사용자 데이터를 암호화할 때 passkeys를 사용하지 마세요
Source: Hacker News
번역할 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다.
오늘 이 글을 쓰는 이유는?
저는 사용자가 가장 소중한 데이터를 잃는 것에 깊이 우려하고 있기 때문입니다. 지난 1~2년 동안, 많은 조직(대기업·소기업 모두)이 패스키를 도입했고(정말 좋습니다, 감사합니다!), PRF(의사 난수 함수) 확장을 사용해 키를 파생시켜 사용자 데이터를 보호하고 있습니다. 주로 종단 간 암호화(백업 포함)를 지원하기 위해서입니다. 또한 여러 영향력 있는 인물과 조직이 데이터를 암호화하기 위해 PRF 사용을 권장하는 모습을 보았습니다.
주요 사용 사례
- 메시지 백업(이미지 및 비디오 포함) 암호화
- 종단 간 암호화
- 문서 및 기타 파일 암호화
- 암호화폐 지갑 암호화 및 잠금 해제
- 자격 증명 관리자 잠금 해제
- 로컬 계정 로그인
왜 이것이 문제인가?
인증에 사용되는 자격 증명을 암호화에도 동시에 사용하면, 해당 자격 증명을 잃어버렸을 때의 “폭발 반경”이 측정할 수 없을 정도로 커집니다.
에리카라는 사용자를 상상해 보세요. 그녀는 사랑하는 사람들의 메시지와 사진, 특히 이제는 세상을 떠난 이들의 사진을 잃고 싶지 않아서 좋아하는 메신저 앱에서 암호화된 백업을 설정하라는 요청을 받습니다. 에리카는 백업을 활성화하기 위해 자신의 패스키를 사용하라는 안내를 받습니다. UI에는 이 백업이 이제 패스키와 밀접하게 연결되어 있다는 점을 강조하는 요소가 전혀 없습니다. 설령 설명 문구가 있었다 하더라도, 대부분의 사용자와 마찬가지로 에리카는 모든 대화 상자를 자세히 읽지 않으며, 1년 후에 이 기술적인 세부 사항을 기억할 수 있다고 기대할 수 없습니다.
몇 달 후, 에리카는 자격 증명 관리자를 정리하기로 합니다. 메신저 앱에 특정 패스키가 왜 있었는지 기억이 나지 않아 이를 삭제합니다.
1년이 지나 새 폰을 구입하고 메신저 앱을 설정합니다. 자격 증명 관리자에 더 이상 패스키가 존재하지 않기 때문에 패스키 사용을 요구받지 않습니다. 대신 전화번호 인증을 통해 계정을 복구합니다. 그 후 “백업 복원” 흐름으로 안내받으며 패스키를 입력하라는 요청을 받습니다.
패스키가 없으므로 백업된 데이터에 접근할 수 없다는 안내를 받게 됩니다. 작별 인사, 추억.
예시 이미지
예시: Apple Passwords에서 패스키 삭제
예시: Google Password Manager에서 패스키 삭제
예시: Bitwarden에서 패스키 삭제
사용자는 어떻게 하면 고인이 된 친척의 사진, 암호화된 부동산 등기권, 혹은 디지털 화폐와 같은 중요한 데이터를 날려버릴 수 있다는 사실을 이해할 수 있을까요?
우리는 사용자가 이를 알기를 기대해서는 안 되며, 기대해서도 안 됩니다.
WebAuthn에서 PRF의 합법적인 사용
이 시점에서 PRF가 처음부터 WebAuthn에 포함된 이유가 궁금할 수 있습니다. PRF는 WebAuthn에서 매우 합법적이고 보다 지속 가능한 용도로 사용됩니다. 특히 자격 증명 관리자와 운영 체제를 지원하는 데 활용됩니다. PRF가 적용된 패스키는 자격 증명 관리자(다른 모든 패스키와 자격 증명이 저장되는 곳)를 잠금 해제하는 과정을 훨씬 빠르고 안전하게 만들 수 있습니다.
자격 증명 관리자는 마스터 비밀번호, 디바이스별 키, 복구 키, 소셜 복구 키 등 다양한 방법으로 금고 데이터를 보호하는 견고한 메커니즘을 갖추고 있습니다. 자격 증명 관리자를 잠금 해제하는 데 사용되는 패스키에 대한 접근을 잃어버리더라도 금고 데이터가 완전히 손실되는 경우는 드뭅니다.
PRF는 이미 WebAuthn 클라이언트와 자격 증명 관리자에 구현되어 있으므로, 이제는 사실상 공개된 상태입니다.
나의 요청
-
광범위한 신원 산업에: 사용자 데이터를 암호화하기 위해 패스키를 홍보하고 사용하는 것을 중단해 주세요. 간청합니다. 패스키가 훌륭하고 피싱에 강한 인증 자격 증명이 되게 해 주세요.
-
자격 증명 관리자에게: PRF가 포함된 패스키를 삭제할 때 사용자에게 경고를 추가하는 것을 우선시해 주세요(가능한 경우 RP의 정보 페이지를 표시하세요 – Relying Party Passkey Endpoints usage spec 참고).
-
패스키를 사용하는 사이트 및 서비스에: 이러한 우려를 인식하면서도 여전히 PRF를 사용해야 한다면, 다음을 수행해 주세요:
- 인증 이상의 용도로 패스키를 어떻게 사용하고 있는지 설명하는 정보를 지원 사이트에 추가하세요;
- 해당 페이지 URL을 Relying Party Passkey Endpoints의 Well‑Known URL (
prfUsageDetails)에 기재하세요; - 사용자가 활성화할 때 가능한 한 많은 경고를 사전에 제공하세요.
읽어 주셔서 감사합니다! 🙏🏻
(and thanks to Matthew Miller for reviewing and providing feedback on this post)