WebAuthn
WebAuthn(←Web Authentication)은 월드 와이드 웹 컨소시엄에서 발표한 웹 표준이다. WebAuthn은 FIDO 얼라이언스의 지침에 따라 FIDO2 프로젝트의 핵심 구성 요소이다. 이 프로젝트의 목표는 공개 키 암호화를 사용하여 웹 기반 애플리케이션 및 서비스에 대해 사용자를 인증하기 위한 인터페이스를 표준화하는 것이다.
클라이언트 측에서는 WebAuthn 지원을 다양한 방법으로 구현할 수 있다. 기본 암호화 작업은 키 데이터 관리 방법과 관련하여 대부분 불가지론적인 추상 기능 모델인 인증자에 의해 수행된다. 이를 통해 프로세서의 신뢰할 수 있는 실행 환경 또는 신뢰 플랫폼 모듈(TPM)을 활용하여 순수하게 소프트웨어에서만 WebAuthn에 대한 지원을 구현할 수 있다. 민감한 암호화 작업은 USB, 저전력 블루투스 또는 근거리 무선 통신(NFC)을 통해 접근할 수 있는 로밍 하드웨어 인증자로 오프로드될 수도 있다. 로밍 하드웨어 인증자는 FIDO 클라이언트-인증자 프로토콜(CTAP)을 준수하므로 WebAuthn은 FIDO U2F(Universal 2nd Factor) 표준과 효과적으로 역호환된다.
레거시 U2F와 유사하게 웹 인증은 검증자 명의 도용에 탄력적이다. 즉, 피싱 공격에 강하지만 U2F와 달리 WebAuthn에는 기존 비밀번호가 필요하지 않는다. 더욱이 로밍 하드웨어 인증자는 개인 키 데이터가 호스트 시스템에서 실행되는 소프트웨어에 언제든지 액세스할 수 없기 때문에 악성 코드에 대한 저항력이 있다.
WebAuthn 레벨 1 및 2 표준은 각각 2019년 3월 4일과 2021년 4월 8일에 W3C 권고사항으로 게시되었다. 레벨 3 사양은 현재 FPWD(First Public Working Draft)이다.