망해가는 패스키

(참고: 인용하는 글은 번역 오류로 의미가 변경될까봐 원문 그대로 가져왔습니다.)

William Brown의 글:

However Chrome simply never implemented it leading to it being removed. And it was removed because Chrome never implemented it. As a result, if Chrome doesn’t like something in the specification they can just veto it without consequence.

전 브라우저 지원을 기다리는 걸 싫어합니다. 몇 년 전, 가족 전체에게 하드웨어 키를 나눠주면서 온라인 사이트들에 로그인할 때 사용하도록 전환했는데, 진짜 최악으로 끔찍한 경험이었죠. 제가 처음으로 하드웨어 키를 사용할때는, iOS의 사파리는 FIDO 키를 지원조차 하지 않았습니다 (아마도 iOS 13이나 14 이전이겠죠?) 그리고 결국 지원을 추가했을 때 NFC 키나 그런 것들만 지원해줘가지고 블루투스나 USB 연결 방식의 키들은 구글의 특수 지원 어플을 깔고 무슨 페어링 절차를 거치지 않았다면 아예 동작하지 않았습니다.

패스키 도입이 위에 경험을 다시 반복하는 느낌입니다. 비트워든 (Bitwarden) 지원은 데스크탑 브라우저 확장 플러그인에만 그치죠. (참고로 2024년 현재까지도 브라우저 플러그인 외 다른 클라이언트 어플에서는 하드웨어 키조차 지원하지 않는다는 점 얘기했었나요? 이 어플들에 로그인하려면 결국 다른 2FA 방식을 추가해야 되는데, 그럼 계정 보안이 전체적으로 약해지는데도요?) 만약 패스워드 매니저에 패스키들을 저장할 수 없다면, 기기간 동기화가 되지 않고, 사이트들에 로그인할 때마다 한 기기를 계속 꺼내고 싶지는 않습니다.

Both Chrome and Safari will try to force you into using either hybrid (caBLE) where you scan a QR code with your phone to authenticate - you have to click through menus to use a security key. caBLE is not even a good experience, taking more than 60 seconds work in most cases. The UI is beyond obnoxious at this point. Sometimes I think the password game has a better ux.

The more egregious offender is Android, which won’t even activate your security key if the website sends the set of options that are needed for Passkeys. This means the IDP gets to choose what device you enroll without your input. And of course, all the developer examples only show you the options to activate “Google Passkeys stored in Google Password Manager”. After all, why would you want to use anything else?

아니, 왜 아이클라우드 계정에 패스키를 저장하지 않냐고요? 왜냐하면 쿠퍼티노에서 만들지 않은 기기들도 보유하고 있고, 이 기기들은 애플의 서버에 접근조차 하지 못하기 때문이죠. 그리고 안드로이드 상에서는 원글에 보시다시피 구글이 패스키들을 전부 차지할려고 하고요.

결국 패스키는 복잡함이 가미된 SSO에 불과하다고 봅니다.

비슷한 게시물

댓글