용자
• 사용자 에이전트: 보조 기술을 포함하여 신뢰 당사자의 애플리케이션을 검색, 렌더링 및 상호 작용하는 데 도움이 되는 모든 소프트웨어 또는 하드웨어(예: 휴대폰, 브라우저, 화면 판독기 및 기타 마우스 이외의 상호 작용)
• 애플리케이션의 인증 부분을 포함한 신뢰 당사자 애플리케이션

각 당사자는 접근 가능한 인증 경험에 대해 부분적으로 책임이 있습니다.

• 최종 사용자는 자신에게 가장 접근하기 쉬운 사용자 에이전트를 선택합니다. 최종 사용자는 자신이 사용할 수 있는 인증자를 지원하는 사용자 에이전트를 선택해야 할 책임이 있습니다.
• 최종 사용자는 얼굴 인식, 지문 판독기 및 유사한 생체 인식 구성 요소가 함께 제공되는 스마트폰을 구입할 수 있습니다. 최종 사용자는 자신의 접근성 요구 사항 및 선호도에 맞는 장치와 인증 방법을 선택하고 설정할 것으로 예상됩니다.
• 최종 사용자는 시장에서 보안 키를 구입할 수 있습니다. 마찬가지로 최종 사용자는 자신에게 맞는 보안 키를 선택할 것으로 예상됩니다.
• 사용자 에이전트 개발자는 UAAG를 준수하는 사용자 에이전트를 만듭니다. 사용자 에이전트 접근성 지침(UAAG)을 준수함으로써 사용자 에이전트 개발자는 장애인이 사용자 에이전트에 더 쉽게 접근할 수 있도록 하고 보조 기술과 호환되도록 합니다. 이 사용자 에이전트에서 렌더링된 WebAuthn도 접근 가능합니다.

사용자 에이전트 개발자와 W3C WebAuthn 실무 그룹은 사용자 에이전트와 WebAuthn 간의 호환성을 보장합니다.

• WebAuthn은 널리 인정되는 인증 모델이 되었기 때문에 대부분의 인기 사용자 에이전트에서 지원됩니다. 비호환성이 감지되면 신뢰 당사자는 W3C WebAuthn 실무 그룹에 문제를 제기하고 사용자 에이전트 개발자에게 경고하는 것이 좋습니다.
• 신뢰 당사자의 책임
  • 신뢰 당사자는 애플리케이션이 WebAuthn을 지원하는 사용자 에이전트와 호환되는지 확인합니다.
  • 신뢰 당사자는 널리 채택된 접근성 지침(예: WCAG, 섹션 508, EN 301 549)을 실행하여 접근 가능한 하드웨어(ATM, 발권 키오스크), 소프트웨어(웹 페이지, 모바일 앱) 및 교육 자료(텍스트 또는 멀티미디어)를 만듭니다. 신뢰 당사자는 제품이 이러한 표준을 준수하는지 또는 준수하지 않는지 식별하는 완료된 ACR을 생성해야 할 수 있습니다. 전체 사용자 흐름이 가장 광범위한 사용자가 접근할 수 있는지 확인하는 데 도움이 되도록 장애인 및 보조 기술을 사용하는 사람들을 대상으로 하는 종단간 테스트를 통해 인증 프로세스 전후의 상호 작용을 검증하는 것이 좋습니다.
• Relying parties conform to WCAG 3.3.8 by providing at least one method of authentication not relying on cognitive function tests. Supporting WebAuthn automatically meets WCAG 3.3.8 requirements because WebAuthn is a sufficient technique. See WCAG 3.3.8 Accessible Authentication Conformance.
• 최종 사용자에게 직접 하드웨어를 제공하는 경우(예: 회사에서 직원에게 하드웨어를 제공하거나 금융 기관에서 최종 사용자에게 하드웨어를 제공하는 경우) 신뢰 당사자는 최종 사용자가 접근 가능한 인증자를 사용하는 옵션을 선택할 수 있도록 해야 합니다. 사용자가 접근할 수 있는 옵션이 없는 경우 신뢰 당사자는 대체 인증 수단을 제공해야 합니다.
• 신뢰 당사자가 사용자 선택을 요청하는 것이 비실용적인 경우 신뢰 당사자는 "제공되는 경우 생체 인식은 사용자 식별 또는 제어의 유일한 수단이 되어서는 안 됩니다."라고 명시한 섹션 508 조항 403을 준수해야 합니다. 예외: 서로 다른 생물학적 특성을 사용하는 두 개 이상의 생체 인식 옵션이 제공되는 경우 ICT는 생체 인식을 사용자 식별 또는 제어의 유일한 수단으로 사용할 수 있습니다."

