패스키는 비밀번호를 대체하고 피싱 공격에 맞서기 위해 설계되었지만 Google과 Microsoft는 복구 방법이 약할 경우 패스키로는 충분하지 않다고 경고합니다. Microsoft는 “각 계정은 가장 약한 자격 증명만큼만 안전하다”고 밝혔습니다. 이는 암호 및 SMS 복구 옵션이 암호 키를 구현한 후에도 여전히 새로운 공격 표면을 제공할 수 있음을 나타냅니다.
Google은 비밀번호 및 기타 기존 다단계 인증 방법에 비해 비밀번호 키가 더 쉽고 안전한 온라인 액세스를 용이하게 한다는 점을 인정합니다. 그러나 회사는 분실된 패스키를 악용할 수 있는 명의 도용 시도로부터 보호하기 위해 사용자가 2단계 인증(2SV)으로 계정을 보호해야 한다고 경고합니다.
자동화된 복구 프로세스의 취약점으로 인해 공격자는 취약한 자격 증명을 활용하여 암호 키를 완전히 우회할 수 있습니다. Microsoft에 따르면 암호 키를 배포하면 로그인 보안이 향상되지만 많은 계정에는 계속해서 암호 또는 SMS 복구 옵션이 연결되어 있어 잠재적인 공격 표면이 유지됩니다. 마이크로소프트는 “패스키를 배포하면 로그인이 향상된다”고 말하며 취약한 복구 방법으로 인한 위험을 강조했다.
최적의 복구 솔루션은 다른 장치에서 계정 암호 키를 사용하는 것입니다. Microsoft는 또한 우수한 복구 방법에는 정부 발급 ID 제시 및 생체 인식 확인이 포함되어 있으며 높은 복구 보증을 위한 NIST 권장 사항에 부합한다고 언급했습니다.
Microsoft는 주로 기업 사용자를 대상으로 지침을 제공하는 반면 Google은 개인 사용자에게 중점을 둡니다. 이러한 차이에도 불구하고 두 회사 모두 Gmail과 같은 서비스가 여전히 사이버 범죄자의 매력적인 표적이라는 점을 인정합니다. Google은 특히 공격자가 계정 복구 프로세스를 오용할 위험이 있다는 점을 고려하여 무단 액세스에 대한 추가 보호를 위해 2SV를 구현할 것을 사용자에게 권장합니다.
Google은 두 가지 특정 유형의 2SV, 즉 Google 메시지와 모바일 기기의 OTP 앱을 사용해야 한다고 강조합니다. Google과 Microsoft는 모두 SMS 일회성 코드에 의존하지 말 것을 권고하며 이를 보다 안전한 대안을 위해 완전히 비활성화해야 하는 약한 형태의 다단계 인증으로 분류합니다.
암호키 채택이 증가하고 있지만 Microsoft는 암호키의 효과는 사용자가 피싱 가능한 자격 증명을 완전히 제거하는 데 달려 있다고 경고합니다. Google은 패스키가 중요한 개발이지만 완벽한 솔루션은 아니라고 강조합니다. 특히 공격자가 점점 더 복구 흐름과 대체 인증 방법을 표적으로 삼고 있기 때문입니다.
