FIDO/패스워드리스 인증

FIDO/패스워드리스 인증

비밀번호 없이 공개키 암호화와 생체/하드웨어 인증자로 피싱 저항성 인증을 제공하는 국제 표준

특징: 피싱 저항(출처 바인딩), 사용자 편의성, 공개키 기반

구성요소: Authenticator(키 생성/서명), RP(서비스 제공자), Credential(공개키/개인키 쌍)

FIDO2 구성: WebAuthn(브라우저 API/W3C) + CTAP2(인증자 통신/FIDO Alliance)

등록: RP 챌린지 전송 → 인증자 사용자 확인(생체/PIN) → 키 쌍 생성 → 공개키+Credential ID 반환 → RP 저장

인증: RP 챌린지+allowCredentials → origin 바인딩 → 인증자 개인키로 서명 → RP 공개키로 검증

피싱 저항 원리: origin이 서명 데이터에 포함 → 피싱 사이트 origin 불일치 → 인증 실패

CTAP: CTAP1(U2F/2차인증), CTAP2(패스워드리스/PIN·생체/Resident Key), USB/NFC/BLE

Passkey: FIDO2 자격증명의 동기화 가능 버전, iCloud Keychain/Google Password Manager

비교: FIDO U2F(2FA/물리키만) vs FIDO2(패스워드리스) vs Passkey(동기화/편리)

연관: MFA, 생체인증, Zero Trust, WebAuthn