책임 모델 및 접근 가능한 UAF 배포

FIDO UAF 프로토콜을 사용하면 온라인 서비스에서 암호가 필요 없는 다단계 보안을 제공할 수 있습니다. 사용자는 손가락 스와이프, 카메라 보기, 마이크에 대고 말하기 또는 PIN 입력과 같은 로컬 인증 메커니즘을 선택하여 장치를 온라인 서비스에 등록합니다.

UAF 프로토콜을 사용하면 서비스에서 사용자가 선택할 수 있도록 표시되는 인증자를 선택할 수 있으며, 이는 이 모델과 WebAuthn 모델의 주요 차이점입니다. 등록되면 사용자는 서비스에 인증해야 할 때마다 로컬 인증 작업을 반복하기만 하면 됩니다. 사용자는 해당 장치에서 인증할 때 더 이상 암호를 입력할 필요가 없습니다. UAF를 사용하면 지문 + PIN과 같이 여러 인증 메커니즘을 결합할 수도 있습니다.

접근 가능한 인증의 UAF 모델

접근 가능한 UAF 배포를 위해 신뢰 당사자는 UAF 정책 관리에 대해 다음 권장 사항을 따라야 합니다.

1. 모바일 앱은 항상 휴대폰 잠금 해제 인증을 옵션으로 허용해야 합니다. a. WebAuthn은 휴대폰 잠금 해제 인증을 지원합니다. UAF는 보다 유연한 모델이며 대체 방법으로 휴대폰 잠금 해제 방식을 지원해야 합니다. WebAuthn 논의에서 이전에 언급했듯이, 최종 사용자는 사용할 수 있는 인증자를 지원하는 사용자 에이전트를 선택해야 할 책임이 있습니다.
2. 모바일 앱은 가능한 한 자동 인증을 허용해야 합니다. 수동 또는 보이지 않는 인증이라고도 하는 자동 인증은 사용자가 적극적으로 자격 증명을 제공하거나 어떠한 작업을 수행할 필요 없이 백그라운드에서 이뤄집니다. 대신 쿠키, 장치 지문 또는 생체 인식 데이터와 같은 이전에 설정된 인증 요소를 사용하여 사용자의 신원을 확인합니다. a. 스마트폰 및 스마트워치의 자동 인증은 표준화된 FIDO 프로토콜을 사용하여 강력한(피싱 방지) 소유 요소 인증을 제공합니다. 이 기술을 통해 모바일 네이티브 애플리케이션은 장치를 신뢰하여 사용자를 인증할 수 있습니다. 일부 정보는 추가 작업 없이 사용자가 사용할 수 있습니다(예: 사용자의 장치에 계좌 잔액 표시). b. 신뢰 당사자는 장애인을 포함한 모든 사람에게 더 원활한 UX를 제공하므로 자동 인증을 활용하는 것이 좋습니다. 그러나 자동 인증은 장애인에게 더 접근성이 좋지만 덜 안전한 옵션으로 제공되어서는 안 됩니다. 대신 모든 사용자가 동등하게 액세스할 수 있고 동등하게 안전한 옵션이어야 합니다.
3. 휴대폰 잠금 해제 인증은 덜 안전한 방식을 위한 대안/대체 수단으로 허용되어야 합니다.
4. 모바일 앱에 하나의 생체 인식 인증이 필요한 경우 모바일 앱은 서로 다른 생리적 특성을 요구하는 두 개 이상의 생체 인식 옵션을 제공해야 합니다. a. 예: 음성 인증이 필요한 경우 모바일 앱은 사용자가 얼굴 인식 또는 지문과 같이 음성이 필요하지 않은 다른 생체 인식 옵션을 통해 인증할 수 있도록 허용해야 합니다.
5. 모바일 앱에 둘 이상의(N) 생체 인식 인증 방식이 필요한 경우 모바일 앱은 서로 다른 생리적 특성을 요구하는 N+1개 이상의 생체 인식 옵션을 제공해야 합니다.

note

4번째와 5번째 항목은 사용자 지정 인증자를 로드하는 옵션을 제공하여 구현할 수 있습니다.

