What’s Next Authentication? - FIDO기반 생체인식 인증 기술

User Infra개발팀 신기은

2

Contents

• Backgrounds – Authentication – Password problems

• Major Industry Trend

• FIDO – FIDO Alliance – Cutting-edge Authentication Technologies – FIDO Details

• FAQ

3

Authentication

• 정의 – 자신이 누구라고 주장하는 Entity를 확인하는 절차나 과정

• Authentication Factor (요소) – Something You Know (지식 기반) – Something You Have (소유 기반) – Something You Are (존재 기반)

• Single-factor에서 Multi-factor 인증 체계로 보안성 및 사용자 편의성을 강화하며 현재 발전 중

4

Traditional Online (Remote) Authentication

• 사용자는 특정 서비스에 ID와 Password를 생성 및 등록

• 인증이 필요한 경우 (Login, Transaction), ID/Password를 사용자가 입력하여 처리

• Secure Password? – http://passwordsgenerator.net/

5

Password Problems

• Microsoft Research (2007) – 2007년 기준 1인당 25개의 Account 보유, 8개의 Passwords 보유

• Burnett (2011) – 10000개의 Common Passwords로 99.8%의 Account에 접근 가능

• Trusteer, Inc. (2010) – Banking Accounts의 약 73%의 사용자가 Non-financial Site와 Password 공유

6

Major Industry Trend

• 단순하고, 더욱 강력한 Local Device 인증

Personal Device Local Locking Biometrics & hardware

7

New Authentication Model

• 문제점 – 더욱 안전하고 편리한 Online 인증의 필요성 대두

• 트랜드 – 안전하면서 편리한 Local Device 인증 기술의 발달

• New Authentication – Online 인증을 하는데 있어서 Local Device의 인증 기술을 활용

OTP MFA

Password PIN

Security Usability

Usability S

ecu

rity

FIDO

8

Fast IDentity Online

• 2012년 설립 – PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, Agnitio

• 사용자 인증 시 Password에 대한 의존도를 낮추기 위한 Open, Scalable, Interoperable 기술 Spec 제안

• Spec의 전세계적인 적용 확대를 위한 Industry Program을 운영

• 2015년 4월 말 기준 약 190여 회원사로 구성 됨

9

FIDO and IAM (Identity and Access Management)

Physical-to-digital identity

User Management

Authentication

Federation

Single Sign-On

Passwords Risk-Based Strong

Modern Authentication

10

Basic FIDO Concept

User Verification FIDO Authentication

Authenticator

Local authentication

Online authentication

11

FIDO Protocols

• UAF (Universal Authentication Framework) – Password 대신 Local 인증(지문, 목소리, PIN 등)을 통해 Online 인증을 하는 방식 (Passwordless) – Paypal, Nok Nok Lab이 주도

• U2F (Universal 2nd Factor) – 기존 Password 방식의 인증에 2nd Factor를 추가하여 보안을 강화하는 방식 – Google, Yubico가 주도

Samsung Galaxy S5 /w PayPal

Google 2-Step verification /w Security Key

12

FIDO Registration

13

FIDO Authentication

14

FIDO High Level Architecture

• FIDO User Device – Computing Device로 FIDO Client가 동작하며, FIDO를 활용하기 위한 사용자의 Action이 시작되는 곳

• Relying Party – Web site 또는 그와 유사한 Entity로서 사용자를 인증하기 위하여 FIDO Protocol을 이용

• FIDO UAF Server – Relying Party의 Infra로 Deploy되며 FIDO protocol의 Server-side Spec을 구현하는 주체

• Certificate Authority (CA) – FIDO Authenticator의 Certificate을 발행하며, Certificate에 대한 상태를 제공

*Root CA: Manufacturer or FIDO Alliance

15

FIDO Building Blocks

16

Attestation & Metadata

FIDO Server

Signed attestation

object

Verify using trust

anchor included in

Metadata

Authenticator Metadata

17

Metadata Format

{

"aaid": "0001#8001",

"attestationRootCertificates": [ "MIICOj...

],

"description": "0001#8001 Nok Nok Labs SFTPIN authenticator",

"authenticatorVersion": 1,

"userVerificationDetails": [[{"userVerification": 4}],

[{"userVerification": 2}]],

"attachmentHint": 1,

"keyProtection": 1,

"matcherProtection": 1,

"tcDisplay": 1,

"tcDisplayContentType": "image/png",

"isSecondFactorOnly": false,

"assertionScheme": "UAFV1TLV",

"authenticationAlgorithm": 1,

"publicKeyAlgAndEncoding": 256,

"attestationTypes": [15879],

"upv": [{"major": 1, "minor": 0}],

...

}

18

Registration Data Flow (Crypto view)

19

Authentication Data Flow (Crypto view)

20

Using FIDO directly

21

Using FIDO Indirectly (Federation case)

*IdP(Identity Provider): Identity에 대한 resource를 소유한 entity

OAuth, OpenID Connect 연동을 통한 ID 연계에 있어, 기존 Authentication을 대체, 더욱 강력하고 편리한 인증 수단 제공 가능

22

FIDO 2.0 Overview

• 5월 FIDO Plenary Meeting 시 가장 큰 논의 대상

• Microsoft와 Google이 주도

• Design Goal – UAF와 U2F 시나리오를 모두 지원 (Built-in authenticator, Special-purpose device for 2FA) – Simple (Just plugin to OS framework, Platform API)

OS/Browser

Support

23

FAQ

• FIDO가 앞으로 확대될까요? – 현재로서는 FIDO가 de facto standard가 될 가능성이 크다고 보이며, FIDO 2.0부터는 Platform에서 FIDO 기능

을 제공할 예정입니다. (MS, Google)

• 서비스 입장에서 FIDO를 적용함으로써 얻을 수 있는 이득이 무엇인가요? – FIDO 기반의 다양한 인증 기술을 서비스 Server의 추가 개발 없이 적용할 수 있습니다. 또한, Risk 기반의 인증 정책

을 FIDO 기반으로 설정할 수 있으며, 상황에 맞추어 유연하게 사용자 인증을 할 수 있습니다.

• FIDO Spec이 Update될 경우, 그에 맞추어 서비스 재개발이 필요한가요? – FIDO의 경우는 인증 관련된 기능의 처리를 FIDO Server에서 처리를 합니다. 따라서, 변경된 Spec의 경우는 FIDO

Server에서 반영하여 처리를 할 예정입니다.

• 지문 등의 생체 정보를 활용할 경우, 개인정보 보호 관련 이슈가 발생할 수 있는 것 아닌가요? – 사용자의 생체 정보는 단말 내부에 안전한 형태로 저장이 되며, 해당 정보는 단말 외부로 전달되지 않습니다.

• 기존 서비스 인증과 FIDO 인증과 결합하여 사용할 수 있나요? – 기존 인증 방식에 추가적인 형태로 FIDO 인증을 사용할 수 있습니다. 기존 ID/PW로 로그인 후, 지문인증이 검증된

경우 결제 진행 등이 예가 될 수 있습니다.

24

FIDO 관련 참고 자료

• 1.0 Spec – https://fidoalliance.org/specifications/download/

• FIDO Certified Solution List – https://fidoalliance.org/certification/fido-certified/

• U2F Open source (by Yubico) – https://developers.yubico.com/U2F/

• U2F Open Source (by Google) – https://github.com/google/u2f-ref-code/

• Get a U2F Device (Amazon) – http://www.amazon.com/s/ref=nb_sb_noss_2?url=search-alias%3Daps&field-keywords=U2F

25

감사합니다.