Microsoft Entra ID의 인증 방법 - 암호(FIDO2)

원격 피싱 공격이 증가하고 있습니다. 이러한 공격은 사용자의 디바이스에 물리적으로 액세스하지 않고 암호, SMS 코드 또는 이메일 일회용 암호와 같은 ID 증명을 훔치거나 릴레이하는 것을 목표로 합니다. 공격자는 종종 소셜 엔지니어링, 자격 증명 수집 또는 다운그레이드 기술을 사용하여 암호나 보안 키와 같은 더 강력한 보호를 우회합니다. AI 기반 공격 도구 키트를 사용하면 이러한 위협이 더욱 정교해지고 확장성이 높아지고 있습니다.

암호, SMS 및 전자 메일 코드와 같은 피싱 가능한 메서드를 대체하여 암호 키를 사용하면 원격 피싱을 방지할 수 있습니다. FIDO(Fast Identity Online) 표준을 기반으로 하는 암호는 원본에 바인딩된 공개 키 암호화를 사용하여 자격 증명을 재생하거나 악의적인 행위자와 공유할 수 없도록 합니다. 더욱 강력한 보안 외에도 FIDO2(Passkeys)는 암호를 제거하고 프롬프트를 줄이며 디바이스에서 빠르고 안전한 인증을 사용하도록 설정하여 마찰 없는 로그인 환경을 제공합니다.

또한 FIDO2(Passkeys)를 사용하여 Microsoft Entra ID 또는 Microsoft Entra 하이브리드 조인 Windows 11 디바이스에 로그인하고 클라우드 및 온-프레미스 리소스에 Single Sign-On을 받을 수 있습니다.

암호란?

암호는 강력한 인증 을 제공하고 디바이스 생체 인식 또는 PIN과 결합된 경우 MFA(다단계 인증) 메서드로 사용될 수 있는 피싱 방지 자격 증명입니다. 또한 인증자가 암호가 등록된 RP(신뢰 당사자)에만 비밀을 공개하고 해당 RP로 가장하는 공격자가 아닌 비밀을 해제하도록 하는 검증 도구 가장 저항을 제공합니다. FIDO2(Passkeys)는 브라우저에 WebAuthn을 사용하고 인증자 통신에는 CTAP를 사용하여 FIDO2 표준을 따릅니다.

다음 프로세스는 사용자가 PASSKEY(FIDO2)를 사용하여 Microsoft Entra ID에 로그인할 때 사용됩니다.

1. 사용자가 Microsoft Entra ID에 로그인을 시작합니다.
2. 사용자가 암호를 선택합니다.
   • 동일한 디바이스(디바이스에 저장됨)
   • 디바이스 간(QR 코드 통해) 또는 FIDO2 보안 키
3. Microsoft Entra ID는 인증자에게 챌린지(nonce)를 보냅니다.
4. 인증자는 해시된 RP ID 및 자격 증명 ID를 사용하여 키 쌍을 찾습니다.
5. 사용자가 생체 인식 또는 PIN 제스처를 수행하여 프라이빗 키의 잠금을 해제합니다.
6. 인증자는 프라이빗 키로 챌린지에 서명하고 서명을 반환합니다.
7. Microsoft Entra ID는 공개 키를 사용하여 서명을 확인하고 토큰을 발급합니다.

암호 유형

• 디바이스 바인딩된 암호: 프라이빗 키가 만들어지고 단일 물리적 디바이스에 저장되며 절대로 나가지 않습니다. 예제:
  • Microsoft Authenticator
  • FIDO2 보안 키
• 동기화된 암호: 프라이빗 키는 암호 공급자의 클라우드에 저장되고 동일한 암호 공급자 계정에 로그인된 디바이스 간에 동기화됩니다. 동기화된 암호는 증명을 지원하지 않습니다. 예제:
  • Apple iCloud Keychain
  • Google 암호 관리자

동기화된 암호는 사용자가 얼굴, 지문 또는 PIN과 같은 디바이스의 기본 잠금 해제 메커니즘을 사용하여 인증할 수 있는 원활하고 편리한 사용자 환경을 제공합니다. 동기화된 암호를 등록하고 사용하는 Microsoft 계정의 수억 명의 소비자 사용자의 학습을 기반으로 다음을 배웠습니다.

• 99% 사용자가 동기화된 암호를 성공적으로 등록했습니다.
• 동기화된 암호는 암호 및 기존 MFA 조합에 비해 14배 더 빠릅니다. 69초 대신 3초
• 사용자는 레거시 인증 방법(95개% 및 30개%)보다 동기화된 암호를 사용하여 3배 더 성공적인 로그인을 수행합니다.
• Microsoft Entra ID의 동기화된 암호는 모든 엔터프라이즈 사용자에 대해 MFA 단순성을 대규모로 제공합니다. SMS 및 인증자 앱과 같은 기존 MFA 옵션에 대한 편리하고 저렴한 대안입니다.

조직에서 암호를 배포하는 방법에 대한 자세한 내용은 동기화된 암호를 사용하도록 설정하는 방법을 참조하세요.

증명은 등록하는 동안 암호 공급자 또는 디바이스의 신뢰성을 확인합니다. 적용되는 경우:

• MDS(FIDO 메타데이터 서비스)를 통해 암호화된 확인 가능한 디바이스 ID를 제공합니다. 증명이 적용되면 신뢰 당사자는 인증자 모델의 유효성을 검사하고 인증된 디바이스에 대한 정책 결정을 적용할 수 있습니다.
• 동기화된 암호와 테스트되지 않은 디바이스 바인딩된 암호를 포함하여 테스트되지 않은 암호는 디바이스 출처를 제공하지 않습니다.

마이크로소프트 엔트라 ID에서:

• 암호 프로필 수준에서 증명을 적용할 수 있습니다.
• 증명을 사용하도록 설정하면 디바이스에 바인딩된 암호만 허용됩니다. 동기화된 암호는 제외됩니다.

올바른 암호 옵션 선택

FIDO2 보안 키는 높은 규제 산업 또는 높은 권한을 가진 사용자에게 권장됩니다. 강력한 보안을 제공하지만, 특히 사용자가 물리적 키를 분실하고 계정 복구가 필요한 경우 장비, 교육 및 기술 지원팀 지원 비용을 증가시킬 수 있습니다. Microsoft Authenticator 앱의 암호는 이러한 사용자 그룹에 대한 또 다른 옵션입니다.

규제가 높은 환경 외부에 있거나 중요한 시스템에 액세스할 수 없는 대부분의 사용자에게 동기화된 암호는 기존 MFA에 대한 편리하고 저렴한 대안을 제공합니다. Apple과 Google은 클라우드에 저장된 암호에 대한 고급 보호를 구현했습니다.

유형(디바이스 바인딩 또는 동기화됨)에 관계없이 암호는 피싱 가능한 MFA 메서드에 대한 중요한 보안 업그레이드를 나타냅니다.

자세한 내용은 Microsoft Entra ID에서 피싱 방지 MFA 배포 시작을 참조하세요.

관련 콘텐츠

• Microsoft Entra ID에서 FIDO2(passkeys) 사용
• Microsoft Entra ID에서 암호 프로필 사용
• Microsoft Entra ID에서 동기화된 암호 사용
• Authenticator 앱의 Passkeys
• 증명 요구 사항