서비스에서 인증자를 선택할 수 있도록 UAF 프로토콜을 사용하는 모바일 앱 인증(예)

장애와 관련된 FIDO 인증의 고유한 측면

각 FIDO 인증 기능은 특정 유형의 장애가 있는 사용자에게 장벽이 될 수 있습니다. 신뢰 당사자를 위한 장애인을 위한 FIDO 인증의 고유한 측면 매핑은 각 인증 방식이 야기할 수 있는 잠재적 장벽을 이해하는 데 도움이 됩니다. 신뢰 당사자는 이 매핑을 사용하여 가능한 한 많은 사용자가 액세스할 수 있는 방식 제공을 식별할 수 있습니다. 이는 가이드이며 고려 사항에 대한 전체 목록이 아닙니다.

FIDO 인증과 관련된 장애

장애는 매우 다양합니다. FIDO 인증에 대한 논의를 간략하게 하기 위해 인증과 가장 관련성이 높은 것으로 보이는 다음 다섯 가지 유형의 장애를 언급합니다.

1. 시각: 실명, 저시력, 시야 손실, 색맹 또는 홍채 손실
2. 청각: 심각한 난청, 소리 불분명, 한쪽 귀로만 들림 또는 청각을 방해하는 기타 소리
3. 신체적: 사지 상실, 손가락 상실, 힘의 제한 또는 쇠약, 손의 제한, 떨림 또는 마비, 지문 상실 또는 얼굴 특징 상실
4. 언어: 언어 손실, 충분히 크게 말하는 데 어려움 또는 이해 곤란
5. 인지 및 학습: 읽기 곤란(난독증), 쓰기 곤란, 기억력 저하, 낮은 문해력, 낮은 디지털 문해력 또는 추론 능력 저하

FIDO 인증 기능

사용자 경험 관점에서 FIDO 인증은 사용자 상호 작용별로 분류할 수 있습니다.

• 터치
  • 사용자 존재 확인을 위한 터치 보안 키
• 입력
  • 클라이언트 PIN 또는 화면 잠금 해제 PIN 입력
• 스캔
  • 지문 스캔
  • 정맥 스캔
  • 홍채 스캔(카메라 응시)
  • 얼굴 스캔
• 말하기
  • 음성 인식
• 이동
  • USB 포트에 보안 키 삽입
  • 스마트폰으로 NFC를 통해 보안 키 스캔
  • 화면에 패턴을 그려 스마트폰 잠금 해제
  • 작동을 위한 버튼 활성화
  • 작업을 선택하기 위해 화면 터치
  • 작업을 선택하기 위해 마우스 또는 대체 입력 장치 사용
  • 장치 페어링을 위한 QR 코드 스캔
• 읽기
  • 화면의 지침
• 타이머
  • 제한된 시간 내에 인증 완료

FIDO 인증의 잠재적 접근 장벽

이 섹션에서는 각 사용자 상호 작용에 대한 장애인의 어려움을 요약합니다. FIDO 인증을 배포하는 신뢰 당사자는 이러한 어려움을 이해해야 합니다. FIDO 인증 방법과 장애 간의 매핑은 장애인들을 위한 FIDO 인증의 고유한 측면: 잠재적 문제 표 또는 표의 내러티브 버전에서 찾을 수 있습니다.

