3. 3
Authentication
• 정의
– 자신이 누구라고 주장하는 Entity를 확인하는 절차나 과정
• Authentication Factor (요소)
– Something You Know (지식 기반)
– Something You Have (소유 기반)
– Something You Are (존재 기반)
• Single-factor에서 Multi-factor 인증 체계로 보안성 및 사용자 편의성을 강화하며 현재 발전 중
4. 4
Traditional Online (Remote) Authentication
• 사용자는 특정 서비스에 ID와 Password를 생성 및 등록
• 인증이 필요한 경우 (Login, Transaction), ID/Password를 사용자가 입력하여 처리
• Secure Password?
– http://passwordsgenerator.net/
5. 5
Password Problems
• Microsoft Research (2007)
– 2007년 기준 1인당 25개의 Account 보유, 8개의 Passwords 보유
• Burnett (2011)
– 10000개의 Common Passwords로 99.8%의 Account에 접근 가능
• Trusteer, Inc. (2010)
– Banking Accounts의 약 73%의 사용자가 Non-financial Site와 Password 공유
6. 6
Major Industry Trend
• 단순하고, 더욱 강력한 Local Device 인증
Personal Device Local Locking Biometrics &
hardware
7. 7
New Authentication Model
• 문제점
– 더욱 안전하고 편리한 Online 인증의 필요성 대두
• 트랜드
– 안전하면서 편리한 Local Device 인증 기술의 발달
• New Authentication
– Online 인증을 하는데 있어서 Local Device의 인증 기술을 활용
OTP
MFA
Password PIN
Security Usability
Usability
Security
FIDO
8. 8
Fast IDentity Online
• 2012년 설립
– PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, Agnitio
• 사용자 인증 시 Password에 대한 의존도를 낮추기 위한 Open, Scalable, Interoperable 기술 Spec 제안
• Spec의 전세계적인 적용 확대를 위한 Industry Program을 운영
• 2015년 4월 말 기준 약 190여 회원사로 구성 됨
9. 9
FIDO and IAM (Identity and Access Management)
Physical-to-digital identity
User Management
Authentication
Federation
Single
Sign-On
Passwords Risk-BasedStrong
Modern Authentication
10. 10
Basic FIDO Concept
User Verification FIDO Authentication
Authenticator
Local authentication
Online authentication
11. 11
FIDO Protocols
• UAF (Universal Authentication Framework)
– Password 대신 Local 인증(지문, 목소리, PIN 등)을 통해 Online 인증을 하는 방식 (Passwordless)
– Paypal, Nok Nok Lab이 주도
• U2F (Universal 2nd Factor)
– 기존 Password 방식의 인증에 2nd Factor를 추가하여 보안을 강화하는 방식
– Google, Yubico가 주도
Samsung Galaxy S5 /w PayPal
Google 2-Step verification /w Security Key
14. 14
FIDO High Level Architecture
• FIDO User Device
– Computing Device로 FIDO Client가 동작하며, FIDO를 활용하기 위한 사용자의 Action이 시작되는 곳
• Relying Party
– Web site 또는 그와 유사한 Entity로서 사용자를 인증하기 위하여 FIDO Protocol을 이용
• FIDO UAF Server
– Relying Party의 Infra로 Deploy되며 FIDO protocol의 Server-side Spec을 구현하는 주체
• Certificate Authority (CA)
– FIDO Authenticator의 Certificate을 발행하며, Certificate에 대한 상태를 제공
*Root CA: Manufacturer or FIDO Alliance
21. 21
Using FIDO Indirectly (Federation case)
*IdP(Identity Provider): Identity에 대한 resource를 소유한 entity
OAuth, OpenID Connect 연동을 통한 ID 연계에 있어, 기존 Authentication을 대체, 더욱 강력하고 편리한 인증 수단 제공 가능
22. 22
FIDO 2.0 Overview
• 5월 FIDO Plenary Meeting 시 가장 큰 논의 대상
• Microsoft와 Google이 주도
• Design Goal
– UAF와 U2F 시나리오를 모두 지원 (Built-in authenticator, Special-purpose device for 2FA)
– Simple (Just plugin to OS framework, Platform API)
OS/Browser
Support
23. 23
FAQ
• FIDO가 앞으로 확대될까요?
– 현재로서는 FIDO가 de facto standard가 될 가능성이 크다고 보이며, FIDO 2.0부터는 Platform에서 FIDO 기능
을 제공할 예정입니다. (MS, Google)
• 서비스 입장에서 FIDO를 적용함으로써 얻을 수 있는 이득이 무엇인가요?
– FIDO 기반의 다양한 인증 기술을 서비스 Server의 추가 개발 없이 적용할 수 있습니다. 또한, Risk 기반의 인증 정책
을 FIDO 기반으로 설정할 수 있으며, 상황에 맞추어 유연하게 사용자 인증을 할 수 있습니다.
• FIDO Spec이 Update될 경우, 그에 맞추어 서비스 재개발이 필요한가요?
– FIDO의 경우는 인증 관련된 기능의 처리를 FIDO Server에서 처리를 합니다. 따라서, 변경된 Spec의 경우는 FIDO
Server에서 반영하여 처리를 할 예정입니다.
• 지문 등의 생체 정보를 활용할 경우, 개인정보 보호 관련 이슈가 발생할 수 있는 것 아닌가요?
– 사용자의 생체 정보는 단말 내부에 안전한 형태로 저장이 되며, 해당 정보는 단말 외부로 전달되지 않습니다.
• 기존 서비스 인증과 FIDO 인증과 결합하여 사용할 수 있나요?
– 기존 인증 방식에 추가적인 형태로 FIDO 인증을 사용할 수 있습니다. 기존 ID/PW로 로그인 후, 지문인증이 검증된
경우 결제 진행 등이 예가 될 수 있습니다.
24. 24
FIDO 관련 참고 자료
• 1.0 Spec
– https://fidoalliance.org/specifications/download/
• FIDO Certified Solution List
– https://fidoalliance.org/certification/fido-certified/
• U2F Open source (by Yubico)
– https://developers.yubico.com/U2F/
• U2F Open Source (by Google)
– https://github.com/google/u2f-ref-code/
• Get a U2F Device (Amazon)
– http://www.amazon.com/s/ref=nb_sb_noss_2?url=search-alias%3Daps&field-keywords=U2F