비밀번호가 없으면 해킹할 수 없습니다.
마이크로소프트는 이제 모든 새 계정에 기본적으로 패스키(passkeys)를 사용하도록 하여, 비밀번호 자체가 없기 때문에 탈취 위험이 없어 사용자의 보안을 강화합니다. 마이크로소프트는 계정 생성 시 이메일 주소를 요청하며, 이후 인증 코드를 보내 사용자를 확인합니다. 이 코드가 성공적으로 인증되면 해당 이메일 주소는 신규 계정의 기본 인증 자격 증명으로 설정됩니다.
사용자가 마이크로소프트 계정을 생성하고 로그인한 후, 시스템은 패스키 추가를 요청합니다. 이 절차를 완료하면 Windows Hello 또는 기기의 생체 인식 보안 기능을 사용하여 계정에 접근할 수 있습니다.
패스키 기술은 약 10년 전부터 존재했으며, Windows 10은 2015년 7월에 비밀번호 없는 로그인(passwordless sign-in)을 지원하기 시작했습니다. 다만, 표준이 널리 채택되기까지는 시간이 걸렸고, 구글, 애플, 마이크로소프트가 2022년에 각 운영체제에 걸쳐 이 기능을 출시하며 본격화되었습니다.
한편, 마이크로소프트는 잠재적인 보안 허점을 미리 차단하기 위해 Secure Boot 인증서를 업데이트하고 있습니다. 만약 사용자가 작년에 PC를 구매했다면, 이 보안 업데이트가 적용되어 안전할 것입니다.
더불어, 개인용 마이크로소프트 계정은 이 기능을 2024년에야 지원받게 되었습니다. 그럼에도 불구하고 이는 반가운 발전인데, 마이크로소프트 계정 접근성을 높이고 보안을 강화할 것이기 때문입니다. 수백, 심지어 수천에 달하는 다양한 계정 비밀번호 중 하나를 더 기억할 필요가 없어지는 것입니다.
마이크로소프트가 비밀번호를 대체하려는 이유
이 회사는 로그인 페이지의 사용자 경험(UX)을 개선하여, 모든 가능한 인증 옵션을 나열하는 대신 가장 적절한 인증 방법을 자동으로 감지합니다.
마이크로소프트의 Joy Chik(Microsoft Identity & Network Access President)과 Vasu Jakkal(Microsoft Security Corporate VP)은 "예를 들어, 계정에 비밀번호와 '일회용 코드'가 모두 설정되어 있다면, 시스템은 비밀번호 대신 일회용 코드를 사용해 로그인을 시도하도록 안내할 것입니다. 로그인에 성공하면, 사용자에게 패스키 등록을 요청합니다. 이후 다음 번 로그인 시에는 패스키를 통해 로그인하도록 안내하게 됩니다."라고 설명했습니다. 이들이 말을 이었습니다. "이처럼 과정을 간소화한 경험 덕분에 사용자가 더 빠르고 간편하게 로그인할 수 있게 되었습니다. 저희 실험에 따르면 비밀번호 사용률이 20% 이상 감소했습니다. 더 많은 사용자가 패스키를 등록함에 따라 비밀번호 인증 횟수는 지속적으로 줄어들 것이며, 궁극적으로는 비밀번호 지원을 완전히 제거할 수 있을 것입니다."
비밀번호가 없는 계정은 악의적인 행위자들이 피싱(phishing), 키로깅(keylogging), SIM 스와핑(SIM swapping) 등을 통해 자격 증명을 도난당하는 것을 막아줍니다. 심지어 패스키 장치를 분실하더라도 여전히 안전한데, 데이터를 접근하려면 반드시 사용자의 생체 인식 인증이 필요하기 때문입니다. 물론, 자원이 무한하고 필사적인 사람에게는 패스키 보호가 우회될 가능성이 완전히 배제될 수는 없지만, 일반 사용자에게는 데이터 보안을 크게 높이는 충분한 조치입니다.
최신 뉴스, 분석 및 리뷰는 구글 뉴스에서 Tom's Hardware를 팔로우하여 피드에서 받아보세요. 팔로우 버튼을 클릭해 주시기 바랍니다.