• 터치
  • 신체 장애가 있는 사람들은 특히 작은 키 또는 작고 오목한 활성 터치 영역이 있는 키의 경우 보안 키에 접근하거나 정확하게 대상을 지정하는 데 어려움을 겪을 수 있습니다.
• 입력
  • 사용자 이름과 패스워드를 기억하거나 (수동으로 입력)하는 것은 특정 인지 장애가 있는 사람과 보조 기술을 사용하는 사람에게 부담이 될 수 있습니다.
  • WCAG 규정을 충족하는 패스워드 인터페이스를 구현하면 모바일 장치나 웹 페이지에서 패스워드를 입력하는 프로세스의 접근성을 높일 수 있습니다.
• 스캔
  • 생리적 특성을 스캔하면 이러한 생리적 특성이 없는 사람들에게 장벽이 될 수 있습니다. 예를 들어, 손가락 절단이나 선천성 지문 결손(지문 발달을 막는 유전 질환)이 있는 사람은 지문 인증을 사용하지 못할 수 있습니다. 피부가 지나치게 건조한 사람도 지문 스캔에 실패할 가능성이 높습니다. 일부 시각 장애인은 눈을 뜨고 있어야 하거나 카메라를 봐야 하는 홍채 인식이나 얼굴 인식을 사용하지 못할 수 있습니다.
  • 시각 장애가 있는 사용자는 스캐너를 찾고 스마트폰으로 NFC를 통해 보안 키를 스캔하는 데 어려움을 겪을 수도 있습니다.
• 말하기
  • 음성 인식은 언어 장애가 있는 사람들에게는 잘 작동하지 않을 수 있습니다. 구어체 의사소통을 사용하지 않는 일부 청각 장애인과 난청인은 음성 인식을 사용하지 못할 수도 있습니다.
• 이동
  • 신체 장애가 있는 사람들은 USB 포트에 보안 키를 삽입하거나, 스마트폰에서 보안 키를 스캔하거나, 스마트폰에 패턴을 그리는 데 어려움을 겪을 수 있습니다.
  • 특정 인지 장애가 있는 사람들은 터치스크린에서 수행할 패턴 제스처를 기억하는 데 어려움을 겪을 수 있습니다.
  • QR 코드 스캔은 시각 장애가 있는 사용자에게 어려울 수 있습니다. 이러한 사용자는 QR 코드를 찾고 코드를 스캔하기 위해 카메라를 배치하는 데 어려움을 겪을 수 있습니다. QR 코드는 신체 장애가 있는 사람들에게도 어려울 수 있습니다. 카메라를 들고 있어야 할 뿐만 아니라 카메라를 안정적으로 고정해야 하기 때문입니다.
• 읽기
  • 특정 학습 장애가 있는 사람, 문해력이 낮거나 디지털 문해력이 낮은 사람 또는 기억력 문제가 있는 사람은 인증에 대한 지침을 이해하기 어려울 수 있습니다. WCAG 인지 접근성 지침을 따르면 지침을 보다 쉽게 이해할 수 있습니다.
• 타이머
  • 일부 장애인은 인증을 완료하는 데 더 많은 시간을 필요로 할 수 있습니다. 물리적으로 응답하는 데 시간이 오래 걸리거나, 읽는 데 시간이 오래 걸리거나, 시력이 낮아서 찾거나 읽는 데 시간이 오래 걸리거나, 시간이 더 걸리는 보조 기술을 통해 콘텐츠에 액세스하는 경우가 있습니다. WCAG는 사용자에게 콘텐츠를 읽고 사용할 수 있는 충분한 시간을 제공하는 것에 대한 지침 세트를 제공합니다. 시간 제한이 필수적이고 시간 제한을 연장하면 인증이 무효화되는 경우를 제외하고 신뢰 당사자는 사용자가 시간 제한을 해제, 조정 또는 연장하도록 허용할 수 있습니다. 자세한 내용은 WCAG 성공 기준 2.2.1 시간 조정 가능을 참조하십시오.

