WebAuthn을 사용한 비밀번호 없는 인증 | 워드프레스

WebAuthn을 사용한 비밀번호 없는 인증

비밀번호 없는 인증을 사용하면 사용자는 비밀번호를 기억할 필요 없이 로그인할 수 있습니다. 일반적인 사용자 이름과 비밀번호 대신 WebAuthn을 사용하면 장치에 이미 설정된 로그인 방법을 사용할 수 있습니다. 따라서 웹 인증을 사용하면 휴대폰의 지문 센서나 PC의 Windows Hello를 사용할 수 있으며 Apple ID를 사용하여 모든 웹 사이트에 로그인할 수도 있습니다.

지원되는 방법은 다음을 포함하지만 이에 국한되지는 않습니다.

• Windows Hello
• 노트북/모바일 모두에 지문 센서
• 윈도우 PIN
• 유비 키
• 얼굴 인증

대부분의 사용자는 서로 다른 시스템에 대해 동일한 자격 증명을 사용할 수 있습니다. 자격 증명이 무단 사용자에 의해 유출되거나 획득되는 경우 이는 모든 웹사이트의 보안을 상당히 약화시킵니다. 웹 인증은 인터넷의 새로운 시대와 그에 따른 새로운 기술을 위해 만들어진 상당히 새로운 사양입니다. 다양한 인증 방법을 사용할 수 있는 리소스와 인프라를 제공합니다.

이전 버전과 달리 WebAuthn은 그대로 유지되어야 합니다. 사양의 세부 사항은 복잡하지만 웹 인증은 실제로 구현하기가 매우 쉽습니다. 이 글을 쓰는 시점에서 Chrome과 Firefox는 모두 WebAuthn에 필요한 데이터 유형을 갖고 있으며 Firefox의 Nightly Build는 자격 증명을 생성하고 요청할 수 있습니다. 이 새로운 표준이 비밀번호의 미래에 어떤 의미를 가질 수 있는지에 대해 잠시 후에 이야기하겠습니다(죄송합니다. 아마도 내일 사라지지 않을 것입니다). 먼저 WebAuthn API의 핵심 구성 요소에 대해 좀 더 자세히 설명하겠습니다.

웹 인증과 기존 인증 방법 비교

WebAuthn이 제공하고자 하는 가장 큰 것은 "사용자의 존재"를 기반으로 한 생체 인식 다단계 인증입니다. 사용자(대부분의 경우)는 자신만의 고유한 음성, 지문 또는 망막을 가지고 있습니다. 오늘날 대부분의 사용자는 스마트폰과 같은 생체 인식 장치를 사용하여 이 데이터를 사용하여 이러한 고유한 특성을 통해 사용자만 액세스할 수 있는 자격 증명을 생성하고 관리할 수 있습니다.
실제 WebAUthn 구현을 보려면 로그인 방법으로 웹 인증을 기본적으로 지원하는 Github로 이동하세요. 웹 데모의 경우 여기에서 전체 구현을 볼 수 있습니다. https://webauthn.io/

WordPress 웹사이트에 WebAuthn 활성화하기

miniOrange는 현재 WordPress 웹사이트에서 WebAUthn을 안정적으로 작동시킬 수 있는 유일한 방법입니다. 당사의 15단계 인증 플러그인을 사용하면 웹 인증을 두 번째 요소로 사용할 수 있습니다. miniOrage는 회사의 데이터베이스와 웹사이트에 추가 보안 계층을 추가하는 여러 플랫폼(WordPress, Atlassian, Drupal, Magento 및 Moodle)을 위한 안전한 XNUMX단계 인증 메커니즘 플러그인을 제공합니다. 이러한 플러그인을 통해 사용자의 자격 증명이 의도적으로 또는 실수로 누구와도 공유되는 것을 제한할 수 있는 여러 가지 인증 방법에 액세스할 수 있습니다. 사용자가 올바른 사용자 이름과 비밀번호를 입력하면 성공적으로 로그인하기 위한 XNUMX단계 인증 페이지가 표시됩니다. 우리는 이메일을 통한 OTP, SMS를 통한 OTP, 하드웨어 토큰, QR 코드 인증, Google 인증 등을 포함하는 XNUMX개 이상의 인증 방법을 제공합니다.

WebAuthn을 통한 비밀번호 없는 인증의 이점은 무엇입니까?

• 더 나은 보안

  사용자 제어 비밀번호는 사용자가 비밀번호를 재사용하고 다른 사람과 공유할 수 있기 때문에 심각한 취약점입니다.
  
  비밀번호 없는 인증 시스템의 보안은 필요한 신원 증명과 구현에 따라 달라집니다.
  
  예를 들어, 계정 소유자의 모바일 장치에 보안 푸시 알림을 사용하는 것은 일반적으로 비밀번호보다 더 안전한 것으로 간주됩니다. 모바일 장치의 SMS를 통한 일회용 비밀번호는 일반적으로 기존 사용자 이름과 비밀번호 조합과 별도로 인증의 두 번째 요소로 사용됩니다.




