회사 구글계정에서 PassKey를 지원한다고 메일이 왔어요.
아니 정확하게는 Google Workspace에서도 "곧" 지원할 거니까 준비하라는 내용이네요.
PassKey는 흔히 말하는 Passwordless Authentication입니다.
비밀번호를 입력하는 대신, 단말기(휴대폰/TPM)의 보안 요소를 이용하여 1Factor를 대체하겠다는 것이죠.
로그인을 누르면 비밀번호 입력 대신 휴대폰 단말기로 알림 보내기나 컴퓨터의 얼굴/지문인식으로 잠금풀기가 뜹니다.
(물론 휴대폰이나 컴퓨터에서 PIN을 이용한 잠금해제가 가능합니다만, 여기서부턴 장치 종속이니 더 안전하다나 뭐라나...)
구글 마소 애플이 협력해서 만드는걸 보면 비밀번호 공격에 대해 단단히 뿔이 난 건 맞는 모양입니다.
다만 아직 지원하는 사이트가 많지 않고, 사용 단말기를 등록해야 하는 불편함은 있습니다.
일단 해 두면 편한 건 사실이라 (특히 구글계정) 지원하는 데는 등록해 두려고 하고 있습니다.
다만 단말기 분실하면 망하는거죠...
그래서 두 개 이상 장치를 등록하던지 비밀번호+보안토큰/OTP 방식도 열심히 관리 중입니다.
노트북이나 휴대폰 중고로 팔 때 또 난감해질 지도 모르겠습니다.