장애인을 위한 FIDO 인증의 고유한 측면: 잠재적인 문제

사용자 제스처 동작	FIDO 기능 예	시각 장애로 인해 장벽에 직면할 가능성	청각 장애로 인해 장벽에 직면할 가능성	언어 장애로 인해 장벽에 직면할 가능성	신체 장애로 인해 장벽에 직면할 가능성	인지 및 학습 장애로 인해 장벽에 직면할 가능성
터치	사용자 존재 확인을 위한 터치 보안 키	낮음	낮음	낮음	높음	낮음
	스마트폰 잠금을 해제하기 위해 화면에 패턴 그리기	낮음	낮음	낮음	높음	높음
입력	클라이언트 PIN 입력	낮음	낮음	낮음	낮음	높음
	화면 잠금 해제 PIN 입력	낮음	낮음	낮음	낮음	높음
스캔	스캐너의 지문	낮음	낮음	낮음	높음	낮음
	정맥	낮음	낮음	낮음	높음	낮음
	홍채(카메라 응시)	높음	낮음	낮음	낮음	낮음
	얼굴(카메라)	높음	낮음	낮음	낮음	낮음
	QR 코드(caBLE) 화면 및 카메라	높음	낮음	낮음	높음	높음
말하기	화자 인식	낮음	높음	높음	낮음	낮음
이동	USB 포트에 보안 키 삽입	낮음	낮음	낮음	높음	낮음
	스마트폰으로 NFC를 통해 보안 키 스캔	높음	낮음	낮음	높음	낮음
	작업을 위해 버튼 클릭	낮음	낮음	낮음	높음	낮음
	작업을 선택하기 위해 화면 터치	낮음	낮음	낮음	높음	낮음
	마우스를 사용하여 작업 선택	높음	낮음	낮음	높음	낮음
읽기	화면의 지침	낮음	낮음	낮음	낮음	높음
타이머	등록, 기기 등록 또는 인증에 대한 시간 제한	높음	낮음	낮음	높음	높음

"장애인을 위한 FIDO 인증의 고유한 측면" 테이블에 대한 서술적 설명

표 1은 인증 흐름과 관련된 특정 제스처가 장애 유형별로 사람들에게 더 많거나 적은 장벽을 제기할 가능성이 있는지 설명합니다. 다음은 표에 대한 설명입니다.

시각 장애가 있는 사람들은 홍채 스캔, 얼굴 스캔, QR 코드(caBLE) 화면 및 카메라 스캔, 스마트폰으로 NFC를 통해 보안 키 스캔, 마우스를 사용한 작업 선택, 시간 제한이 설정된 등록, 기기 등록 또는 인증에서 어려움을 겪을 가능성이 더 높습니다.

시각 장애가 있는 사용자는 사용자 존재 확인을 위해 보안 키를 만지거나, 스마트폰 잠금을 해제하기 위해 화면에 패턴을 그리거나, 클라이언트 PIN, 지문 또는 정맥 스캔, 음성 인식, USB 포트에 보안 키 삽입, 작업을 위한 버튼 선택, 작업을 선택하기 위해 화면 터치, 화면 지침 따르기와 같은 문제가 발생할 가능성이 더 낮습니다.

청각, 언어 및 언어 장애가 있는 사용자는 음성 인식에 더 많은 어려움을 겪을 수 있습니다. 이전에 나열된 모든 사용자 제스처 예시에서 어려움을 겪을 가능성은 더 낮습니다.

신체 장애가 있는 사용자는 사용자 존재 확인을 위해 보안 키를 만지거나, 스마트폰 잠금을 해제하기 위해 화면에 패턴을 그리거나, 지문 또는 정맥 스캔, QR 코드(caBLE) 화면 및 카메라 스캔, USB 포트에 보안 키 삽입, 스마트폰으로 NFC를 통해 보안 키 스캔, 작업을 위한 버튼 선택, 작업 선택을 위한 화면 터치, 작업 선택을 위한 마우스 사용, 시간 제한이 설정된 등록, 기기 등록 또는 인증에서 어려움을 겪을 가능성이 더 높습니다.

신체 장애가 있는 사용자는 클라이언트 PIN 또는 화면 잠금 해제 PIN 입력, 홍채 또는 얼굴 스캔, 음성 인식, 화면 지침 따르기에서 어려움을 겪을 가능성이 더 낮습니다.

인식 및 학습 장애가 있는 사용자는 스마트폰 잠금을 해제하기 위해 화면에 패턴을 그리거나, 클라이언트 PIN 또는 화면 잠금 해제 PIN을 입력하거나, QR 코드(caBLE) 화면 및 카메라를 스캔하거나, 화면 지침을 따르거나, 시간 제한이 설정된 등록, 기기 등록 또는 인증에서 어려움을 겪을 가능성이 더 높습니다.

