비밀번호 없는 인증

비밀번호 없는 인증(Passwordless authentication)은 사용자가 비밀번호나 기타 지식 기반 비밀을 입력하지 않고(그리고 기억할 필요 없이) 컴퓨터 시스템에 로그인할 수 있는 인증 방법이다. 가장 일반적인 구현에서 사용자는 공개 식별자(사용자 이름, 전화번호, 이메일 주소 등)를 입력한 다음 등록된 장치 또는 토큰을 통해 안전한 신원 증명을 제공하여 인증 프로세스를 완료하라는 요청을 받는다.

비밀번호 없는 인증 방법은 일반적으로 인증 서비스(원격 서버, 애플리케이션 또는 웹사이트)에 등록하는 동안 공개 키가 제공되고 개인 키는 사용자 장치(PC, 스마트폰 또는 외부 보안 토큰)에 보관되는 공개 키 암호 방식 인프라를 사용한다.)이며, 생체서명이나 지식 기반이 아닌 다른 인증요소를 제공해야만 접근이 가능하다.

이러한 요소는 일반적으로 두 가지 범주로 분류된다.

• 휴대전화, OTP 토큰, 스마트카드, 하드웨어 토큰 등 소유권 요소("사용자가 갖고 있는 것").
• 지문, 망막 스캔, 얼굴 또는 음성 인식 및 기타 생체 인식 식별자와 같은 고유 요소("사용자의 존재").

일부 디자인은 기억된 비밀번호가 포함되지 않는 한 지리적 위치, 네트워크 주소, 행동 패턴 및 제스처와 같은 다른 요소의 조합을 허용할 수도 있다.

비밀번호 없는 인증은 다요소 인증(MFA)과 혼동되기도 한다. 둘 다 다양한 인증 요소를 사용하기 때문이다. 그러나 MFA는 비밀번호 기반 인증에 추가 보안 계층으로 사용되는 경우가 많지만 비밀번호 없는 인증에는 인증이 필요하지 않는다. 일반적으로 보안 수준이 높은 요소 하나만을 사용하여 신원을 인증하므로(예: 외부 보안 토큰) 사용자가 더 빠르고 간단하게 인증할 수 있다.

"비밀번호 없는 MFA"는 두 접근 방식을 모두 사용할 때 사용되는 용어이며, 인증 흐름은 비밀번호가 없고 여러 요소를 사용하므로 올바르게 구현되면 가장 높은 보안 수준을 제공한다.

같이 보기[편집]

• 인증
• FIDO 얼라이언스
• 비밀번호 크래킹

외부 링크[편집]

• "True Passwordless MFA" – HYPR Corporation
• Passwordless Authentication – Secret Double Octopus
• Intro to Passwordless - Passage