WebAuthn과 패스키 개요

이 게시물은 WebAuthn 스펙과 패스키(Passkey) 인증 시스템에 대해 설명합니다.

WebAuthn의 배경과 문제점 해결

• 기존 패스워드의 취약점: 재사용, 낮은 엔트로피, 피싱, 데이터 유출 문제
• 공개키 서명 체계 기반 인증 도입
• 서명 메시지에 origin과 랜덤 챌린지를 포함하여 피싱과 서명 유출 문제 해결

WebAuthn의 특징

• 개인키는 절대 서버로 전송되지 않음
• 주요 플랫폼(애플, 구글, MS)이 지원하는 표준 기술
• 보안성과 사용자 편의성 동시 제공
• W3C가 스펙을 관리하는 공개 표준

한계 및 전망

• 사용자 컴퓨터가 공격받으면 인증 무효화 가능성 존재
• 다양한 공개키 관리 문제는 추가 연구 필요