암호 없는 인증에 대한 구매자 안내서

사용자 인증 솔루션을 평가한 지 꽤 오래되었을 것입니다.

결국 기업이 새로운 사용자 인증 솔루션을 시장에 내놓는 것은 매일이 아닙니다. 일부는 사용자를 인증하기 위해 단순한 비밀번호 외에 다른 것을 사용한 적이 없습니다. 다른 사람들은 원격 액세스 연결 인증과 관련된 특정 보안 문제를 해결하거나 더 강력한 인증에 대한 규제 요구 사항에 대응하기 위해 기존의 다중 요소 인증 솔루션을 배포했을 수 있습니다. 이 짧은 가이드는 최신 사용자 인증 접근 방식에 대한 최신 리뷰를 제공합니다.

2017년에 발행된 Verizon의 DBIR(Data Breach Investigation Report)은 사용자 인증에 대한 인식의 분수령이 되었습니다. 이 보고서는 데이터 침해의 81%가 손상된 암호의 결과라고 밝혀 IT 세계의 헤드라인을 장식했습니다.

많은 기업들이 비밀번호가 보안 문제를 해결하는 것이 아니라 많은 문제를 일으킨다는 사실을 깨닫고 대체 인증 옵션을 찾기 시작했습니다. 암호 없는 인증이 미래 지향적인 기업이 추구하는 틈새 대안에서 모두가 이야기하는 것으로 바뀌는 순간입니다.

비밀번호 없는 인증이란 무엇입니까?

암호 없는 인증은 암호를 사용하지 않고 사용자의 ID를 확인하는 인증 솔루션 클래스를 정의합니다. 신원 증명은 사용자와 고유하게 연결된 무언가(예: 일회용 암호 생성기, 등록된 모바일 장치 또는 하드웨어 토큰) 또는 사용자의 생체 서명(예: 지문, 얼굴 지문, 망막 스캔 등). 사용자가 알고 있는 것을 기반으로 하는 인증(예: 지식 기반 인증)은 암호가 아닌 한 가능합니다.

비밀번호 없는 인증 방식 4가지

다음은 사람들이 자주 선택하는 몇 가지 일반적으로 사용되는 암호 없는 인증 방법입니다.

일회성 코드

등록된 모바일 장치 또는 이메일 주소로 전송되는 1회용 코드입니다. 이는 일반적으로 기업에서 고객을 인증하기 위해 배포합니다(B2C). 기업 인증, 즉 직원 인증에는 덜 일반적으로 사용됩니다.

생체 인식

이 암호 없는 인증 방법은 Apple Face ID 기술의 대중적인 구현과 가장 저렴한 모바일 장치에서도 어디에서나 사용할 수 있는 지문 인증을 통해 모바일 장치에 대한 사용자 인증의 표준이 되었습니다. 생체 인식은 주로 장치 자체에 대해 사용자를 인증하는 데 사용되며 장치에서 액세스하는 리소스에 대해서는 덜 자주 사용됩니다.

전용 하드웨어 보안 토큰

일반적으로 PKI(공개 키 인프라) 자격 증명을 저장하는 전용 하드웨어 보안 토큰입니다. 최근 몇 년 동안 YubiKeys와 같은 FIDO 호환 장치는 암호에 대한 높은 보증 사용자 인증 대안으로 인기를 얻고 있습니다. 이러한 장치는 위조가 어렵고 물리적 소유가 필요하기 때문에 높은 수준의 보안을 제공하지만 사용자가 휴대하고 사용하기에는 다소 비싸고 번거롭습니다.

호스트 장치에 연결된 인증 자격 증명

이 자격 증명(즉, 개인용 컴퓨터에 고정된 PKI 클라이언트 인증 인증서)은 주로 직원 워크스테이션을 비즈니스 네트워크 및 리소스에 인증하는 데 사용됩니다. 여기에서도 FIDO 호환 솔루션이 인기를 얻고 있으며 가장 주목할만한 예는 비즈니스용 Microsoft Windows Hello입니다. Windows Hello는 최신 버전의 Windows에서 사용할 수 있으며 FIDO 호환 자격 증명을 사용자 PIN 또는 생체 인식 인쇄와 결합하여 자격 증명에 대한 액세스를 잠금 해제합니다.

