userVerification 심층 분석

이 문서에서는 WebAuthn의 userVerification가 무엇인지, 패스키 생성 또는 인증 중에 userVerification가 지정되면 발생하는 브라우저 동작을 설명합니다.

WebAuthn의 '사용자 확인'이란 무엇인가요?

패스키는 공개 키 암호화를 기반으로 합니다. 패스키를 만들면 공개 키/비공개 키 쌍이 생성되고 비공개 키는 패스키 제공업체에 저장되며 공개 키는 신뢰 당사자(RP) 서버로 반환되어 저장됩니다. 서버는 페어링된 공개 키를 사용하여 동일한 패스키로 서명된 서명을 확인하여 사용자를 인증할 수 있습니다. 공개 키 사용자 인증 정보의 '사용자 존재'(UP) 플래그는 인증 중에 누군가 기기와 상호작용했음을 증명합니다.

사용자 인증은 사용자 존재 확인과 같이 어떤 사람이 인증에 참여했는지 확인하는 것이 아니라 올바른 사용자가 인증에 참여했는지 확인하는 보안 레이어(선택사항)입니다. 스마트폰에서는 일반적으로 생체 인식, PIN 또는 비밀번호 등 화면 잠금 메커니즘을 사용하여 인증합니다. 사용자 인증이 실행되었는지 여부는 패스키 등록 및 인증 중에 인증자 데이터로 반환되는 'UV' 플래그에 보고됩니다.

macOS의 iCloud 키체인에 있는 사용자 인증 대화상자의 스크린샷 이 대화상자는 사용자에게 Touch ID를 사용하여 로그인하라는 메시지를 표시하고 인증을 요청하는 출처와 사용자 이름을 표시합니다. 대화상자 오른쪽 상단에 '취소' 버튼이 있습니다.
macOS의 iCloud 키체인에 있는 사용자 인증 대화상자
Android용 Chrome의 사용자 인증 대화상자 스크린샷 이 대화상자는 사용자에게 얼굴 인식 또는 지문 감지를 사용하여 신원을 확인하도록 메시지를 표시하고 인증을 요청하는 출처를 표시합니다. 왼쪽 하단에는 PIN을 사용하여 인증하는 옵션이 있습니다.
Android Chrome의 사용자 인증 대화상자

서버에서 UP 및 UV가 확인되는 방식

사용자 존재(UP) 및 사용자 확인(UV) 불리언 플래그는 인증자 데이터 필드에서 서버에 신호를 보냅니다. 인증 중에 저장된 공개 키를 사용하여 서명을 확인하여 인증자 데이터 필드의 콘텐츠를 검증할 수 있습니다. 서명이 유효하면 서버는 플래그를 진짜로 간주할 수 있습니다.

인증 데이터 구조의 표현입니다. 데이터 구조의 각 섹션은 왼쪽에서 오른쪽으로 'RP ID HASH' (32바이트), 'FLAGS' (1바이트), 'COUNTER' (4바이트, big-endian uint32), 'ATTESTE CRED. DATA' (있는 경우 가변 길이), 'EXTENSIONS' (있는 경우 가변 길이 (CBOR)). 'FLAGS' 섹션이 펼쳐져 왼쪽에서 오른쪽으로 'ED', 'AT', '0', 'BS', 'BE', 'UV', '0', 'UP' 라벨이 지정된 잠재적 플래그 목록이 표시됩니다.
공개 키 사용자 인증 정보의 인증자 데이터 필드입니다.

패스키 등록 및 인증 시 서버는 요구사항에 따라 UP 플래그가 true인지, UV 플래그가 true인지 또는 false인지 확인해야 합니다.

userVerification 매개변수 지정

WebAuthn 사양에 따라 RP는 사용자 인증 정보 생성과 어설션 모두에서 userVerification 매개변수를 사용하여 사용자 인증을 요청할 수 있습니다. 'preferred', 'required', 'discouraged'를 허용하며 각각 다음을 의미합니다.