인식 및 학습 장애가 있는 사용자는 사용자 존재 확인을 위해 보안 키를 만지거나, 지문, 정맥, 홍채 또는 얼굴 스캔, 음성 인식, USB 포트에 보안 키 삽입, 스마트폰으로 NFC를 통해 보안 키 스캔, 작업을 위한 버튼 선택, 화면 터치 또는 마우스 사용에서 어려움을 겪을 가능성이 더 낮습니다.

테이블 끝.

접근성 감사

이 섹션에서는 제한된 범위로 구현된 패스키 배포에 대한 화면 판독기 감사를 기반으로 패스키 접근성과 관련된 결과를 공유합니다. 이는 정보 제공 목적으로만 제공됩니다. 서비스 제공자는 궁극적으로 World Wide Web 컨소시엄(W3C)에서 개발한 허용되는 글로벌 표준인 웹 콘텐츠 접근성 지침(https://www.w3.org/WAI/standards-guidelines/)에 따라 패스키 배포가 액세스 가능하도록 해야 합니다.

범위

라이브 패스키 배포에 대한 화면 판독기 감사는 다음 OS/브라우저/화면 판독기 조합으로 수행되었습니다.

• Windows/Chrome/Jaws
• Windows/Chrome/NVDA
• Windows/Edge/Jaws
• Windows/Edge/NVDA
• Mac/Safari/VoiceOver
• Mac/Chrome/VoiceOver
• iPhone/Chrome/VoiceOver
• iPhone/Safari/VoiceOver

주요 결과

1. 패스키 등록 및 로그인 절차는 일관되게 액세스할 수 있었습니다.

• 다양한 OS/브라우저/스크린 리더 조합과 패스키 생성 및 사용으로 시각 장애인의 사용 환경이 개선되었습니다. 이 절차는 대부분 플랫폼에서 관리했습니다.

2. 접근성 결함은 패스키 절차 전후에 흔히 발생했습니다.

• 여러 라이브 패스키 배포에 대한 감사 결과, 서비스 제공업체의 사이트 전반에서 접근성 결함이 공통적으로 발견되었습니다. 이는 WebAIM의 상위 1,000,000개 홈페이지에 대한 2023년 접근성 보고서에 보고된 디지털 접근성 상태에 대한 업계 결과와 일치합니다.

3. 자동 완성 및 QR 코드는 접근성 장벽을 만듭니다.

• 테스트된 라이브 배포에서 자동 완성이 일관되지 않게 구현되어 화면 판독기 사용자에게 일관되지 않은 경험을 제공했습니다. 구현은 화면 판독기 사용자에게 아래쪽 화살표 키를 사용하여 탐색할 수 있는 콘텐츠가 있음을 알리기 위해 팝업 있음을 알려 화면 판독기를 지원해야 합니다. 일부 사이트는 HTML 입력 필드에 기본 HTML 자동 완성 속성을 사용했고 다른 사이트는 ARIA(액세스 가능한 풍부한 인터넷 애플리케이션 제품군)가 포함된 사용자 지정 입력 필드를 사용했으며, 화면 판독기와 같은 보조 기술을 위해 사용자 상호 작용을 액세스 가능하도록 코드에 특수 속성을 추가했지만 종종 잘못 구현되었습니다. 이제 많은 브라우저에서 입력 필드에 들어갈 때 팝업 있음을 알리는 기본 HTML 자동 완성 속성을 지원하므로 추가 ARIA가 필요하지 않습니다. QR 코드는 이동성 제한이 있거나 시각 제한이 있는 개인에게 장벽을 만듭니다. 자세한 내용은 백서 장애인 사용자가 액세스 가능한 FIDO 배포를 위한 지침을 참조하십시오. 라이브 패스키 배포에 대한 화면 판독기 데모를 포함한 접근성 결과 개요는 비디오 프레젠테이션 패스키 접근성을 위한 기반을 참조하십시오.

또한 웨비나: 장애가 있는 사용자가 액세스할 수 있는 FIDO 배포 만들기에서 FIDO Alliance 이사회 회원사인 Meta 및 VMware의 접근성 전문가가 다양한 장애가 있는 사용자가 FIDO 배포에 액세스할 수 있도록 하는 방법에 대해 설명하는 내용을 참조할 수 있습니다.