FIDO 스펙 개요

출처 : fidoalliance.org/specifications/?lang=ko <= 원문 참조 바랍니다.

FIDO 얼라이언스는 FIDO Universal Second Factor(FIDO U2F), FIDO Universal Authentication Framework(FIDO UAF), Client to Authenticator Protocols(CTAP)의 세 가지 규격 세트를 발표했습니다. CTAP은 W3C의 웹 인증(WebAuthn) 규격을 보완하며, 이 규격을 함께 FIDO2라고 합니다.

모든 FIDO 프로토콜은 공개 키 암호화를 기반으로하며 온라인 피싱 공격을 이겨낼 수 있습나다 (자세한 내용은 FIDO 작동 방식 참조). 광범위한 사용 사례 및 배포 시나리오를 제공합니다.

스펙 다운로드 페이지의 기술 스펙 사양을 읽어보십시오.

FIDO2

FIDO2는 W3C 웹 인증 사양과 FIDO 얼라이언스의 해당 CTAP (Client-to-Authenticator Protocol)로 구성됩니다. FIDO2는 내장 (또는 바인딩 된) 인증 요소 (예 : 생체 인식 또는 PIN 번호) 또는 외부 (또는 로밍) 인증 요소 (예 : FIDO 보안 키, 모바일 장치, 웨어러블 등)를 사용하여 비밀번호가 필요없는 2 단계 및 다중 요소 사용자 환경을 지원합니다.

FIDO2 스펙은 다음과 같습니다:

W3C WebAuthn

WebAuthn은 브라우저 및 플랫폼에 내장되어 있는 표준 웹 API를 정의하여 FIDO 인증을 지원합니다.

CTAP2

CTAP2는 외부 인증 요소 (FIDO 보안 키, 모바일 장치)를 사용하여 USB, NFC 또는 BLE를 통한 FIDO2 지원 브라우저 및 운영 체제에서 비밀번호 없이 2 단계 또는 다중 요소 인증 환경을 인증 할 수 있습니다.

CTAP1

FIDO U2F의 새로운 이름 인 CTAP1을 사용하면 기존 FIDO U2F 장치 (예 : FIDO 보안 키)를 사용하여 FIDO2 지원 브라우저 및 USB, NFC 또는 BLE를 통한 운영 체제에서 2 단계 인증을 실행 할 수 있습니다.

FIDO UAF

FIDO UAF는 비밀번호가 필요하지 않는 온라인 로그인 환경을 지원합니다. FIDO UAF와 함께 사용자는 FIDO UAF 스택이 설치된 장치를 휴대합니다. 그런 다음 손가락 스와이핑, 카메라 보기, 마이크에 말하기, 간단한 PIN 번호 입력 등과 같은 로컬 인증 메커니즘을 선택하여 장치를 온라인 서비스에 등록 할 수 있습니다. FIDO UAF 프로토콜은 서비스가 사용자에게 표시할 메커니즘을 선택할 수 있도록 합니다.

일단 등록되면, 사용자는 서비스에 대한 인증이 필요할 때마다 로컬 인증 작업을 반복합니다. 사용자는 해당 장치에서 인증할 때 더 이상 비밀번호를 입력할 필요가 없습니다. FIDO UAF는 지문 + PIN과 같은 여러 인증 메커니즘을 결합한 온라인 로그인 경험도 허용합니다.

FIDO U2F

FIDO U2F는 2단계 온라인 로그인 경험을 지원합니다. FIDO U2F를 사용하면 온라인 서비스에서 사용자 로그인에 강력한 두 번째 요소를 추가하여 기존 암호 인프라의 보안을 강화할 수 있습니다. 사용자는 이전과 같이 사용자 이름과 비밀번호를 사용하여 로그인합니다. 또한 이 서비스는 사용자가 선택할 때마다 FIDO 보안 키와 같은 두 번째 요인 장치를 표시하라는 메시지를 표시할 수 있습니다. 강력한 두 번째 인증 요소를 통해 보안에 영향을 주지 않고 기존에 사용하기 어렵고 기억하기 어려웠던 복잡한 비밀번호를 4자리 PIN 넘버 등으로 단순화할 수 있습니다.

등록 및 인증 시 사용자는 USB 장치의 버튼을 누르거나 근거리 무선 통신 또는 BLE을 눌러 두 번째 인증요소를 제시합니다. 사용자는 웹 브라우저에서 기본적으로 지원되는 프로토콜을 지원하는 모든 온라인 서비스에서 FIDO U2F 장치를 사용할 수 있습니다.

FIDO2가 출시되면서 U2F가 CTAP1으로 이름이 변경되었습니다.