다단계 인증(MFA) 대 암호 없는 인증

신원 증명을 위해 여러 형식의 인증을 결합하면 다중 요소 인증(MFA)이 됩니다. 역사적으로 MFA는 암호 기반 인증의 보안을 향상시키는 방법으로 사용되었습니다. 비밀번호(귀하가 알고 있는 것)를 전용 열쇠 고리 또는 등록된 모바일 장치(귀하가 가지고 있는 것)와 함께 사용하면 피싱, 크랙 또는 해킹하기 어려운 여러 인증 요소를 제공하므로 더 높은 수준의 보증을 제공합니다.

오늘날에는 암호 없이 여러 인증 요소를 하나의 요소로 사용하여 암호 없는 MFA를 만드는 것이 가능합니다. Passwordless MFA에 가장 일반적으로 사용되는 인증 요소는 사용자가 등록한 모바일 장치와 장치에 내장된 지문 센서를 통해 제공되는 사용자 PIN 또는 지문입니다.

암호 없는 인증 솔루션을 평가할 때 고려 사항

그렇다면 기업은 올바른 인증 솔루션을 찾을 때 무엇을 살펴봐야 할까요? 새 사용자 인증 솔루션을 구입할 때 고려해야 할 사항이 많이 있지만 가장 중요한 세 가지는 다음과 같습니다.

인증 솔루션이 사용자의 모든 인증 사용 사례를 지원합니까?

가장 기본적인 고려 사항은 인증 솔루션이 근무 시간 동안 사용자가 겪는 전체 인증 사용 사례를 지원하는지 여부입니다. 특정 사용 사례가 지원되지 않는 경우 두 가지 옵션 중 하나를 사용할 수 있습니다. 기존 인증 솔루션(일반적으로 간단한 사용자 이름 및 비밀번호)을 그대로 두거나 두 번째 인증 솔루션을 사용하는 것입니다.

사용자 이름과 암호로 되돌리면 더 나은 보안 인증 솔루션에 대한 투자 목적이 무산됩니다. 왜냐하면 취약한 암호가 공격자에 의해 여전히 악용되어 비즈니스가 노출될 수 있기 때문입니다. 그것은 집 주위에 요새화된 벽을 쌓고 자물쇠로 뒷문 입구를 제자리에 두는 것과 같습니다.

지원되지 않는 사용 사례를 처리할 수 있는 두 번째 인증 솔루션을 확보한다는 것은 다른 솔루션을 배포하는 것을 의미하며 더 중요한 것은 사용자가 다른 자격 증명/인증자를 휴대해야 한다는 의미입니다. 이는 사용자를 좌절시킬 수 있는 경험을 제공하는 값비싼 제안이기도 합니다.

광범위한 사용자 인증 사용 사례를 지원하면 일반적인 기업의 경우 몇 가지 시나리오가 추가될 수 있습니다. 일반적인 엔터프라이즈 사용 사례는 다음과 같습니다.

• Windows 및 Mac 호스트를 포함한 워크스테이션 로그온과 일부 회사에서는 Linux도 중요한 고려 사항입니다. 이는 운영 체제 및 네트워크 도메인 관리 솔루션과의 섬세한 통합이 필요하기 때문에 많은 인증 솔루션에서 가장 까다로운 사용 사례입니다.
• 원격 액세스 VPN은 모바일 및 원격 직원이 업무에 계속 연결할 수 있도록 하는 주요 기술이었습니다. 사용 중인 여러 기술과 솔루션을 제공하는 공급업체가 많습니다. 다행스럽게도 수년에 걸쳐 인증 시스템과의 직접적인 통합을 가능하게 하는 일련의 표준이 등장했습니다.
• 클라우드 앱에 대한 액세스는 가장 전통적인 기업에서도 주류가 되었습니다. 엔터프라이즈 인증 시스템과 클라우드 서비스 간의 상호 운용성을 용이하게 하기 위해 일부 표준이 마련되어 있지만 모두 완전히 구워진 것은 아닙니다. 경쟁 표준과 기존 표준에 대한 빈번한 개정으로 인해 클라우드 서비스에 대한 액세스 지원이 움직이는 목표가 되었습니다.
• 오프라인 인증은 일반적으로 많은 인증 시스템과 특히 MFA(다단계 인증)에서 아킬레스건이었습니다. 대부분의 인증 솔루션이 연결된 세계를 위해 설계되었기 때문에 어려운 과제입니다. 따라서 네트워크 연결이 끊어졌거나 사용할 수 없고 인증 서버에 액세스할 수 없는 경우 사용자가 컴퓨터와 로컬로 호스팅되는 리소스에 대해 계속 인증할 수 있도록 정교한 해결 방법이 필요합니다.
• 인증자를 분실하면 특히 하드웨어 인증자일 때 큰 골칫거리가 됩니다. 원격 직원에게 대체 토큰을 물리적으로 배송하는 것은 비용과 시간이 많이 소요됩니다. 따라서 장기간의 가동 중지 시간을 방지하기 위해 일부 하드웨어 기반 MFA 솔루션에 대해 소프트웨어 기반 복구 솔루션이 개발되었습니다.

