차례:
비디오: í´ë¼ë¼ì¤ì -ì¡ì í¼ì¦ê²ì (십월 2024)
2012 년 Wired 의 Matt Honan은 전체 디지털 라이프를 일련의 문자, 숫자 및 기호로 묶는 비극적 인 결과에 대해 썼습니다. 호난은 해커들이 자신의 암호를 발견 한 후 온라인 계정을 가로채는 수많은 사람들 중 하나 일뿐입니다. 피해자 목록에는 Mark Zuckerberg를 포함한 유명 기술 임원도 포함되어 있습니다.
그러나 암호는 온라인 계정을 보호하는 주요 방법입니다.
인증 공간에는 적은 혁신이 없었습니다. 2016 년에, 나는 암호에 대한 안전하고 사용하기 쉬운 대안을 제공하는 인증 기술에 대해 썼습니다. 그러나 최근까지 어느 누구도 대량 채택을하지 못했습니다.
그러나 이제 온라인 응용 프로그램에서 암호없는 인증 방법을 쉽게 구현하도록 장려하는 일련의 규정과 개방형 표준 덕분에 길고 복잡한 암호를 버릴 수 있기를 희망합니다.
비밀번호없는 인증을 방지하는 것은 무엇입니까?
Yubikey 5 NFC와 같은 물리적 보안 키를 제조하는 Yubico의 CEO이자 창립자 인 Stina Ehrensvard는“우리의 일상 생활에 필요한 수많은 암호가 부담이되어 재사용 및 취약한 정적 자격 증명이 너무 많이 보이는 이유가 있습니다.. "우리는 최고 수준의 보안을 추가하면서 로그인 프로세스를 단순화하는 방식으로이 문제를 해결하는 방법에 대해 생각할 필요가있었습니다. 지금까지 두 가지를 성공적으로 수행 할 수있는 방법은 없었습니다."
암호를 계속 사용하는 조직에서는 암호의 취약점이 손실되지 않습니다. 그러나 대안을 고려하기 전에 기술의 보안, 유용성, 가용성 및 비용을 고려해야합니다.
"우리가 이전에 암호를보다 안정적인 것으로 대체하지 않은 이유는 보안 또는 유용성에 더 좋았을 수있는 모든 대안이 모든 형태와 크기의 인터넷 연결 장치에 보편적으로 이용 가능하지 않았거나 비용이 들지 않았기 때문입니다. 인증 표준을 개발하는 컨소시엄 인 FIDO Alliance의 이사 인 Brett McDowell은 이렇게 말합니다.
또한 암호 입력은 새로운 웹 사이트 및 모바일 앱에서 구현하는 가장 저렴하고 쉬운 인증 기술입니다. 생체 인증 기술과 같은 대안이 모바일 장치에서 더 널리 사용 가능해졌지만 암호 입력은 모든 장치가 지원하는 유비쿼터스 기능으로 남아 있습니다. 이를 제거하면 많은 사용자가 해당 서비스에 액세스하지 못하게됩니다.
표준이 없기 때문에 암호에서 멀어지기가 어렵습니다. 클라이언트 응용 프로그램 및 백엔드 서버에서 수십 가지 인증 기술에 대한 지원을 추가하는 데 드는 오버 헤드 비용은 대부분의 조직이 견딜 수 없었습니다.
물론 항상 인적 요소가 있습니다. Alex는 "일부 회사와 개인은 사이버 공격의 영향을받지 않으며 사이버 범죄자에게는 관심이 없다고 계속 믿고 있습니다. 기존 솔루션을 변경하려는 욕구와 자원이 부족하여 새로운 암호없는 인증 솔루션의 채택을 방해하고 있습니다"라고 Alex는 말합니다. 분산 인증 시스템을 개발하는 스타트 업인 REMME의 Momot CEO.
연준은 노크 온다
최근 몇 년 동안, 특히 정부 기관 및 규제 기관 사이에서 사용자의 온라인 보안 및 개인 정보 보호에 대한 인식이 증가했습니다. 이전에는 조직에서 법적, 재정적 결과가 거의없이 데이터 유출 및 보안 사고를 막을 수 있었지만 이제는 더 이상 그렇지 않습니다.
McDowell은“레귤레이터는 다른 사람과 마찬가지로 데이터 침해 헤드 라인에 지쳤으며 조치를 취하기 시작하면서 더 많은 기업이 데이터 보호 관행에 강력한 인증을 추가하게되었습니다.
