FIDO(Fast IDentity Online)

FIDO(Fast IDentity Online)란 비밀번호 없는 인증을 목표로 만든 글로벌 표준입니다.

 

👉 핵심 포인트:

• 비밀번호 기반 인증의 한계(유출·재사용·피싱 취약성)를 극복하기 위해 만들어짐.
• FIDO Alliance(2012년 설립, 구글·마이크로소프트·삼성·페이팔 등 참여)가 표준을 주도.
• **공개키 기반 구조(PKI)**를 사용 → 사용자 기기에서 **개인키(private key)**를 안전하게 보관하고, 서비스(서버)에는 **공개키(public key)**만 등록.
• 사용자는 생체인증(지문·얼굴인식), PIN, 보안키(USB/NFC/Bluetooth) 등을 이용해 인증 수행.
• 서버에 비밀번호가 저장되지 않으므로 피싱·크리덴셜 스터핑·데이터베이스 유출 공격에 강함.

📌 관련 표준:

• FIDO UAF (Universal Authentication Framework): 비밀번호 없는 인증.
• FIDO U2F (Universal 2nd Factor): 기존 비밀번호 + 보안키 기반 2차 인증.
• FIDO2 (WebAuthn + CTAP): 웹/모바일 환경에서 비밀번호 없는 로그인 실현 (현재 가장 많이 쓰임).

🔑 FIDO 버전별 특징

1. FIDO UAF (Universal Authentication Framework, 2014)

• 목적: 완전한 비밀번호 없는 로그인 제공
• 방식: 사용자는 지문, 얼굴인식, PIN 등 로컬 인증 → 개인키로 서명
• 흐름:
  • 서버에는 공개키만 저장
  • 사용자 기기에서 개인키는 절대 외부로 나오지 않음
• 특징: 1차 인증 자체를 대체 → "비밀번호 필요 없음"

---

2. FIDO U2F (Universal 2nd Factor, 2014)

• 목적: 기존 비밀번호 로그인에 2차 보안 추가
• 방식:
  • USB / NFC / Bluetooth 기반 보안키 사용
  • 로그인 시 기기에서 개인키로 challenge-response 처리
• 특징:
  • 비밀번호 + 보안키 = MFA
  • 피싱 방어 가능 (도메인 바인딩 지원)
• 예시: Google 계정 2단계 인증용 YubiKey

---

3. FIDO2 (2018~현재, WebAuthn + CTAP)

• 목적: 웹/모바일 환경에서 비밀번호 없는 인증 완성
• 구성 요소:
  • WebAuthn (W3C 표준) → 브라우저/웹앱에서 FIDO API 제공
  • CTAP (Client To Authenticator Protocol) → PC·모바일 ↔ 외부 보안키(USB/NFC/BLE) 통신 규약
• 특징:
  • 완전한 패스워드리스 로그인 가능
  • 브라우저, OS, 모바일 앱에서 광범위하게 지원
  • Passkey (구글·애플·MS가 지원 중)로 확장

---

📌 요약 비교

버전주요 목적인증 방식활용 예시

UAF	비밀번호 제거	지문/얼굴인식 등 → 개인키 서명	특정 앱 전용 로그인
U2F	2차 인증 강화	보안키(USB/NFC) → 개인키 서명	구글, 깃허브 계정 2FA
FIDO2	패스워드리스/범용	WebAuthn + CTAP (브라우저/OS 지원)	Passkey 기반 로그인

---

👉 요약하면,

• UAF는 "비밀번호 아예 제거"
• U2F는 "비밀번호 + 보안키"
• FIDO2는 "웹 표준 기반으로 비밀번호 없는 로그인 대중화"

https://fidoalliance.org/