  • 'preferred'(기본값): 기기에서 사용자 인증 방법을 사용하는 것이 좋지만 사용할 수 없는 경우 건너뛸 수 있습니다. 응답 사용자 인증 정보에는 사용자 확인이 실행된 경우 UV 플래그 값 true가 포함되고 UV가 실행되지 않은 경우 false가 포함됩니다.
  • 'required': 기기에서 사용할 수 있는 사용자 인증 방법을 호출해야 합니다. 사용 가능한 인스턴스가 없으면 로컬에서 요청이 실패합니다. 즉, 응답 사용자 인증 정보는 항상 UV 플래그가 true로 설정된 상태로 반환됩니다.
  • 'discouraged': 사용자 확인 방법 사용은 권장하지 않습니다. 그러나 기기에 따라 사용자 확인을 수행할 수도 있으며 UV 플래그에는 true 또는 false가 포함될 수 있습니다.

패스키 생성을 위한 샘플 코드:

const publicKeyCredentialCreationOptions = {
  // ...
  authenticatorSelection: {
    authenticatorAttachment: 'platform',
    residentKey: 'required',
    requireResidentKey: true,
    userVerification: 'preferred'
  }
};

const credential = await navigator.credentials.create({
  publicKey: publicKeyCredentialCreationOptions
});

패스키 인증을 위한 샘플 코드:

const publicKeyCredentialRequestOptions = {
  challenge: /* Omitted challenge data... */,
  rpId: 'example.com',
  userVerification: 'preferred'
};

const credential = await navigator.credentials.get({
  publicKey: publicKeyCredentialRequestOptions
});

userVerification의 경우 어떤 옵션을 선택해야 하나요?

사용해야 하는 userVerification 값은 애플리케이션 요구사항과 사용자 환경 요구사항에 따라 다릅니다.

userVerification='preferred' 사용 시점

보호보다 사용자 환경에 우선순위를 두는 경우 userVerification='preferred'를 사용하세요.

사용자 인증이 보호보다 더 불편한 환경이 있습니다. 예를 들어 기기에서 Touch ID를 지원하지 않거나, 사용 중지되어 있거나, 기기가 clamshell 모드에 있으므로 Touch ID를 사용할 수 없는 macOS에서는 사용자에게 시스템 비밀번호를 입력하라는 메시지가 표시됩니다. 이로 인해 불편을 겪게 되고 사용자가 인증을 완전히 포기할 수도 있습니다. 마찰을 제거하는 것이 더 중요하다면 userVerification='preferred'을 사용하세요.

Touch ID를 사용할 수 없을 때 macOS에 표시되는 패스키 대화상자의 스크린샷 이 대화상자에는 인증을 요청하는 출처와 사용자 이름과 같은 정보가 포함됩니다. 대화상자의 오른쪽 상단에 '취소' 버튼이 있습니다.
Touch ID를 사용할 수 없는 경우 macOS에 표시되는 패스키 대화상자

userVerification='preferred'의 경우 사용자 인증이 성공적으로 실행되면 UV 플래그가 true이고 사용자 인증이 건너뛰어지면 false입니다. 예를 들어 Touch ID를 사용할 수 없는 macOS에서는 사용자에게 버튼을 클릭하여 사용자 확인을 건너뛰라고 요청하며 공개 키 사용자 인증 정보에는 false UV 플래그가 포함됩니다.

그러면 UV 플래그가 위험 분석의 신호가 될 수 있습니다. 다른 요인으로 인해 로그인 시도가 위험해 보이는 경우 사용자 인증이 수행되지 않았다면 사용자에게 추가 로그인 질문을 표시할 수 있습니다.

userVerification='required' 사용 시점

UP와 UV가 모두 꼭 필요하다고 생각되면 userVerification='required'를 사용하세요.

이 옵션의 단점은 사용자가 로그인할 때 더 많은 불편을 겪을 수 있다는 점입니다. 예를 들어 Touch ID를 사용할 수 없는 macOS에서는 사용자에게 시스템 비밀번호를 입력하라는 메시지가 표시됩니다.

userVerification='required'를 사용하면 기기에서 사용자 인증이 실행되는지 확인할 수 있습니다. 서버가 UV 플래그가 true인지 확인합니다.

결론

패스키를 사용하는 당사자는 사용자 인증을 활용하여 기기 소유자가 로그인할 가능성을 측정할 수 있습니다. 대체 로그인 메커니즘이 사용자 플로우에 얼마나 중요한 영향을 미치는지에 따라 사용자 인증을 요구할지, 아니면 선택사항으로 만들 것인지 선택할 수 있습니다. 서버가 패스키 사용자 인증에 대해 UP 플래그와 UV 플래그를 확인하는지 확인합니다.