출처 : https://jp.techcrunch.com/2018/04/11/2018-04-10-fido-alliance-and-w3c-have-a-plan-to-kill-the-password/
"암호"라는 구조는 매우 취약하다. 극단적으로 말해 버리면 보안 대책으로는 "의미없는"방식이라는 것에 많은 사람들이 동의 해 줄 것이다. 그러나 우리는 여전히 비밀에 의지 잘라 생활하고있다. 암호는 기억 이용자 자신에게도 부담이 될뿐만 아니라 훔치는 것도 어렵지 않게 중요한 장면에서 쓸모없는 것 같은 것이다. 그런 가운데, FIDO와 W3C가 WebAuthn는 웹 서핑시 암호를 필요로하는 프로토콜 을 개발하고있다.
Google, Mozilla 및 Microsoft도 사양이 정해진 단계에서이 프로토콜의 채용을 표명하고있다. 보안 키 및 스마트 폰 등의 외부 장치를 이용하여 인증 처리를 할 수있게되어있다. 이 프로토콜은 인증을 필요로하는 웹 사이트와 Bluetooth 및 USB 또는 NFC 등을 통해 직접 통신을 실시하는 것으로, 이용자의 개입을 없애는 구조로되어있다. 이는 피싱 등의 가능성을 0으로 할 수 있다고 강조하고있다.
이렇게, 새로운 구조로 전환함으로써 몇 주마다 새롭게하는 20 자 정도의 보안 신에게 제물 (비밀번호)에서 해방 될뿐만 아니라 유행 보안 위험을 없앨 수도있는 것이다. 암호를 입력하지 이상, 피싱 및 개입에게 공격 (man-in-the-middle attack) 등으로 보안 정보를 빼앗길 가능성도 없어진다. 인증을위한 토큰은 필요한 경우에만 생성되게되고, 그렇지 때 필요 없게했다.
WebAuthn 사양 은 유스 케이스에 대해서도 자세히 설명하고있다. 예를 들어, 노트북을 이용하여 인증을 필요로하는 웹 사이트에 액세스하는 경우에 대해서도 설명되어있다. 이 경우 ID와 비밀번호를 입력하는 기존의 방법으로 변경 스마트 폰을 이용하여 인증을 수행하도록되어있다. 이용자는 스마트 폰에 표시되는 메시지에 응답하기 만하면 비밀번호 등의 입력 쓸모가 될 것이다.
FIDO Alliance의 전무 이사 인 Brett McDowell도 새로운 구조의 장점을 말했다. 즉, 정보 유출 및 신용 도용이 진행되는 가운데 암호 내지 원타임 패스워드 등의 취약한 시스템에 의존 종료하는 것을 목적으로하고있는 것. 웹이나 애플리케이션에서 새로운 인증 시스템을 채용하여 지금까지보다 훨씬 더 안전한 인증 시스템을 실현 될 수있다라는 것이다.
그러나 지금은 WebAuthn도 최종 단계에 이르지 못하고있다. 그러나 권고 후보 (Candidate Recommendation : CR) 단계이다. 즉 최종 단계 직전까지 도달하는 셈이다.
물론, 어떤 보안 대책에도 "완벽"는 것이다. 새로운 프로토콜에 대해서도 결함을 찌를 구조가 등장 해 오는 것은 시간 문제 일 것이다. 그러나 암호를 제거하려고하는 흐름 자체는 올바른 것이라고 생각된다. 많은 사람들이 암호라는 구조에서 탈출을 노리고 온 것이지만, WebAuthn는 그 흐름 속에서 나온 시스템 인 것이다.