패스키

패스키 - 비밀번호를 대신하는 미래 기술

패스키가 뭐야?

지문 하나, 얼굴 인식 하나로 어디서나 안전하게 로그인할 수 있어!

누가 만들었어?

세 거대 기업이 한 번에 뭉쳤다는 건 정말 드문 일이야. 그만큼 비밀번호 문제가 심각하다는 거지.

FIDO Alliance라는 국제 단체의 표준을 따르기 때문에 서로 다른 플랫폼에서도 호환돼.

어떻게 동작해?

기본 원리

로그인 할 때

비밀번호를 입력할 필요가 없어!

기기가 바뀌어도 괜찮아?

예! 클라우드 동기화 덕분에 괜찮아

• 아이폰 사용 시 → iCloud Keychain에 자동 저장 → 새 아이폰 사도 패스키가 그대로 이동
• 갤럭시 사용 시 → Google Password Manager에 저장 → 구글 계정으로 동기화
• 윈도우 사용 시 → Windows Hello 또는 Microsoft Authenticator

다른 기기에서 로그인하면?

친구 PC에서 내 계정 로그인해야 할 때: 1. 친구 PC 화면에 QR코드 표시 2. 내 폰으로 QR코드 스캔 3. 블루투스로 근거리 확인 (중간자 공격 방지) 4. 내 폰에서 지문 인증 5. 친구 PC에서 로그인 완료!

내 패스키가 친구 PC로 옮겨가는 게 아니야 - 내 폰이 인증을 대신해주는 거야.

비밀번호 vs 패스키 비교

| 상황 | 비밀번호 | 패스키 | |------|---------|-------| | 잊어버림 | ❌ 자주 있음 | ✅ 없음 | | 해킹·유출 | ❌ 위험 | ✅ 서버엔 공개키만 | | 피싱 사이트 속임 | ❌ 위험 | ✅ 안전 | | 새 기기에서 사용 | ✅ 가능 | ✅ 동기화 | | 사용 편의성 | 보통 | 매우 편리 |

지금 어디서 쓸 수 있어?

• 구글 계정
• 마이크로소프트 계정
• 애플 ID
• GitHub (개발자 코드 저장소)
• 아마존
• PayPal
• 네이버, 카카오 (도입 중)

주의할 점

패스키 - 비밀번호 없이 로그인해요!

패스키가 뭐예요?

긴 비밀번호를 기억할 필요가 없어요. 내 몸이 곧 비밀번호예요!

누가 만들었어요?

• 🍎 애플 (아이폰, 맥 만드는 회사)
• 🔍 구글 (안드로이드 만드는 회사)
• 🪟 마이크로소프트 (윈도우 만드는 회사)

세 회사가 힘을 합쳐서 만든 거예요!

어떻게 사용해요?

처음 설정할 때

1. 앱이나 웹사이트에서 "패스키로 설정" 선택 2. 지문이나 얼굴로 확인 3. 끝! 이제 비밀번호 없이 로그인할 수 있어요!

로그인할 때

1. 앱 열기 2. 지문 올려놓기 OR 얼굴 보여주기 3. 로그인 완료!

정말 간단하죠?

왜 비밀번호보다 좋아요?

비밀번호의 문제:

• 잊어버리기 쉬워요
• 도둑맞을 수 있어요
• 나쁜 사람이 만든 가짜 사이트에 속을 수 있어요

패스키의 장점:

• 지문과 얼굴은 잊어버릴 수 없어요
• 복사할 수 없어요
• 가짜 사이트에서는 작동하지 않아요

폰을 바꿔도 괜찮아요?

걱정하지 마세요! 패스키는 클라우드에 안전하게 저장돼요.
• 아이폰 → 새 아이폰으로 바꿔도 패스키가 그대로 이동해요
• 갤럭시 → 구글 계정으로 동기화돼요

어디서 쓸 수 있어요?

미래의 로그인 방식이에요

Passkeys (패스키)

Overview

Positioned as a user experience layer atop the FIDO2 protocol, passkeys diverge from traditional hardware security keys like YubiKey by storing credentials within device security vaults (such as iCloud Keychain, Google Password Manager, or Windows Hello) rather than physically. This enables cloud-based synchronization across devices.

