FIDO vs MFA vs TOTP

🔑 FIDO vs MFA vs TOTP

1. FIDO

• 정의: 비밀번호 없는 인증(Passwordless Authentication)을 목표로 한 공개키 기반 인증 표준.
• 방식: 기기 내 보안 영역(Secure Element, TPM, 스마트폰 보안칩 등)에 **개인키(private key)**를 저장하고, 서비스에는 **공개키(public key)**를 등록. 로그인 시 기기에서 생체인증/보안키 터치/PIN으로 개인키 서명 → 서버가 공개키로 검증.
• 특징:
  • 서버에 비밀번호 저장 X (피싱/DB유출에 안전).
  • 사용자 경험이 편리 (지문/얼굴로 로그인).
  • 표준: **FIDO2(WebAuthn+CTAP)**가 현재 주류.

---

2. MFA (Multi-Factor Authentication)

• 정의: 서로 다른 인증 요소를 2개 이상 결합하는 인증 방식.
• 요소 구분:
  • 지식 요소: 비밀번호, PIN (내가 아는 것)
  • 소유 요소: 스마트폰, 보안토큰 (내가 가진 것)
  • 고유 요소: 지문, 얼굴, 음성 (내가 누구인지)
• 예시: 비밀번호 + SMS 인증코드, 비밀번호 + 지문인증.
• 특징:
  • 보안 수준 높음 (단일 요소 탈취로는 접근 불가).
  • UX는 다소 불편할 수 있음.

---

3. TOTP (Time-based One-Time Password)

• 정의: 시간 기반 일회용 패스워드.
• 원리: 서버와 클라이언트(예: Google Authenticator 앱)가 공유한 비밀키 + 현재 시간으로 OTP 생성 (30초 단위로 변경).
• 특징:
  • 구현·배포가 쉽고 오픈 표준(RFC 6238).
  • MFA의 한 형태 (보통 비밀번호 + TOTP).
  • 단점:
    • 피싱 취약 (사용자가 입력한 OTP를 중간자 공격자가 가로채면 재사용 가능).
    • 공유 비밀키(seed) 유출 시 전체 시스템 위협.

---

📊 비교 요약

구분	FIDO	MFA	TOTP
보안 수준	매우 높음 (피싱·DB유출 방어)	높음 (요소 2개 이상)	중간 (피싱에 취약)
사용 편의성	편리 (지문·얼굴·보안키 터치)	보통~불편 (요소 조합에 따라 다름)	불편 (숫자코드 직접 입력)
표준/기술	공개키 암호학 (FIDO2/WebAuthn)	개념적 프레임워크	RFC 6238
대표 사용	구글·MS 계정, 최신 웹 로그인	금융·기업 보안 로그인	구글 OTP, Authy, 금융사 OTP

---

 

👉 한 줄 요약:

• MFA = "요소 2개 이상 쓰자"는 개념.
• TOTP = MFA를 구현하는 한 방법(비밀번호+OTP).
• FIDO = 비밀번호 자체를 없애고 공개키 인증으로 대체하는 표준.