비밀번호가 있는 휴대폰을 분실하면 어떻게 되나요?

암호키가 iCloud/Google 계정에 동기화된 경우 새 기기에서 해당 계정에 로그인하여 암호키를 복구할 수 있습니다. 장치 바인딩(하드웨어 키)인 경우 일반적으로 백업 장치도 등록했습니다. 암호 키를 지원하는 모든 사이트에서는 최소 2개 등록을 권장합니다. 둘 다 실패할 경우 복구 흐름은 이메일/SMS로 대체됩니다.

암호키는 생체인식 로그인과 동일합니까?

정확히는 아닙니다. 생체인식(Touch ID, Face ID)을 통해 장치의 암호 키를 잠금 해제할 수 있습니다. 암호 키 자체가 암호화 키입니다. 지문은 기기 외부로 유출되지 않습니다. 사이트에서는 보안 영역에 있는 키의 서명만 볼 수 있습니다. 생체 인식은 암호화를 승인합니다. 전송되지 않습니다.

패스키를 도난당할 수 있나요?

개인 키는 보안 하드웨어(Secure Enclave, TPM, TitanM2)에 있으며 추출할 수 없도록 설계되었습니다. iCloud 또는 Google 계정이 손상된 경우 클라우드 동기화 패스키가 노출될 수 있습니다. 따라서 이러한 계정에는 자체적인 강력한 보호가 필요합니다(이상적으로는 하드웨어 키 2FA 사용).

모든 웹사이트가 암호키로 작동하나요?

WebAuthn을 구현한 사이트만 해당됩니다. 채택은 광범위하지만 고르지 않습니다. 주요 기술 및 금융 사이트에서는 일반적으로 이를 지원하지만 소규모 사이트에서는 지원하지 않는 경우가 많습니다. 사이트가 패스키를 지원하지 않는 경우에는 비밀번호 + 2FA로 대체하면 괜찮습니다.

패스키는 하드웨어 키보다 안전합니까?

피싱 방지 속성과 거의 동일합니다. 하드웨어 키에는 한 가지 장점이 있습니다. 즉, 컴퓨터나 클라우드 계정이 손상된 경우에도 자격 증명이 절대 유출될 수 없다는 것입니다. 동기화된 암호 키는 더 편리하고 피싱 방지 기능은 동일하지만 완전히 손상된 클라우드 계정에 대한 복원력은 떨어집니다. 고위험 계정의 경우 하드웨어 키를 사용하세요. 일상적인 사용에는 동기화된 암호 키가 적합합니다.

암호 키 설명: FIDO2 및 WebAuthn이 암호를 죽이는 방법

암호키는 암호의 실제 후속 제품에 가장 가까운 것입니다. 공유 비밀 대신 암호화로 사용자를 인증하고, OS 키체인을 통해 장치 전반에 걸쳐 동기화되며, 설계상 피싱 방지 기능을 갖추고 있습니다. 이제 모든 주요 운영 체제, 브라우저 및 ID 공급자가 암호 키 지원을 제공합니다.

전체 기사 본문은 아래에 영어로 제공됩니다.

A passkey는 FIDO2 자격 증명으로, 장치의 운영 체제에서 생성 및 저장되는 암호화 키 쌍으로, 비밀번호를 입력하지 않고도 웹 사이트나 앱에 사용자를 인증하는 데 사용됩니다. 브라우저는 사이트의 요청에 서명하여 개인 키 소유를 증명합니다. 사이트는 등록된 공개키로 검증합니다. 비밀번호도 없고, 코드도 없고, 지문이나 얼굴 ID 프롬프트 외에는 마찰이 없습니다.

패스키가 대체하는 것

기존 로그인 흐름에는 3가지 계층 문제가 있습니다.

비밀번호는 추측 가능합니다. 가장 일반적인 비밀번호는 사전 단어와 간단한 패턴입니다. 크리덴셜 스터핑 공격은 모든 사이트에 대해 유출된 비밀번호 데이터베이스를 재활용합니다.
비밀번호는 재사용이 가능합니다. 사용자는 이 비밀번호를 서비스 전체에서 재사용하므로 한 번의 위반으로 많은 계정이 손상됩니다.
2FA가 추가되었습니다. SMS 코드를 가로챌 수 있고, TOTP는 실시간으로 피싱될 수 있으며, 하드웨어 키만 실제로 존재합니다. 피싱 방지 — 하드웨어 키는 일반 사용자에게 너무 복잡합니다.