일반적으로 최신 엔터프라이즈 인증 솔루션은 다양한 인증 사용 사례를 처리할 수 있는 만능 플레이어여야 합니다. 특정 사용 사례를 잘 처리하는 포인트 솔루션을 선택하면 비용이 많이 들고 사용자에게 어려운 여러 인증 솔루션을 배포해야 할 수 있습니다.

인증 솔루션이 이미 있는 것과 함께 작동합니까?

대부분의 기업의 현실은 IT에 대한 수년간의 투자를 통해 다양한 시스템과 애플리케이션을 확보했다는 것입니다. 이러한 시스템은 인정해야 하는 현실이며 모든 새로운 인증 솔루션은 이미 있는 모든 것과 함께 작동할 수 있어야 합니다. 전면 교체 방식은 너무 고통스럽고 비용이 많이 듭니다.

따라서 최신 인증 솔루션은 레거시 시스템 및 애플리케이션을 지원하고 기존 IT 투자와 쉽게 통합되도록 설계되어야 합니다. 기존 사용자 디렉터리(예: Active Directory) 지원, 레거시 시스템 작업, 기존 인증 솔루션과의 작업 등은 모두 솔루션에 구축되어야 하며 값비싼 사용자 지정 및 통합 프로젝트가 필요한 것이 아닙니다.

USB 토큰, OTP 토큰, FIDO 인증자, 모바일 인증자 등과 같은 기존 인증 솔루션을 사용하는 작업도 필요합니다. 많은 기업이 강력한 인증 솔루션에 투자했습니다. 즉, 다른 어떤 것도 배포되지 않는 미개발 기회가 거의 없습니다. 따라서 기존 인증 솔루션과 조화롭게 작동하고 이기종 인증 환경의 운영을 단순화하며 오래된 솔루션을 점진적으로 폐기하고 최신 솔루션으로 마이그레이션하는 수단을 제공하는 것 자체가 중요한 고려 사항이 되었습니다.

솔루션이 감사자와 규제 기관의 요구 사항을 해결합니까?

오늘날 대부분의 기업은 규제 산업에서 운영되며 데이터 보호 및 사용자 인증에 대한 엄격한 요구 사항이 적용됩니다. 따라서 PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR 등과 같은 규정 및 산업 표준을 준수하는 것은 새로운 사용자 인증 솔루션에 투자하기 위한 중요한 고려 사항이며 종종 주요 동인입니다.

암호 없는 인증의 이점

비밀번호 없는 인증은 모든 면에서 새로운 솔루션이 분명히 더 나은 드문 경우 중 하나입니다. 그것을 선택하기 위해 절충점을 만들거나 장단점을 평가할 필요가 없습니다. 암호 없는 인증은 암호 기반 인증 솔루션과 비교할 때 더 나은 보안, 더 나은 사용자 경험을 제공하며 소유 및 운영 비용이 저렴합니다.

사용자 경험 향상

암호 없는 인증은 사용자가 암호를 기억하고 입력할 필요가 없기 때문에 더 나은 사용자 경험을 제공합니다. 이는 더 빠른 로그온과 더 적은 시도 실패를 의미합니다. 또한 비밀번호를 잊어버리거나 재설정해야 하는 경우가 없으므로 비밀번호 분실 또는 분실로 인한 가동 중지 시간이 줄어들고 번거로움이 줄어듭니다.

전반적인 보안 향상

취약한 비밀번호를 잘 설계된 비밀번호 없는 인증 솔루션으로 교체하면 실제로 보안이 향상됩니다. 비밀번호 없는 것은 피싱에 강하고 메시지 가로채기(man-in-the-middle), 키로깅, 크리덴셜 스터핑, 비밀번호 스프레이 등을 포함한 다른 형태의 크리덴셜 액세스 공격에 대해 더 나은 보호를 제공하기 때문입니다. .

