마이크로소프트의 새로운 '기본 암호 없는 로그인', 장점과 한계

1. Microsoft는 신규 계정에 기본적으로 비밀번호 없는 로그인(passkey)을 적용하는 방식을 도입했지만, 실제로는 Microsoft Authenticator 앱 설치가 필수라는 제약이 있다.
2. Passkey는 피싱·유출에 강한 차세대 인증 방식으로 WebAuthn(FIDO2) 표준에 기반하며, 공개/비공개 키 쌍으로 작동한다.
3. 이 제도는 보안을 강화하지만, 특정 앱에 종속되는 구조는 사용자 경험과 보안 혜택을 일부 저해할 수 있다.

1. Microsoft의 “비밀번호 없는 기본 로그인” 정책

• 2025년부터 신규 Microsoft 계정에 기본 로그인 방식으로 passkey를 채택.

• 기존 사용자도 로그인 시 passkey 등록을 유도받게 됨.

• 목적:

  • 비밀번호 생성·관리에 따른 보안 위협과 사용자 부담을 줄이기 위함.
  • 패스워드 스프레이 공격 및 유출 문제의 해결 시도.

2. 기술 개요와 구현 방식

• Passkey란?

  • WebAuthn(FIDO2) 기반으로 생성된 공개/비공개 키 쌍을 통해 인증.
  • 비공개 키는 사용자의 기기(폰, PC, Yubikey 등)에 저장되고 외부로 유출되지 않음.
  • 피싱·패스워드 재사용·유출에 원천적으로 강함.

• 작동 원리:

  • 사이트가 난수 기반 “챌린지” 전송 → 기기 내 인증자(Authenticator)가 서명 → 서버는 공개 키로 검증.
  • 키는 해당 URL과 바인딩되므로 피싱 사이트에 재사용 불가.

3. 제약 사항과 한계

• 문제점: passkey를 설정하더라도, Microsoft Authenticator 앱이 없으면 완전한 비밀번호 제거 불가능.

  • Authy, Google Authenticator 등은 호환되지 않음.
  • 사용자에게 앱 강제 설치를 요구하는 셈이며, 이는 “기본적으로 passwordless”라는 주장과 충돌.

• 보안적 시사점:

  • 여전히 비밀번호가 남아 있는 경우, passkey의 일부 보안 이점이 상실됨.

• WebAuthn은 현재도 발전 중이며, 사용성 면에서 아직 미흡한 점 존재.