Passkey는 이미 인증된 장치에서 비밀번호 + 2FA 환경을 단일 생체 인식 또는 PIN 확인으로 축소합니다.

패스키가 실제로 작동하는 방식

기본 프로토콜은 WebAuthn(W3C 표준)입니다. 하드웨어 키와 같은 별도의 장치가 관련된 경우 브라우저 측 및 CTAP2(클라이언트-인증자 프로토콜)에 사용됩니다. 이들은 함께 FIDO2 프레임워크를 구현합니다.

example.com에 암호 키를 등록하면:

사이트에서 브라우저에 자격 증명을 생성하도록 요청합니다.
OS는 ECC 키 쌍을 생성합니다(일반적으로 Secure Enclave/TPM/TitanM2에서).
OS는 공개 키를 다음과 연결합니다. example.com 및 자격 증명 ID.
브라우저가 사이트에 공개 키를 보내면 사이트에서 이를 사용자의 계정 기록에 저장합니다.
개인 키는 장치의 보안 저장소를 떠나지 않습니다.

다음에 로그인할 때:

사이트에서 임의의 키를 보냅니다. Challenge.
브라우저는 OS에 example.com 개인 키를 사용하여 질문에 서명하도록 요청합니다.
OS는 Touch ID, Face ID, Windows Hello 또는 PIN을 승인하라는 메시지를 표시합니다.
서명된 질문은 사이트로 돌아가서 저장된 공개 키와 비교하여 확인합니다.
로그인되었습니다. in.

패스키가 피싱 방지 기능을 갖춘 이유

브라우저는 사용자가 방문하는 실제 도메인(원본)에 서명을 바인딩합니다. 실제 example.com에 있는 경우 서명은 example.com입니다. evil-example.com에 속으면 브라우저는 evil-example.com에 대한 서명을 생성하지만 실제 example.com에서는 이를 허용하지 않습니다. 공격자는 자격 증명을 가로채거나 재생할 수 없습니다. 캡처할 비밀번호나 TOTP 코드와 같은 재생 가능한 비밀은 없습니다.

이것은 하드웨어 FIDO2 키를 피싱 방지하도록 만든 것과 동일한 속성으로, 이제 별도의 동글이 필요하지 않은 OS 관리 자격 증명으로 확장되었습니다.

Sync와 장치 바인딩

두 가지 유형이 있습니다. passkey:

Synced passkeys. OS 키체인(iCloud Keychain, Google Password Manager, 1Password, Bitwarden)에 저장되며 여러 장치에서 동기화됩니다. 휴대폰에서 생성된 암호 키를 사용하여 노트북에서 로그인할 수 있습니다. 가장 소비자 친화적입니다.
장치 바인딩된 암호키. 일반적으로 하드웨어 키인 하나의 장치에 유지됩니다. 매번 물리적 장치가 필요하지만 더 높은 보안을 보장합니다(iCloud 계정이 손상된 경우에도 유출될 수 없음). 기업 및 보안 수준이 높은 사용 사례에서는 이러한 방법을 선호합니다.

교차 장치 로그인

가까운 장치의 암호 키를 사용하여 암호 키가 없는 장치에 로그인할 수 있습니다. 표준 흐름: 노트북에 QR 코드가 표시되면 휴대폰으로 스캔하고 휴대폰은 암호 키로 인증한 다음 Bluetooth 근접성 확인을 통해 노트북에 어설션을 보냅니다. 빠르며, 휴대폰이 동일한 Wi-Fi에 있을 필요가 없으며 Bluetooth가 물리적 근접성을 입증하므로 장거리 공격을 방지합니다.

