What’s Next Authentication? - FIDO기반 생체인식 인증 기술
User Infra개발팀 신기은
2
Contents
• Backgrounds – Authentication – Password problems
• Major Industry Trend
• FIDO – FIDO Alliance – Cutting-edge Authentication Technologies – FIDO Details
• FAQ
3
Authentication
• 정의 – 자신이 누구라고 주장하는 Entity를 확인하는 절차나 과정
• Authentication Factor (요소) – Something You Know (지식 기반) – Something You Have (소유 기반) – Something You Are (존재 기반)
• Single-factor에서 Multi-factor 인증 체계로 보안성 및 사용자 편의성을 강화하며 현재 발전 중
4
Traditional Online (Remote) Authentication
• 사용자는 특정 서비스에 ID와 Password를 생성 및 등록
• 인증이 필요한 경우 (Login, Transaction), ID/Password를 사용자가 입력하여 처리
• Secure Password? – http://passwordsgenerator.net/
5
Password Problems
• Microsoft Research (2007) – 2007년 기준 1인당 25개의 Account 보유, 8개의 Passwords 보유
• Burnett (2011) – 10000개의 Common Passwords로 99.8%의 Account에 접근 가능
• Trusteer, Inc. (2010) – Banking Accounts의 약 73%의 사용자가 Non-financial Site와 Password 공유
6
Major Industry Trend
• 단순하고, 더욱 강력한 Local Device 인증
Personal Device Local Locking Biometrics & hardware
7
New Authentication Model
• 문제점 – 더욱 안전하고 편리한 Online 인증의 필요성 대두
• 트랜드 – 안전하면서 편리한 Local Device 인증 기술의 발달
• New Authentication – Online 인증을 하는데 있어서 Local Device의 인증 기술을 활용
OTP MFA
Password PIN
Security Usability
Usability S
ecu
rity
FIDO
8
Fast IDentity Online
• 2012년 설립 – PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, Agnitio
• 사용자 인증 시 Password에 대한 의존도를 낮추기 위한 Open, Scalable, Interoperable 기술 Spec 제안
• Spec의 전세계적인 적용 확대를 위한 Industry Program을 운영
• 2015년 4월 말 기준 약 190여 회원사로 구성 됨
9
FIDO and IAM (Identity and Access Management)
Physical-to-digital identity
User Management
Authentication
Federation
Single Sign-On
Passwords Risk-Based Strong
Modern Authentication
10
Basic FIDO Concept
User Verification FIDO Authentication
Authenticator
Local authentication
Online authentication
11
FIDO Protocols
• UAF (Universal Authentication Framework) – Password 대신 Local 인증(지문, 목소리, PIN 등)을 통해 Online 인증을 하는 방식 (Passwordless) – Paypal, Nok Nok Lab이 주도
• U2F (Universal 2nd Factor) – 기존 Password 방식의 인증에 2nd Factor를 추가하여 보안을 강화하는 방식 – Google, Yubico가 주도
Samsung Galaxy S5 /w PayPal
Google 2-Step verification /w Security Key
12
FIDO Registration
13
FIDO Authentication
14
FIDO High Level Architecture
• FIDO User Device – Computing Device로 FIDO Client가 동작하며, FIDO를 활용하기 위한 사용자의 Action이 시작되는 곳
• Relying Party – Web site 또는 그와 유사한 Entity로서 사용자를 인증하기 위하여 FIDO Protocol을 이용
• FIDO UAF Server – Relying Party의 Infra로 Deploy되며 FIDO protocol의 Server-side Spec을 구현하는 주체
• Certificate Authority (CA) – FIDO Authenticator의 Certificate을 발행하며, Certificate에 대한 상태를 제공
*Root CA: Manufacturer or FIDO Alliance
15
FIDO Building Blocks
16
Attestation & Metadata
FIDO Server
Signed attestation
object
Verify using trust
anchor included in
Metadata
Authenticator Metadata
17
Metadata Format
{
"aaid": "0001#8001",
"attestationRootCertificates": [ "MIICOj...
],
"description": "0001#8001 Nok Nok Labs SFTPIN authenticator",
"authenticatorVersion": 1,
"userVerificationDetails": [[{"userVerification": 4}],
[{"userVerification": 2}]],
"attachmentHint": 1,
"keyProtection": 1,
"matcherProtection": 1,
"tcDisplay": 1,
"tcDisplayContentType": "image/png",
"isSecondFactorOnly": false,
"assertionScheme": "UAFV1TLV",
"authenticationAlgorithm": 1,
"publicKeyAlgAndEncoding": 256,
"attestationTypes": [15879],
"upv": [{"major": 1, "minor": 0}],
...
}
18
Registration Data Flow (Crypto view)
19
Authentication Data Flow (Crypto view)
20
Using FIDO directly
21
Using FIDO Indirectly (Federation case)
*IdP(Identity Provider): Identity에 대한 resource를 소유한 entity
OAuth, OpenID Connect 연동을 통한 ID 연계에 있어, 기존 Authentication을 대체, 더욱 강력하고 편리한 인증 수단 제공 가능
22
FIDO 2.0 Overview
• 5월 FIDO Plenary Meeting 시 가장 큰 논의 대상
• Microsoft와 Google이 주도
• Design Goal – UAF와 U2F 시나리오를 모두 지원 (Built-in authenticator, Special-purpose device for 2FA) – Simple (Just plugin to OS framework, Platform API)
OS/Browser
Support
23
FAQ
• FIDO가 앞으로 확대될까요? – 현재로서는 FIDO가 de facto standard가 될 가능성이 크다고 보이며, FIDO 2.0부터는 Platform에서 FIDO 기능
을 제공할 예정입니다. (MS, Google)
• 서비스 입장에서 FIDO를 적용함으로써 얻을 수 있는 이득이 무엇인가요? – FIDO 기반의 다양한 인증 기술을 서비스 Server의 추가 개발 없이 적용할 수 있습니다. 또한, Risk 기반의 인증 정책
을 FIDO 기반으로 설정할 수 있으며, 상황에 맞추어 유연하게 사용자 인증을 할 수 있습니다.
• FIDO Spec이 Update될 경우, 그에 맞추어 서비스 재개발이 필요한가요? – FIDO의 경우는 인증 관련된 기능의 처리를 FIDO Server에서 처리를 합니다. 따라서, 변경된 Spec의 경우는 FIDO
Server에서 반영하여 처리를 할 예정입니다.
• 지문 등의 생체 정보를 활용할 경우, 개인정보 보호 관련 이슈가 발생할 수 있는 것 아닌가요? – 사용자의 생체 정보는 단말 내부에 안전한 형태로 저장이 되며, 해당 정보는 단말 외부로 전달되지 않습니다.
• 기존 서비스 인증과 FIDO 인증과 결합하여 사용할 수 있나요? – 기존 인증 방식에 추가적인 형태로 FIDO 인증을 사용할 수 있습니다. 기존 ID/PW로 로그인 후, 지문인증이 검증된
경우 결제 진행 등이 예가 될 수 있습니다.
24
FIDO 관련 참고 자료
• 1.0 Spec – https://fidoalliance.org/specifications/download/
• FIDO Certified Solution List – https://fidoalliance.org/certification/fido-certified/
• U2F Open source (by Yubico) – https://developers.yubico.com/U2F/
• U2F Open Source (by Google) – https://github.com/google/u2f-ref-code/
• Get a U2F Device (Amazon) – http://www.amazon.com/s/ref=nb_sb_noss_2?url=search-alias%3Daps&field-keywords=U2F
25
감사합니다.