FAQ

Passwordless Alliance는 국제기술표준화 기구인 ITU의 전직 이재섭 국장과 ITU-T X.1280 표준기술을 개발한 듀얼오스 우종현 대표가 스위스 제네바에 설립한 비영리 단체입니다. 패스워드에 대한 사회 문제를 해결하고자 온라인 서비스 이용자, 온라인 서비스 운영자, 정부 기관, 관련 협회, 소프트웨어 개발자 등이 함께 멤버로 참여하고 있습니다. 

Passwordless Alliance는 실천적인 단체가 되기 위해서 B2C온라인 서비스를 대상으로한 무료 소프트웨어를 보급하고 있습니다. 종래 다른 표준 협회나 얼라이언스가 기술 공급자 중심으로 기술표준을 만들어서 호환성을 확보하는데 집중했다면, 패스워드리스 얼라이언스는 기완성된 국제표준 기술을 기반으로 개발된 Passwordless X1280 소프트웨어를 기술 수용자인 온라인 서비스가 직접 사용할 수 있도록 무료로 제공하고 있습니다. 또한 소프트웨어 제공 이외에도 패스워드리스 X1280 모바일 앱에서 발생하는 온라인 광고 수익까지 패스워드리스를 도입하는 온라인 서비스 제공사와 나누어 빠르게 패스워드리스를 보급하고 있습니다.  

Passwordless X1280은 B2C 온라인 서비스에서 무료로 이용할 수 있는 소프트웨어입니다. Passwordless Alliance는 전세계 B2C 온라인 서비스에 Passwordless  X1280 소프트웨어를 무료로 제공하고 있습니다. 

사용자가 이용하는 Passwordless X1280 모바일 앱에는 구글 디스플레이 광고가 탑재되어 있습니다. 사용자 활용에 따른 광고 수익을 기반으로 패스워드리스 소프트웨어를 제공하고자 합니다.  

Passwordless X1280은 B2C 온라인 서비스에 이용할 수 있는 무료 소프트웨어입니다. Passwordless Alliance는 전세계 온라인 서비스 최종 이용자(소비자)를 보호하는 것을 목표로 합니다. B2C 온라인 서비스에 패스워드리스 기술을 보급하여 서비스 이용자(소비자)의 개인정보 및 금융정보 등을 보호하고자 합니다.  

Passwordless Alliance는 기업이나 기관의 사이버 보안 소프트웨어를공급하는 것이 아닙니다.  온라인 서비스가 내부 임직원을 대상으로 운영 중인 경우 사이버 보안 소프트웨어 공급사에 연락하여 도입하시기 바랍니다.  (주의: 온라인 서비스의 이용자가 해당 서비스 운영 기관의 직원, 컨설턴트, 에이전트, 협력업체 직원인 경우에는 Passwordless X1280를 사용해서는 안됩니다.) 

사용자 패스워드는 사용자가 정당한 사용자 임을 온라인 서비스에 입증하는 인증 기술로 여러 온라인 서비스에서 가장 많이 사용되고 있습니다.  그러나 사용자 패스워드 방식은 사용자가 접속한 온라인 서비스가 진짜인지 가짜인지 확인하지 않은채로 입력하거나 입력하는 과정에서 해커에게 탈취 될 수 있습니다. 또한 사용자가 기억력의 한계로 온라인 서비스 마다 동일한 패스워드를 사용하기 때문에 여러 온라인 서비스 중 한곳만 탈취되어도 나머지 온라인 서비스의 패스워드를 변경해야 하는 부담을 갖게 됩니다.

그러나 패스워드리스 X1280방식은 패스워드에 대한 입증책임을 온라인 서비스가 갖게되어 사용자가 패스워드를 외우고, 입력하고, 변경하는 책임을 지지 않아도 됩니다.  심지어 해당 온라인 서비스가 탈취되어  사용자 패스워드가 유출되더라도 해당 패스워드는 패스워드리스 방식으로 로그인할때 마다 무직위로 변경되기 때문에 사용자의 다른 온라인 서비스에 영향을 주지 않습니다. 

Passwordless X1280은 온라인 서비스가 사용자에게 먼저 자동 패스워드를 제시하고 사용자가 이를 스마트폰에서 확인 하기 때문에 사용자는 서비스제공자가 진짜인지 가짜인지 확인할 수 있어 사용자만 인증하는 기존 인증 방식보다 2배 이상 안전합니다. 또한 사용자가 불편하게 패스워드를 외우고 변경하고 입력할 필요 없이 온라인 서비스가 제시한 자동 패스워드를 모바일 앱에서 승인하기 때문에 사용하기 편리합니다.

Passwordless X1280은 온라인 서비스의 사용자 패스워드 기능을 없앤것이 아니라 패스워드리스 설정 이후 복잡한 문자열로 사용자 패스워드를 자동 변경한 것이기 때문에 내부적으로는 여전히 사용자 패스워드가 존재합니다.

단 특정 온라인 서비스의 사용자 계정에 Passwordless X1280을 등록하게 되면

해당 계정의 패스워드는 복잡한 무작위 패스워드로 자동 변경되며, 패스워드리스 X1280으로 로그인할때 마다 사용자 패스워드는 매번 자동 변경됩니다.

