FIDO 작동 방식

FIDO 인증은 표준 공개 키 암호화 기술을 사용하여 피싱 방지 인증을 제공합니다. 온라인 서비스에 등록하는 동안 사용자의 클라이언트 디바이스는 웹 서비스 도메인에 바인딩된 새 암호화 키 쌍을 생성합니다. 기기는 개인 키를 보관하고 공개 키를 온라인 서비스에 등록합니다. 패스키라고 하는 이러한 암호화 키 쌍은 모든 온라인 서비스마다 고유합니다. 비밀번호와 달리 패스키는 피싱에 강하고 항상 강력하며 비밀이 공유되지 않도록 설계되어 있습니다.

FIDO로 인증하는 방법

FIDO를 사용하면 사용자의 디바이스가 챌린지에 서명하여 개인 키의 소유를 증명해야 로그인이 완료됩니다. 이는 사용자가 생체 인식, 로컬 PIN을 빠르고 쉽게 입력하거나 FIDO 보안 키를 터치하는 등 디바이스에서 로컬로 로그인을 인증한 경우에만 가능합니다. 로그인은 사용자 장치와 온라인 서비스의 챌린지 응답을 통해 완료되며, 서비스는 개인 키를 보거나 저장하지 않습니다.

FIDO는 처음부터 사용자 개인정보를 보호하고 피싱을 방지하도록 설계되었습니다. 모든 패스키는 고유하며 온라인 서비스 도메인에 바인딩됩니다. 이 프로토콜은 여러 온라인 서비스에서 협업하고 서비스 전반에서 사용자를 추적하는 데 사용할 수 있는 정보를 제공하지 않습니다. 생체 인식 정보를 사용하는 경우 사용자의 디바이스를 벗어나지 않습니다.

FIDO를 사용한 등록 및 로그인

온라인 서비스에 패스키 등록하기

  • 사용자에게 패스키를 만들라는 메시지가 표시됩니다.
  • 사용자는 생체인식, 로컬 PIN 또는 FIDO 보안 키 터치와 같은 로컬 인증 방법을 통해 패스키 생성을 확인합니다.
  • 사용자의 디바이스는 로컬 디바이스, 온라인 서비스 및 사용자 계정에 고유한 새로운 공개/비공개 키 쌍(패스키)을 생성합니다.
  • 공개 키는 온라인 서비스로 전송되어 사용자의 계정과 연결됩니다. 로컬 인증 방법(예: 생체 인식 측정 또는 템플릿)에 대한 모든 정보는 로컬 장치를 벗어나지 않습니다.

후속 로그인에 패스키 사용

  • 사용자에게 비밀번호로 로그인하라는 메시지가 표시됩니다.
  • 사용자는 생체인식, 로컬 PIN 또는 FIDO 보안 키 터치와 같은 로컬 인증 방법을 통해 패스키로 로그인을 인증합니다.
  • 장치는 서비스에서 제공한 사용자의 계정 식별자를 사용하여 올바른 키를 선택하고 서비스의 챌린지에 서명합니다.
  • 클라이언트 디바이스는 서명된 챌린지를 서비스로 다시 전송하고, 서비스는 저장된 공개 키로 이를 확인한 후 사용자를 로그인합니다.