FIDO2 WebAuthn
FIDO2 WebAuthn이란?
FIDO2(Fast Identity Online 2)
FIDO2 WebAuthn(Web Authentication)은 비밀번호 없는 인증을 목표로 하는 웹 표준 기술로 피싱, 재생 공격 및 서버 침해 공격에 강한 보안 프레임워크를 제공합니다. 사용자는 PIN, 터치 또는 생체 인식(지문, 얼굴 인식)과 같은 사용자 제스처를 통해 인증을 수행하며, 이는 비밀번호 사용을 최소화하거나 완전히 대��체할 수 있도록 설계되었습니다.
목적
- SHIELD ID에 FIDO2 WebAuthn 기능을 통하여 사용자가 안전하고 간편하게 로그인할 수 있도록 지원합니다.
- 비밀번호 유출 및 피싱과 같은 보안 위협을 방지하고, 인증 절차를 간소화하여 사용자 경험을 개선합니다.
구성 요소
FIDO2는 크게 세 가지 구성 요소로 이루어집니다.
- WebAuthn (Web Authentication API)
- W3C 표준으로 정의된 API로, 웹 브라우저에서 인증 장치를 활용해 사용자를 인증합니다.
- 웹사이트와 사용자의 장치 간 범위가 지정된 공개키 기반 자격 증명을 사용해 보안 수준을 높입니다.
- Authenticator (인증 장치)
- 실제로 사용자의 인증 정보를 저장하고, 서명을 생성하는 장치입니다.
- 생체 인식 장치(지문, 얼굴 인식 등) 또는 하드웨어 보안 키
- Platform Authenticator (플랫폼 인증 장치)
- 스마트폰, 노트북 등 디바이스에 내장된 인증 장치를 의미합니다.
- Roaming Authenticator (이동형 인증 장치)
- USB, NFC, Bluetooth 보안 키와 같은 외부 장치를 의미합니다.
- CTAP (Client To Authenticator Protocol)
- 인증 장치(Authenticator)와 클라이언트(웹 브라우저, OS) 간 통신을 정의하는 프로토콜입니다.
- 보안 키 또는 외부 인증 장치와 브라우저 간의 통신을 담당하는 프로토콜
- CTAP1 : U2F(Universal 2nd Factor) 기반으로, 2단계 인증(2FA)에서 사용되는 초기 프로토콜. 기존 U2F 장치와의 호환성을 제공합니다.
- ✅ CTAP2 : FIDO2의 핵심 요소로, Passwordless 인증 및 다중 인증(MFA)을 지원하며 WebAuthn과 연동되어 사용자가 완전히 비밀번호 없는 환경을 구현 수 있도록 합니다.
주요 기능
- 비밀번호 없는 인증 : 사용자들은 비밀번호 없이 생체 인증, 하드웨어 보안 키, 디바이스 기반 인증을 통해 로그인할 수 있습니다.
- 공개 키 기반 인증 : 사용자 디바이스를 통해 개인 키와 공개 키를 생성하고, 개인 키는 디바이스에 안전하게 보관됩니다.
- 다양한 인증 방식 지원 : 생체 인식, 디바이스 인증, 보안 키 등 다양한 방식으로 사용자 인증이 가능합니다.
작동 방식
- 등록 (Registration)
- 사용자가 FIDO2 인증을 지원하는 웹사이트에 등록합니다.
- 등록 과정에서 사용자는 보안 장치를 통해 공개 키/개인 키 쌍을 생성합니다.
- 범위가 지정된 공개 키 기반 자격 증명은 특정 웹사이트와만 연동되며, 공개 키는 웹사이트에 저장되고 개인 키는 사용자 장치에 안전하게 보관��됩니다.
- 인증 (Authentication)
- 사용자가 웹사이트에 로그인하려고 할 때, 보안 장치를 사용해 인증을 수행합니다.
- 이 과정에서 PIN, 터치 또는 생체 인식과 같은 사용자 제스처를 통해 개인 키 사용이 승인됩니다.
- 인증 성공 시, 보안 장치는 개인 키를 사용해 암호화 서명을 생성하고 이를 웹사이트에 전달해 사용자를 인증합니다.
주요 특징
- 비밀번호 없는 로그인
- 비밀번호 없이 생체 인식이나 하드웨어 키를 통해 로그인이 가능합니다.
- 강력한 다중 요소 인증(MFA) 프레임워크로, 보안성이 높은 인증을 제공합니다.
- 사용 친화적 인증 방식
- 사용자는 PIN, 터치, 생체 인식 등을 통해 간편하게 인증을 수행할 수 있습니다.
- 인증 경험이 직관적이며, 비밀번호보다 사용이 간편합니다.