따라서 사용자는 더 이상 사용자 패스워드를 변경하거나 숙지할 필요없이 온라인 서비스가 제시하는 자동 패스워드를 스마트폰에서 확인 하면됩니다.

Passwordless X1280은 온라인 서비스의 사용자 패스워드 기능을 없앤것이 아니라 패스워드리스 설정 이후 복잡한 문자열로 사용자 패스워드를 자동 변경한 것이기 때문에 내부적으로는 여전히 사용자 패스워드가 존재합니다.

따라서  일시적으로 핸드폰을 분실한 것이라면 로그인 창의 사용자 패스워드 찾기 메뉴로 임시 로그인이 가능합니다.  단 사용자 패스워드 찾기를 통해서 임시적으로 로그인을 했다 하더라도 그 이후 Passwordless X1280앱으로 온라인 서비스에 로그인하면 사용자 패스워드가 복잡한 패스워드로 자동 변경됩니다.

만약 일시적으로 핸드폰을 분실한 것이 아니라 핸드폰을 교체하는 경우라면 패스워드 찾기를 통해서 로그인 한 이후 온라인 서비스 메뉴 중 패스워드리스 설정 메뉴에 들어가서 패스워드리스를 먼저 해제한 후 새로운 스마트폰으로 재등록절차를 밟아야 합니다.

기존의 OTP는 보안성이 뛰어난 사용자 인증기술이지만 사용자가 접속한 온라인 서비스가 진짜인지 가짜인지 확인하지 못한채로 OTP코드를 입력하게 되면 탈취 당할 수 있는 취약점을 갖고 있습니다. 그러나 Passwordless X1280은 온라인 서비스가 사용자에게 먼저 자동 패스워드를 제시하고 사용자가 이를 스마트폰에서 확인 하기 때문에 사용자는 서비스제공자가 진짜인지 가짜인지 확인할 수 있습니다.  따라서 사용자만 인증하는 기존 OTP 기술보다 2배 이상 안전합니다. 또한 사용자가 불편하게 OTP코드를 읽고 손으로 입력하지 않고, 온라인 서비스가 제시하는 자동 패스워드를 모바일 앱에서 승인하기 때문에 사용하기 편리합니다.

생체인증 기술은 패스워드를 없앨 수 있는 훌륭한 기술이지만 생체인증 기술은 대역내 인증 기술로 생체인증 센서가 부착된 기기내에서만 유효한 인증 기술입니다.  따라서 스마트폰에 장착된 생체인증 센서는 스마트폰의 인증수단으로는 사용할 수 있지만 생체인증 센서가 없는 PC나 스마트TV, AI스피커, ATM과 같은 다른 사용자 기기에서는 사용할 수 없습니다.  만약 사용자 기기별로 생체인증을 수행하고자 한다면 기기별로 별도의 생체 인증 센서를 부착해야 합니다.

하지만 PasswordlessX1280는 대역외 통신채널로 사용자가 온라인 서비스를 인증한 이후 사용자의 생체인증 값을 전달하기 때문에 스마트폰에 있는 생체인증 센서가 생체인증 센서가 부착되지 않은 기기에서도 연장하여 사용될 수 있는 보안성과 편리성을 갖고 있습니다. 무엇보다도 어떤 온라인 서비스에게 자신의 생체인증 정보를 제출하는지 먼저 확인한 후 제출할 수 있어 생체인증 센서 도입비용을 절감할 수 있습니다. 

PasswordlessX1280와 모바일 푸시기반의 인증 기술은 작동방식이 유사해 보이지만 근본적인 차이가 있습니다. 푸시기반 인증 기술은 사용자가 푸시 수신이 가능한 사용자 인증기를 소지하였는지 확인하는 기술입니다. 즉 사용자만 인증하는 기술입니다.  그러나 사용자가 최초 접속한 서비스가 가짜 서비스인 상태에서 푸시 인증기로 푸시 메시지가 수신되는 경우 사용자의 푸시 인증은 도용될 수 있습니다. 즉 사용자가 진짜안지 가짜인지 구분할 수 없는 서비스에 접속한 이후 푸시 메시지를 수신하게 되면 푸시 메시지가 어디서 시작된 것인지 확인하지 않은채로 승인할 수 있습니다.  이 경우 사용자는 자신의 접속을 승인한 것이 아니라 공격자의 접속을대신 승인하게 됩니다.  

이에 반해 Passwordless X1280은 온라인 서비스가 사용자에게 자동 패스워드를 제출하고, 사용자가 Passwordless X1280 앱에서 생성한 자동 패스워드와 비교하여 일치하면 온라인 서비스가 정당한 온라인 서비스인지를 승인하는 기술이 추가되어 있어 푸시 인증이 어디서 개시된 것인지 눈으로 확인할 수 있습니다. 따라서 푸시 메시지를 이용하는 것은 같지만 푸시기반 사용자 인증 기술은 사용자 인증만 수행하는데 반하여 PasswordlessX1280는 온라인 서비스 제공자와 사용자를 동시에 인증합니다.