2026년 채택

패스키 출시는 일반적인 보안 표준보다 빠르게 진행되었습니다:

Apple, Google, Microsoft는 2022~2023년부터 OS 키체인에 암호 키 지원을 제공했습니다.
1Password, Bitwarden, Dashlane은 2023년에 OS 간 암호 키 동기화를 추가했습니다
암호 키를 지원하는 주요 사이트에는 Google, Apple, Microsoft, Meta, Amazon, GitHub, eBay, PayPal, Best Buy, Robinhood 등이 있습니다. more
많은 사이트가 여전히 기본적으로 비밀번호+2FA를 사용하지만 비밀번호 키를 옵션으로 제공합니다.

이제 문제는 대부분 사이트 채택과 사용자 친숙성입니다. 기술은 정착되었습니다.

암호 키가 부족한 경우

몇 가지 정직한 제한 사항:

계정 복구가 더 어렵습니다. 모든 장치와 동기화 공급자에 대한 액세스 권한을 잃어버리면 암호 키를 잃어버릴 수 있습니다. 암호 키를 지원하는 사이트에는 여전히 계정 복구 흐름이 필요하며 종종 이메일이나 SMS로 대체됩니다. 즉, 보안 층이 여전히 이메일 또는 전화 공급자임을 의미합니다.
생태계에 의한 잠금. Apple의 iCloud 키체인은 Apple 장치 간에 암호 키를 잘 동기화합니다. 공급업체 간 동기화에는 타사 비밀번호 관리자가 필요합니다.
피싱 방지는 계정 탈취 방지가 아닙니다. 비밀번호 키는 피싱될 수 없지만 로그인 후 세션 쿠키는 여전히 맬웨어에 의해 도난당할 수 있습니다.

대부분의 계정에서 비밀번호 키는 비밀번호보다 훨씬 낫습니다. 마이그레이션은 한 번에 하나의 주요 사이트에서 진행됩니다.

자주 묻는 질문

비밀번호가 있는 휴대폰을 분실하면 어떻게 되나요?: 암호키가 iCloud/Google 계정에 동기화된 경우 새 기기에서 해당 계정에 로그인하여 암호키를 복구할 수 있습니다. 장치 바인딩(하드웨어 키)인 경우 일반적으로 백업 장치도 등록했습니다. 암호 키를 지원하는 모든 사이트에서는 최소 2개 등록을 권장합니다. 둘 다 실패할 경우 복구 흐름은 이메일/SMS로 대체됩니다.
암호키는 생체인식 로그인과 동일합니까?: 정확히는 아닙니다. 생체인식(Touch ID, Face ID)을 통해 장치의 암호 키를 잠금 해제할 수 있습니다. 암호 키 자체가 암호화 키입니다. 지문은 기기 외부로 유출되지 않습니다. 사이트에서는 보안 영역에 있는 키의 서명만 볼 수 있습니다. 생체 인식은 암호화를 승인합니다. 전송되지 않습니다.
패스키를 도난당할 수 있나요?: 개인 키는 보안 하드웨어(Secure Enclave, TPM, TitanM2)에 있으며 추출할 수 없도록 설계되었습니다. iCloud 또는 Google 계정이 손상된 경우 클라우드 동기화 패스키가 노출될 수 있습니다. 따라서 이러한 계정에는 자체적인 강력한 보호가 필요합니다(이상적으로는 하드웨어 키 2FA 사용).
모든 웹사이트가 암호키로 작동하나요?: WebAuthn을 구현한 사이트만 해당됩니다. 채택은 광범위하지만 고르지 않습니다. 주요 기술 및 금융 사이트에서는 일반적으로 이를 지원하지만 소규모 사이트에서는 지원하지 않는 경우가 많습니다. 사이트가 패스키를 지원하지 않는 경우에는 비밀번호 + 2FA로 대체하면 괜찮습니다.
패스키는 하드웨어 키보다 안전합니까?: 피싱 방지 속성과 거의 동일합니다. 하드웨어 키에는 한 가지 장점이 있습니다. 즉, 컴퓨터나 클라우드 계정이 손상된 경우에도 자격 증명이 절대 유출될 수 없다는 것입니다. 동기화된 암호 키는 더 편리하고 피싱 방지 기능은 동일하지만 완전히 손상된 클라우드 계정에 대한 복원력은 떨어집니다. 고위험 계정의 경우 하드웨어 키를 사용하세요. 일상적인 사용에는 동기화된 암호 키가 적합합니다.