패스키, 편리함 뒤에 숨겨진 위험은?

패스키는 비밀번호를 대체하는 기술이지만, 분실 시 복구 과정에 대한 오해가 존재하며, 여전히 개선할 부분이 많음

벤더 종속성 문제로 인해, 특정 서비스에서 패스키를 사용할 경우 계정 접근 권한을 잃을 위험이 있다는 지적이 제기됨

사용자들은 패스키 사용 강제 및 MFA(Multi-Factor Authentication) 방식에 대한 선택권을 요구하며, 기존의 비밀번호 + TOTP 방식을 선호하기도 함

패스키 복구 메커니즘의 이해

패스키 분실 시, 대부분의 서비스는 비밀번호 재설정과 유사한 방식으로 복구를 지원한다. 구체적으로, 이메일 또는 SMS 인증을 통해 패스키를 재설정할 수 있다. 따라서, 백업 코드를 안전하게 보관하는 것이 중요하며, 계정 복구를 위한 추가적인 수단을 마련해야 한다.

벤더 종속성과 사용자 통제권

패스키는 벤더 종속성 문제를 야기할 수 있으며, 이는 사용자가 자신의 개인 키를 직접 관리할 수 없게 만든다. 반면, KeePassXC와 같은 오픈소스 솔루션은 사용자에게 데이터 내보내기 기능을 제공하여 벤더 종속성을 완화하려 노력한다. 결과적으로, 패스키 선택 시 개방성과 호환성을 고려해야 한다.

사용자 경험 개선을 위한 제언

패스키 사용 시, 불필요한 인증 방식 선택 UI를 개선해야 한다. 구체적으로, 단일 인증 수단만 등록된 경우, 해당 수단을 자동으로 사용하도록 변경해야 한다. 따라서, SSH 키와 같은 유연성을 제공하여 사용자 친화적인 환경을 구축해야 하며, MFA 강제와 같은 정책은 사용자 선택에 맡겨야 한다.