[clearfix]
1. 개요
Apple의 패스키 개요비밀번호를 대체할 목적으로 만들어진 로그인 시스템. FIDO Alliance와 World Wide Web Consortium서 공동 개발되었으며, 현재 Google, Apple, Microsoft 등에서 만든 기기와 소프트웨어가 지원하고 있다.
비밀번호보다 안전하고, 편리한 보안을 목적으로 만들어졌다. 기존 비밀번호 강도는 만드는 사람에게 의존하며, 사람이 외울 수 있는 문자라서 피싱 같은 방법에 의해 유출 될 가능성이 컸다. 또한, 같은 비밀번호를 돌려쓰는 일도 흔했기 때문에 유출된 하나의 비밀번호가 마스터키가 되는 경우도 종종 있었다. 반면 패스키는 애당초 번호 등을 말해줄 수 없으므로 피싱 공격에 어느정도 내성이 있고, 패스키 하나하나가 고유하므로 같은 비밀번호를 돌려쓰는 문제도 해결한다.
패스키를 지원하는 웹사이트에서 패스키 생성을 하면, 패스키는 장치의 비밀번호 관리자에 저장된다. 이후, 로그인할 때 패스키로 로그인을 선택하면 브라우저나 OS가 비밀번호 관리자에 저장되어 있는 패스키를 요청한다. 만일 해당 기기의 비밀번호 관리자에 해당 웹사이트의 패스키가 없을 경우 QR 코드를 띄우는데, 이를 스마트폰으로 스캔하면 된다. 인증되면 로그인이 된다.
보면 알겠지만 스마트폰과 생체인증, 비밀번호 관리자, 그리고 비밀번호 동기화 시스템이 광범위하게 보급되었기에 사용할 수 있는 방법이다.
비밀번호를 대체하기 위해서 만들었지만, 사실 로그인 ID도 대체할 수 있다. 대표적으로 닌텐도 어카운트 패스키 로그인의 경우는 아이디 입력도 없이 패스키로만 로그인할 수 있다. 대부분은 로그인 아이디+패스키 요청 조합이다. 혹은 기존 OTP 대신에 로그인 아이디+비밀번호, 2차 인증수단으로 패스키를 사용을 하는 곳도 있다.
국내에서는 삼성전자와 SK텔레콤이 패스키 관련 서비스를 제공하고 있다. 삼성전자는 삼성 패스 앱을 통해서 패스키를 생성/저장하는 비밀번호 관리자 역할을 하고 있고, SK텔레콤은 웹사이트나 앱에서 패스키를 지원하기 위해 필요한 인증시스템을 SaaS 형태로 제공하는 Passkey by SK Telecom#사업을 하고 있다.
2. 지원 장치
출처- Windows 10, macOS Ventura, ChromeOS 109 이상을 실행하는 노트북 또는 데스크톱
- iOS 16 또는 Android 9[1] 이상을 실행하는 휴대기기
- FIDO2 프로토콜을 지원하는 하드웨어 보안 키
3. 주의 사항
패스키는 비밀번호의 약점을 보완했으나, 비밀번호 관리자에 의존하므로 비밀번호 관리자와 연결된 계정은 철저하게 지켜야 한다. 만일 특정 웹사이트의 패스키를 공유해야 한다면 해당 비밀번호 관리자와 관련된 계정을 공유하는게 아니라, 비밀번호 관리자에 있는 비밀번호 공유 기능을 사용하자. 예를 들어, iPhone에서는 암호 앱에서 + 버튼을 탭하면 비밀번호를 공유할 그룹을 만들 수 있다. 이 공유그룹에 공유하고 싶은 사람을 초대하고, 공유하고 싶은 웹사이트를 넣으면 된다. [2]화면 잠금에는 패턴 대신 9~12자리의 PIN이나 6~8자리의 소문자와 숫자를 조합한 비밀번호를 사용하자. 생체 인식을 활용해 비밀번호 노출을 최소화할 수 있다. 생체 인식을 사용하면 비밀번호를 직접 입력할 필요가 줄어든다. 생체 인식 스푸핑은 기기를 원격으로 잠금 처리하여 해결할 수 있지만, 비밀번호가 이미 노출된 경우에는 대응이 어렵다. 비밀번호가 길어질수록 입력 시간이 길어지기 때문에 공공장소에서 생체 인식을 더 선호하게 될 가능성이 높아진다.
PC 사이트에 접속할 때 스마트폰의 패스키를 사용하는 경우, 스마트폰의 보안에 신경써야한다. 제조사의 공식적인 패스키 기능은 기본적으로 1차 이상의 암호와 함께 생체인증을 추가로 등록하므로 로그인시 가능하면 생체인증으로 하여 입력내용 유출을 막자[3]. 안전하지 않은 어플을 막 다운받지 말자. 패스키 정보가 들어가있는 스마트폰이 해킹된다면 패스키로 여러 사이트에 등록된 모든 암호가 모두 노출되는것이나 마찬가지다.
[1] 서드파티 비밀번호 관리자를 사용한다면 Android 14 이상[2] 출처: iPhone에서 신뢰할 수 있는 사람과 암호 또는 패스키 공유하기[3] 중국 스마트폰을 필두로 자동입력 기능 향상을 위해 사용자의 키보드에 입력한 정보가 클라우드로 전송되며, 이 전송 과정 자체가 취약하거나 스마트폰의 악성코드가 취약점을 건드리면 해커가 타자기록을 입수할 수 있다.