Technical Foundations

Public Key Cryptography

• Private Key: Stored securely within device hardware (Secure Enclave, TPM), never transmitted externally.
• Public Key: Held by service servers; even if compromised, it cannot authenticate users independently.

Biometric Integration

Authentication is facilitated through biometric data like FaceID, fingerprint scans, or Windows Hello, granting access to the private key without transmitting biometric data externally.

FIDO2/WebAuthn Compatibility

Passkeys leverage discoverable credentials at WebAuthn Level 2 and above (previously known as resident keys), enabling authentication without prior user identification by the service provider.

Implementations by Apple, Google, Microsoft

Apple (iCloud Keychain Passkeys)

• Introduced with iOS 16 and macOS Ventura in 2022.
• Automatic synchronization across Apple devices via iCloud Keychain.
• Utilizes AES-256 encryption with end-to-end encryption for synchronization.
• Supported in Safari and WKWebView applications.
• Cross-platform access via QR code scanning and Bluetooth proximity authentication (CAWG).

Google (Google Password Manager Passkeys)

• Available on Android 9+ and Chrome 108+ since December 2022.
• Synchronization across devices through Google Password Manager.
• Cross-platform access via QR code linking in Chrome browsers.
• Android apps utilize the Credential Manager API.

Microsoft (Windows Hello / Microsoft Authenticator)

• Based on Windows 10/11 Windows Hello.
• Support for storing passkeys in Microsoft Authenticator apps starting in 2023.
• Passkey authentication supported via Azure AD/Entra ID.
• Cross-platform compatibility with Edge browsers and Windows Hello.

Samsung (Samsung Pass)

• Exclusive to Samsung devices, supported from One UI 6.0 onwards.

Cross-Device Authentication

For login on a device without passkeys: 1. The requesting device displays a QR code. 2. Users scan the QR code on their passkey-enabled smartphone. 3. Bluetooth proximity verification confirms device pairing (following CAWG standards). 4. Biometric authentication on the smartphone completes the login process.

Bluetooth ensures physical proximity, safeguarding against man-in-the-middle attacks without transmitting data directly.

Comparison: Passkeys vs. Passwords vs. FIDO2 Security Keys

| Feature | Password | FIDO2 Security Key | Passkey | |------------------|--------------------|--------------------|------------------| | Phishing Resistance | ❌ | ✅ | ✅ | | Device Loss Recovery | Possible | Difficult | ✅ (Cloud Backup) | | Cross-Device Use | ✅ | ✅ (Requires Device)| ✅ (Automatic Sync) | | Server Compromise Safety | ❌ | ✅ | ✅ | | User Convenience | Moderate | Low (Requires Physical Device) | Very High | | Offline Operation | ✅ | ✅ | Limited |

Security Considerations

Cloud Synchronization Risks

Exposure of iCloud or Google accounts poses risks to passkeys; two-factor authentication (2FA) is essential for robust protection.

Account Recovery

Loss of cloud accounts may render passkeys unusable, necessitating alternative authentication methods from service providers.

Enterprise Environments

Device management policies can disable passkey synchronization, offering options for bound keys that do not synchronize.

Adoption Status (as of 2026)

• Apple: Full support across Apple ID, iCloud, and App Store.
• Google: Supported for Google accounts, YouTube, and Gmail.
• Microsoft: Support for Microsoft accounts.
• GitHub: Introduced passkey support in 2023.
• Amazon, PayPal, KAYAK, Shopify: Fully implemented.
• South Korea: Partial adoption by services like Naver, Kakao, Toss, and Kakao Bank under consideration or implementation stages.

Developer Implementation

• Web: Utilizes WebAuthn API (navigator.credentials.create/get()).
• iOS: Leverages AuthenticationServices framework.
• Android: Employs Credential Manager API.
• Libraries: @simplewebauthn/browser, webauthn4j, among others.

English version not yet available.

English version not yet available.