장기적으로 보면 더 싸다

암호 없는 인증은 암호에 비해 소유 및 운영 비용이 저렴합니다. 암호는 사용자가 주기적으로 암호를 새로 고치고 가끔 암호를 재설정할 수 있도록 지원하는 암호 관리 시스템이 필요하기 때문에 값비싼 관리가 필요합니다.

또한 사용자가 비밀번호를 잊어버리거나 인증자를 분실하고 헬프 데스크에 복구 지원을 요청하는 경우 비밀번호는 헬프데스크에 상당한 부담을 줍니다. 사용자를 교육하고 피싱으로부터 보호하기 위해 시행되는 피싱 방지 프로그램을 종료하면 추가 비용 절감을 실현할 수 있습니다. 잘 설계된 암호 없는 인증은 피싱을 방지합니다.

비밀번호 없는 인증 문제

암호 없는 인증을 배포하기로 결정한 기업의 가장 큰 문제는 일반적으로 암호 없는 인증을 위해 설계되지 않은 레거시 시스템과 응용 프로그램입니다. 따라서 암호 없는 작업 공간의 비전을 받아들이는 것은 쉽지만 새 시스템과 오래된 시스템이 결합된 이기종 IT 환경을 다룰 때 거기에 도달하는 것은 어려울 수 있습니다.

한 가지 접근 방식은 암호 없는 인증을 지원하는 시스템 및 앱에 대해서만 암호 없는 인증을 배포하는 것입니다. 이는 일반적으로 클라우드 앱 및 때로는 최신 운영 체제(예: 최신 버전의 Windows 10)에 대한 암호 없는 인증의 배포로 해석됩니다. 그러나 암호를 사용하지 않는 것은 실제로 모든 노력이 필요합니다. 암호를 제거하거나 제거하지 않을 수 있습니다.

따라서 사용자를 위한 암호 없는 인증을 성공적으로 배포하려면 일반적으로 암호 없는 것이 더 좋고 저렴하며 안전한 옵션이라고 결정하는 것만으로는 충분하지 않습니다. 기존 및 이기종 IT 환경 전반에 걸쳐 암호 없이 배포하고 모든 인증 사용 사례를 처리하는 데 도움이 되는 기술을 선택하는 것이 중요합니다.

비밀번호 없는 인증 솔루션 환경

시장에 있는 거의 모든 인증 솔루션 공급업체는 암호 없는 인증을 제공한다고 주장합니다. 기존 인증 공급업체는 일부 사용 사례에 대해 일부 형식의 암호 없는 인증을 허용하도록 MFA 제품을 조정했습니다. 새로운 인증 플레이어는 암호 없는 방식에 올인하여 암호 없는 환경에서 잘 작동하는 최신 인프라와 애플리케이션을 사용하는 고객을 대상으로 합니다. 레거시 시스템과 앱은 뒤에 남겨져 있습니다.

그러나 암호 없이 작동하도록 설계되지 않은 시스템과 앱이 여전히 많기 때문에 대부분의 기업에서 암호 없는 인증을 보편적으로 배포하는 것은 여전히 ​​불가능합니다. 일부 시스템의 경우 비밀번호를 그대로 두는 것은 비밀번호 없는 혜택을 받으려면 모든 비밀번호를 제거해야 하기 때문에 거의 목적을 달성하지 못합니다.

암호 없는 인증 솔루션으로 성공적으로 마이그레이션하려면 모든 시스템과 응용 프로그램에서 작동할 수 있는 솔루션이 필요하며 가능한 경우 암호 없는 인증을 제공하고 암호 없는 것이 불가능한 환경에서는 암호 없는 환경을 생성해야 합니다. 이 접근 방식의 이점은 UX 관점에서 사용자가 암호를 생성, 호출 또는 입력할 필요가 없다는 것입니다.

보안 관점에서 비밀번호는 완전히 제거되거나 사용자에게 알려지지 않아 피싱을 방지할 수 있습니다. 또한 암호가 없는 환경을 구현할 때 암호는 시스템에서 관리하므로 암호가 복잡하고 빈번한 순환의 이점이 있으므로 암호에 대한 다양한 형태의 공격에 대한 내성이 높아집니다.