가장 관련성이 높은 규제 조치 중에는 회사가 사용자 데이터를 수집, 처리 및 보호하는 방법을 정의하는 규칙 세트 인 GDPR (General Data Protection Regulation)이 있습니다. GDPR은 또한 강력한 사용자 인증 표준을 정의합니다. 규칙을 준수하지 않고 고객의 데이터를 보호하지 못하는 회사는 엄중 한 벌금을 물게됩니다. GDPR은 EU 관할권에만 적용되지만 EU에 기반을 두지 않은 많은 회사들이 여전히이 지역에서 사업을하고 있기 때문에 보안의 황금 표준으로 간주됩니다.
"더 많은 회사가 강력한 인증을 채택하고 있고 암호 손상으로 인해 더 많은 데이터 유출이 발생하는 경우, 기업이 GDPR 규제 기관에 암호 전용 인증을 요구하는 것이 점점 어려워지고 있습니다. 맥도웰은“암호에서 진정한 강력한 인증으로 전환하는 것보다 훨씬 비싼 벌금에 회사를 노출시킬 수있는 적절한 보안”이라고 말했다.
다른 산업별 규정은 인증 기술 사용에 대해보다 명시 적입니다. 유럽의 전자 상거래 및 온라인 금융 서비스를 규제하고 2 단계 인증 (2FA)을 의무화하는 PSD2 (Payments Services Directive 2)가 그 예입니다. PSD2는 또한 보안 카드, 모바일 장치 및 생체 인식 스캐너를 사용하여 보안을 손상시키지 않으면 서 사용자 경험을 향상시킬 것을 권장합니다.
또한 다양한 산업의 기준을 정의하는 NIST (National Institute of Standards and Technology)는 조직이 암호 및 일회용 암호에서 벗어나 현대식 강력한 인증을 채택해야한다는 디지털 ID 지침에 설명되어 있습니다.
McDowell은 "특히 NIST는 최신 장치가 암호화 개인 키를 새 계정 자격 증명으로 만들고 사용하고 대부분의 스마트 폰이 지문 데이터를 안전하게 저장하는 것과 같은 방식으로 개인 장치에 안전하게 저장하는 인증을 권장합니다"라고 McDowell은 말합니다.
정부 규제가 혁신을 방해하거나 장려 할 것인지에 대한 논쟁이 있습니다. 그러나이 시점에서보다 안전한 인증 메커니즘을 채택하기위한 규제 추진이 필요할 수 있습니다.
Ehrensvard는“정부는 공개 표준 채택에 중요한 역할을 할 수 있습니다. "예를 들어 안전 벨트를 보아라. 공개 표준이기도하고 정부에서 그 사용을 규제했다. 이로 인해 오늘날 도로에 10 배 더 많은 자동차가 있지만 총 치명적인 자동차 사고는 적다."
같은 페이지에
암호 전용 인증의 광범위한 대체에는 규정 이상의 것이 필요합니다. 표준 프로토콜이 없으면 조직과 회사는 보안 규정을 준수하면서 사용자가 응용 프로그램을 사용할 수 있도록하는 인증 기술을 찾는 데 어려움을 겪게됩니다.
그것은 FIDO가 해결하도록 설정된 문제였습니다. FIDO 인증은 W3C (World Wide Web Consortium)와의 협력을 통해 개발 된 무료 개방형 기술 표준을 기반으로합니다. 그 목적은 전체 소비자 전자 산업이 해당 기술을 제품 및 플랫폼에 통합 할 수 있도록함으로써 장치와 서비스 간의 상호 운용성을 만드는 것입니다.
FIDO는 암호를 공개 키 암호화로 대체합니다. 즉, 비밀번호 대신 사용자는 공개 키와 개인 키 쌍으로 식별됩니다. 공개 키로 암호화 된 모든 것은 해당 개인 키로 만 해독 할 수 있습니다. 사용자가 FIDO 인증을 지원하는 온라인 서비스에 가입하면 서비스가 키 페어를 생성하고 공개 키를 서버에 저장합니다. 개인 키는 사용자의 장치에만 저장됩니다. 로그인하면 클라이언트 응용 프로그램에 공개 키로 생성 된 암호화 문제가 표시되며 개인 키로 만 해결할 수 있습니다. 개인 키를 잠금 해제하고 문제를 해결하려면 사용자는 자신의 장치로 지문, 얼굴 또는 PIN을 통해 자신의 신원을 확인해야합니다.
이 모델의 장점은 암호 저장 및 교환없이 멀티 팩터 인증을 제공한다는 것입니다. 해커가 서비스 제공 업체의 서버를 위반하더라도 공개 키에만 액세스 할 수 있습니다. 공개 키는 사용자 장치에 저장된 해당 개인 키가 없으면 쓸모가 없습니다. 해커가 사용자의 기기를 훔친 경우에도 개인 키를 얻기 위해 로컬 신원 확인을 우회해야합니다. 이는 사용자 관점에서 볼 때 각 계정마다 길고 복잡한 암호를 기억할 필요가없고 우수한 보안을 제공합니다.