• 더 나은 제어

  피싱, 재사용 및 공유는 비밀번호에 의존할 때 흔히 발생하는 문제입니다. 비밀번호가 없는 로그인 사용자는 자신의 계정을 더 잘 제어할 수 있고 피싱에 덜 취약합니다.
  그림에서 벗어나는 비밀번호를 사용하면 사용자 경험과 보안이 모두 향상됩니다.

WebAuthn을 사용하면 비밀번호 없는 로그인이 무엇을 방지하나요?

• 비밀번호 스프레이

  비밀번호 스프레이는 일반적으로 사용되는 몇 가지 비밀번호를 사용하여 다수의 계정(사용자 이름)에 액세스를 시도하는 공격입니다. 전통적인 무차별 대입 공격은 비밀번호를 추측하여 단일 계정에 대한 무단 액세스를 시도합니다.
  
  비밀번호 스프레이에서 공격자는 일반적으로 사용되는 비밀번호 목록에서 사용자 이름과 비밀번호의 조합을 시도합니다.




• 크리덴셜 스터핑

  자격 증명 스터핑은 사용자 이름과 비밀번호 목록으로 구성된 훔친 자격 증명을 사용하는 공격 유형입니다. 자격 증명 스터핑은 사용자의 자격 증명을 추측하려고 시도하지 않고 유출된 자격 증명 목록을 사용한다는 점에서 무차별 대입 공격과 다릅니다.
  
  크리덴셜 스터핑 공격은 많은 사용자가 여러 사이트에서 동일한 사용자 이름/비밀번호 조합을 재사용하기 때문에 가능합니다. 한 설문 조사에 따르면 사용자의 81%가 두 개 이상의 사이트에서 비밀번호를 재사용했으며 25%의 사용자가 대다수 사이트에서 동일한 비밀번호를 사용하는 것으로 나타났습니다. 그들의 계정.




• 무력 공격

  무차별 공격(Brute Force Attack)은 시행착오를 거쳐 사용자 이름과 비밀번호의 조합을 추측하는 공격 유형입니다. 매번 다른 조합으로 반복되는 로그인 시도로 구성됩니다. 짧은 비밀번호를 추측하는 것은 상대적으로 간단할 수 있지만 긴 비밀번호나 암호화 키의 경우 반드시 그런 것은 아니며 무차별 대입 공격의 어려움은 비밀번호나 키가 길수록 기하급수적으로 커집니다.

WebAuthn과 함께 miniOrange 2단계 인증 플러그인을 사용하여 WordPress에 비밀번호 없이 로그인

로그인은 사용자 이름과 2단계 또는 사용자 역할에 따라 결정될 수 있는 사용자 이름으로만 수행할 수 있습니다. 비밀번호 없는 로그인이 허용되지 않는 역할은 비밀번호와 사용자 이름을 사용하여 로그인합니다.

두 가지 옵션이 있습니다:

• 비밀번호 + 2차 요소로 로그인:

  WordPress 사용자 이름 + 비밀번호, 2단계 인증으로 로그인할 수 있습니다.




• 두 번째 요소로만 로그인:

  이 두 번째 옵션에서는 동일한 창에서 사용자 이름 + 비밀번호 및 사용자 이름 + 2단계 인증의 변형을 볼 수 있습니다.

WordPress 로그인과 관련된 추가 기능은 무엇입니까?

• 사용자 등록 중 WordPress 사용자에게 XNUMX단계 인증 시행

  WordPress 로그인용 miniOrange XNUMX단계 플러그인을 사용하면 WordPress 사용자에게 인라인 등록 중에 Telegram 확인을 구성하여 두 번째 보안 계층이 WordPress 계정에 추가되도록 알릴 수 있습니다.



• WooCommerce 양식과 호환되는 XNUMX단계 인증

  이 확인 방법은 거의 모든 WordPress 로그인 양식 및 WooCommerce 양식과 호환됩니다.



• XNUMX단계 인증을 통한 비밀번호 없는 로그인

  간단한 단계만으로 텔레그램 확인을 설정하면 걱정 없이 WordPress 로그인에 비밀번호 없는 로그인을 설정할 수 있습니다.



• 맞춤설정으로 들어간다

  miniOrange 로그인 보안은 사용자 정의 옵션도 제공합니다. WordPress 웹사이트 디자인에 따라 XNUMX단계 프롬프트 사용자 인터페이스를 사용자 정의할 수 있습니다.



• 백업 방법

  XNUMX단계 인증 기능을 상실한 경우 대체 XNUMX단계 방법이나 대체 추가 보안 솔루션과 같은 백업 방법을 사용하여 WordPress 계정으로 돌아갈 수도 있습니다.