이 문서에서는 FIDO, FIDO2, 보안 키(Security Key)의 정의와 보안 키로서 OneKey 하드웨어 지갑을 활용하기 위한 권장 사항을 설명합니다.
보안 키란 무엇인가요?
보안 키(Security Key)는 FIDO 표준을 구현하여 2단계 인증(2FA), 다중 인증(MFA) 또는 비밀번호 없는(passwordless) 인증을 제공하는 물리적 장치입니다. FIDO를 지원하는 서비스에 로그인할 때, 패스키(생체 인식 ID 또는 인증자 앱)와 보완 인증 수단으로 보안 키를 추가할 수 있습니다.
프로토콜
|
지원 장치
|
FIDO U2F
|
모든 OneKey 하드웨어 지갑 모델
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
현재 모든 OneKey 하드웨어 지갑 모델은 USB 연결을 통해서만 FIDO/FIDO2 인증을 지원한다는 점을 유의하시기 바랍니다.
FIDO 및 FIDO2 인증이란 무엇인가요?
FIDO (Fast IDentity Online)는 인증 절차를 간소화하고 강화하기 위해 설계된 개방형 표준입니다. 원래 Google과 Yubico가 NXP Semiconductors의 지원을 받아 설계한 이 표준은 현재 FIDO Alliance에서 관리하며, 취약하고 도용되기 쉬운 비밀번호에 대한 의존도를 줄이는 것을 목표로 합니다. 대신 FIDO는 공개 키 암호 방식을 사용하여 피싱에 강한 강력한 인증을 제공합니다.
FIDO2는 FIDO Alliance와 W3C(World Wide Web Consortium)에서 제공하는 최신 사양 집합입니다. 이는 기존의 FIDO U2F(Universal 2nd Factor) 표준을 기반으로 하며, 두 가지 주요 구성 요소를 포함합니다.
WebAuthn (Web Authentication): 웹 애플리케이션이 공개 키 암호 방식을 사용하여 비밀번호 없는 인증, 토큰 기반 인증 및 2단계 인증(2FA)을 수행할 수 있도록 하는 API입니다.
CTAP (Client to Authenticator Protocol): 하드웨어 토큰과 같은 외부 장치가 표준화된 인터페이스를 통해 브라우저와 상호 작용할 수 있도록 하는 프로토콜입니다.
FIDO와 FIDO2의 주요 차이점:
비밀번호 없는 인증: FIDO2는 FIDO U2F가 지원하지 않는 비밀번호 없는 로그인을 가능하게 하여 기능을 확장했습니다.
폭넓은 웹 통합: WebAuthn이 도입됨에 따라 FIDO2는 웹 애플리케이션과의 원활한 통합을 위해 설계되었으며, 다양한 플랫폼과 서비스 전반에 더 쉽게 구현할 수 있습니다.
향상된 보안 기능: FIDO2는 피싱 공격 및 기타 형태의 자격 증명 탈취에 대해 더 강력한 보호 기능을 제공합니다.
OneKey 장치를 보안 키로 사용하기
OneKey 하드웨어 지갑은 FIDO 및 FIDO2 지원을 포함한 강력한 보안 기능을 제공하도록 설계되었습니다. 다음은 웹 인증을 위해 OneKey 하드웨어 지갑을 FIDO 보안 키로 사용하는 일반적인 과정입니다:
OneKey 장치 등록:
OneKey 하드웨어 지갑을 (USB를 통해) 컴퓨터에 연결합니다.
사용하려는 웹 서비스(Google, Facebook 또는 지원되는 기타 서비스)의 보안 설정으로 이동합니다.
보안 키 추가 옵션을 선택하고 안내에 따라 OneKey 장치를 등록합니다.
OneKey 장치로 인증:
확인 방법으로 '보안 키'를 선택합니다.
케이블을 사용하여 OneKey 하드웨어 지갑을 장치에 연결합니다.
여기서 Google 계정을 예로 들어, 보안 키 추가 옵션을 선택하고 "다른 장치 사용(Use another device)"을 클릭합니다.
이때 장치에서 새로운 보안 키 승인 요청이 표시됩니다(OneKey Pro 예시).
확인 후, 웹 페이지에 보안 키가 성공적으로 생성되었음이 표시됩니다.
권장 사항 및 주의 사항
계정 잠김 방지: 하드웨어 지갑 분실/재설정으로 인해 즐겨 사용하는 웹 서비스에서 로그인이 차단되는 것을 방지하려면, 하드웨어 지갑 보안 키 외에 추가 확인 방법(예: FaceID, TouchID)을 설정해 두시기 바랍니다.
복구 구문만으로는 FIDO/FIDO 2를 복구할 수 없음: FIDO와 암호화폐 지갑은 모두 복구 구문을 사용하여 키 쌍(공개 키 및 개인 키)을 복구하지만, 암호화폐 자산과 달리 FIDO 인증 키는 일련 번호와 같은 하드웨어 장치 고유 정보의 영향을 받습니다. 서로 다른 하드웨어 지갑에서 동일한 복구 구문을 사용하더라도 필수 FIDO2 인증 키 쌍과 일치하지 않을 수 있어 로그인에 실패할 수 있습니다. 예: Google 및 Binance 계정은 서로 다른 하드웨어 지갑의 동일한 복구 구문을 같은 보안 키로 인식하지 않습니다.
FIDO2의 카운터 원리: FIDO2의 카운터는 재전송 공격(replay attacks)을 방지하는 데 사용됩니다. 인증 서버(로그인하려는 웹 서비스)와 장치(예: 하드웨어 지갑) 모두 각 인증 요청을 기록하고 수를 세어 "재전송 공격"을 방지합니다. "카운터" 원리를 채택한 서버의 경우, 하드웨어 지갑을 재설정하면 서버의 카운터 기록과 하드웨어 지갑 간에 불일치가 발생하여, 동일한 장치(재설정 후)와 동일한 복구 구문을 사용하더라도 로그인이 실패할 수 있습니다.
추가 지원이나 자세한 지침이 필요하시면 도움말 센터를 참조하거나 지원 팀에 문의해 주십시오. OneKey와 함께 안전하게 이용하세요!