그러나 FIDO의 큰 성과는 기술 산업의 광범위한 지원을 받고 있습니다. 동맹은 Google, Microsoft, Amazon 및 Intel과 같은 큰 이름을 모아 다양한 장치 유형 및 운영 체제에서 구현하기 쉬운 표준을 개발했습니다.
"FIDO Alliance를 구성하기 위해 함께 모인 기업들은 온라인 인증을위한 비밀번호를 대체하는 것은 자유롭고 개방 된 기술 표준, 매우 우수한 사용자 경험 및 근본적으로 다른 보안 모델 접근 방식을 통해 상업적으로 만 실용화 될 수 있다는 것을 이해했습니다. "라고 맥도웰은 말합니다.
FIDO는 최근 브라우저 및 광범위한 응용 프로그램 프레임 워크에 공개 키 인증에 대한 지원을 추가하는 표준의 확장 인 FIDO2를 출시했습니다. 표준은 Windows 10, Android의 Google Play 서비스 및 Chrome, Firefox 및 Edge 웹 브라우저에서 지원됩니다. Apple의 Safari 브라우저 기술인 WebKit도 곧 FIDO2에 대한 지원을 추가 할 수 있습니다.
"FIDO2 표준을 사용하면 취약한 암호 기반 인증을 공개 키 암호화를 사용하는 강력한 하드웨어 기반 인증으로 대체 할 수 있습니다"라고 Yubico의 회사 인 Ehrensvard는 말합니다. "이 표준은 최적의 사용자 경험을 제공하고 보안 및 생산성을 대폭 향상시키는 USB 및 탭 앤고 NFC를 포함하여 여러 형태의 비밀번호없는 인증을 허용합니다."
비밀번호는 언제 사라 집니까?
업계에서 대체 인증 방법을 개발하는 데 먼 길을 가고 있지만 암호는 밤새 사라지지 않습니다. REMME의 최고 경영자 인 모모 트는“우리는 많은 '레거시'소프트웨어 및 정보 시스템이 있다는 점을 고려해야한다. 이것이 암호 기반의 인증 규칙을 포함 해 기존의 인증 규칙을 쉽게 변경할 수있는 것은 아니다.
LogMeIn의 CTO 인 Sandor Palfy와 같은 다른 전문가들은 암호가 사용자를 식별하는 데 중요한 역할을한다고 믿고 있습니다. 또한 업계는 암호 환경 개선에 중점을 두어야한다고 생각합니다.
- 2019 년 최고의 비밀번호 관리자 2019 년 최고의 비밀번호 관리자
- 비밀번호는 무엇입니까? 음악을 재생하고 Brainwaves를 통해 로그인 비밀번호는 무엇입니까? 음악을 재생하고 Brainwaves를 통해 로그인
- 오래된 암호를 사용하여 현금에서 사기 위해 가짜 포르노 이메일 오래된 암호를 사용하여 현금에서 사기 가짜 포르노 이메일
Palfy는 "다단계 인증 (또는 행동 또는 상황 별 인증)에 대한 보편적 인 적용 범위가 제공 될 때까지 기업 전체에서 암호로 보호되는 서비스를 강화하는 데 투자해야합니다."라고 Palfy는 말합니다.
"모든 업무 및 개인 계정에 고유하고 복잡한 암호를 기억하는 것은 인간의 자연스러운 행동과 일치하지 않습니다. 암호 관리자와 같은 도구를 사용하면 여러 암호를 기억하는 것은 과거의 일이어야합니다. 사용자는 하나의 마스터 암호 만 기억하면됩니다. "는 LastPass 암호 관리자의 개발자 인 Palfy가 말합니다.
그러나 2014 년부터 FIDO를 주도해온 McDowell에게는 암호를 찾기위한 노력이 마침내 최종 단계에 도달했습니다. "오늘날 비밀번호없는 미래는 한 번에 하나의 애플리케이션으로 현실화되고 있습니다. 몇 년 안에 공중 전화 부스가 공공 장소에 있고 웹 페이지에서 비밀번호 입력 양식을 찾기가 거의 불가능할 것으로 예상됩니다. 같은 이유 - 우리는 훨씬 더 나은 사용자 경험을 제공하는 비용 효율적이고 어디에나있는 대안을 가지고 있습니다.”라고 그는 말합니다.
