pile·
보안·twilio-engTwilio Engineering·

패스키 101: 정의·작동 원리·구현

패스키(Passkeys)의 기술 기초인 WebAuthn/CTAP 표준과 공개키 암호화 원리를 설명하고, 등록·인증 두 가지 흐름을 API 수준에서 구체적으로 다룬다. FIDO Alliance와 W3C가 공동 정의한 표준 위에서 패스키가 어떻게 피싱·자격증명 스터핑을 근본적으로 차단하는지 분석한다.

핵심 포인트
  • 패스키는 W3C WebAuthn + FIDO Alliance CTAP 표준 기반 공개키 인증, Apple·Google 패스워드 매니저와 동기화
  • 등록 시 navigator.credentials.create, 인증 시 navigator.credentials.get API 사용
  • 사이트별 고유 키 쌍 생성 → 자격증명 스터핑 원천 차단
  • 개인키는 기기 하드웨어 보안 모듈에만 저장, 서버엔 공개키만 전달 → 서버 해킹 시 피해 없음
  • 비밀번호 대비 로그인 속도 최대 40% 빠르고 피싱 저항성 내장
상세 정리
  • 표준 기반: W3C(WebAuthn)와 FIDO Alliance(CTAP)가 공동 정의. Apple iCloud Keychain·Google Password Manager가 크로스 디바이스 동기화를 지원해 기기 분실 시에도 복구 가능.
  • 공개키 구조: 등록 시 기기에서 공개키/개인키 쌍 생성. 공개키는 서버에 저장, 개인키는 기기 하드웨어 보안 모듈 내부에서 외부로 탈출 불가.
  • 등록 흐름: 서버가 챌린지(난수) 발급 → navigator.credentials.create 호출 → 생체인식/PIN 으로 인증기 잠금 해제 → 공개키 자격증명 생성 → 서버로 전송.
  • 인증 흐름: 서버가 새 챌린지 발급 → navigator.credentials.get 으로 패스키 조회 → 개인키로 챌린지에 서명(어설션 생성) → 서버가 공개키로 서명 검증.
  • 피싱 저항: 패스키 자격증명이 등록 도메인에 바인딩 — 위조 사이트에서 navigator.credentials.get 요청 시 도메인 불일치로 인증 거부됨.
  • 재사용 불가: 사이트마다 별도 키 쌍 생성 — 한 사이트 공개키 유출이 다른 사이트 계정에 영향 없음.
  • 크로스 디바이스: iCloud Keychain·Google Password Manager 동기화로 기기 교체·분실 시에도 계정 복구 가능. 별도 인증 앱 불필요.
  • 사용성: 생체인식 또는 PIN 으로 비밀번호 입력보다 최대 40% 빠른 로그인. 사이트마다 비밀번호 기억 불필요.
  • 현재 제한: 패스키 미지원 구형 기기 사용자 위해 이메일 매직링크·TOTP 대체 채널 병행 필요. 구현 복잡성과 문서 부족이 현재 주요 채택 장벽으로 지목.
왜 읽나패스키 구현을 처음 검토하는 웹 개발자가 WebAuthn API 흐름과 보안 원리를 개념부터 API 레벨까지 빠르게 파악할 수 있다.
twilio-eng
Twilio Engineering 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2