집에 도착하면 문 앞에 서서 열쇠를 더듬어 찾은 다음 열쇠를 사용하여 입구의 잠금을 해제합니다. 암호를 입력하지도 않고 문에 대고 말을 하지도 않으며 마치 스핑크스와 대화하는 것처럼 수수께끼에 답하지도 않습니다. 큰 골치거리를 주지 않으면서 비교적 안전합니다.
이것의 인터넷 버전은 기본적으로 U2F 키입니다. 여전히 암호를 입력해야 하지만 물리적 키를 USB 슬롯에 삽입하기만 하면 되므로 이중 인증으로 수행해야 하는 추가 작업이 사라집니다. 그러나 이 방법이 최소한 다른 인증 방법만큼 안전합니까? 그리고 아마도 더 중요한 것은 새로운 내용을 다루고 있습니까?
U2F 인증에 대한 빠른 집중 과정
U2F의 작동 방식을 설명하려면 이중 인증을 이미 이해하고 있어야 합니다. 이러한 개념에 익숙하지 않은 경우 Google Authenticator를 실제 예로 사용하겠습니다. Google에 로그인하기 위해 로그인 세부정보를 입력하면 서버에서 휴대전화에서 Google Authenticator 앱을 열어 6-3가지를 얻을 수 있도록 요청합니다. 숫자 일회용 비밀번호. 이 마지막 단계는 귀하의 계정에 로그인하는 사람이 GA가 설치된 전화를 소유한 사람과 동일한지 확인합니다(아마도 당신입니다!). 일부 법인(예:은행)은 동일한 결과를 얻기 위해 6~8자리 코드가 포함된 SMS를 귀하의 계정과 연결된 전화번호로 보냅니다. 다른 사람들(또한 일반적으로 은행)은 이러한 번호를 생성하는 토큰 장치를 제공합니다.
좋습니다. 이중 요소 인증은 두 가지 항목(따라서 이름)을 사용하여 로그인합니다. 비밀번호와 귀하가 소유한 물리적 항목과 관련된 추가 코드입니다. 한 번만 사용할 수 있습니다.
이제 U2F가 작동하는 방식은 다음과 같습니다. U2F는 문을 여는 데 사용하는 것과 같은 물리적 키의 형태로 이 모든 작업을 수행합니다. USB 슬롯에 키를 삽입하고 버튼을 누르면 로그인이 완료됩니다. 해당 버튼을 누르면 내부적으로 코드를 생성하고 인증 서버에 자동으로 전송하는 알고리즘이 트리거됩니다.
간단하죠?
왜 U2F인가?
추가 구매 없이 즉시 사용 가능한 2단계 인증을 사용할 수 있다면 사람들이 물리적 키를 얻기 위해 직접 나서야 하는 이유는 무엇입니까? 기업의 경우 답은 분명합니다. 직원에게 값비싼 토큰 장치를 구입할 필요가 없습니다. 그러나 소비자에게 어떤 이점이 있습니까? 다음을 살펴보겠습니다.
- 코드를 입력할 필요가 없어 매우 편리합니다.
- 코드를 입력할 필요가 없기 때문에 키에 의해 자동으로 전송되는 내부 코드는 더 길어질 수 있습니다(보통 32자 정도).
- 휴대전화에 의존할 필요가 없습니다. (휴대전화가 고장나거나 전화번호를 변경하면 어떻게 되나요?)
주의 사항
U2F가 그렇게 광범위하게 적용되지 않는 이유는 이미 이중 인증이 표준을 설정했기 때문입니다. 쉽게 사용할 수 있으며 서비스 공급자가 구현하기가 충분히 쉽습니다. 현재 Google, Facebook, Dropbox, GitHub와 같은 주요 서비스만 호환성을 자랑합니다.
이 문제 외에도 그것이 다루는 문제도 있습니다. 간단히 말해서, 사용이 조금 더 편리한 이중 인증의 미화된 버전으로 보일 것입니다. U2F가 중간자 공격을 더 효율적으로 처리하는 것은 중요하지 않습니다. 아이디어를 판매할 때는 인식이 더 중요합니다.
아마도 더 중요한 경고는 U2F가 브라우저에서 사용자 에이전트를 스푸핑하여 해커가 트래픽을 가로채고 가장하는 것을 방지하기 위해 거의 하지 않는다는 사실입니다. 이 사실만으로도 U2F에 대한 "높은 보안" 주장이 논란의 여지가 있습니다.
테이크아웃
U2F가 2단계 인증보다 반드시 더 안전한 것은 아니지만 긍정적인 방향으로 몇 가지 단계를 거칩니다(예:키 길이 늘리기, 최종 사용자의 답답한 인증 장벽 제거 등). 기술로서 "혁명적"이 아닐 수도 있지만 투자하는 사람들에게 더 편리한 방식으로 작동합니다. U2F는 기업에 매력적일 수 있지만 소비자는 이러한 작은 장치에서 50달러라는 가격표를 찾지 못할 수도 있습니다.
흥미로운 것에 대해 토론해 봅시다. U2F 키를 구매해야 하는 이유는 무엇입니까? 아니면 이미 확신하고 있습니까? 댓글로 모든 것을 알려주세요!