게시일: 2024년 11월 13일
Chrome 132부터 Chrome 데스크톱 (macOS, Windows, Linux, ChromeOS)은 패스키 제공업체의 패스키를 신뢰 당사자 서버의 공개 키 사용자 인증 정보와 일치시킬 수 있는 Signal API를 지원합니다.
패스키 (검색 가능한 사용자 인증 정보)가 생성되면 사용자 이름 및 표시 이름과 같은 메타데이터가 비공개 키와 함께 패스키 제공업체 (예: 비밀번호 관리자)에 저장되고 공개 키 사용자 인증 정보는 신뢰 당사자 (RP)의 서버에 저장됩니다. 사용자 이름과 표시 이름을 저장하면 사용자가 로그인할 패스키를 식별하는 데 도움이 됩니다. 로그인 시 패스키를 선택하라는 메시지가 표시되기 때문입니다. 이는 특히 여러 패스키 제공업체의 패스키가 2개 이상인 경우에 유용합니다.
하지만 패스키 제공업체의 패스키 목록과 서버의 사용자 인증 정보 목록 간에 차이가 있어 혼란을 야기할 수 있는 경우가 몇 가지 있습니다.
첫 번째 사례는 사용자가 서버에서 사용자 인증 정보를 삭제하고 패스키 제공업체의 패스키는 그대로 두는 경우입니다. 사용자가 패스키로 다음번에 로그인하려고 하면 패스키 제공업체에서 패스키를 계속 사용자에게 표시합니다. 그러나 서버에서 삭제된 공개 키로 확인할 수 없으므로 로그인 시도가 실패합니다.
두 번째 경우는 사용자가 서버에서 사용자 이름 또는 표시 이름을 업데이트하는 경우입니다. 사용자가 다음에 로그인하려고 하면 패스키 제공업체의 패스키가 서버에서 업데이트되었음에도 불구하고 기존 사용자 이름과 표시 이름이 계속 표시됩니다. 동기화되어 있는 것이 이상적입니다.
Signal API
WebAuthn Signal API를 사용하면 RP가 연결된 패스키 제공업체에 기존 사용자 인증 정보를 전달할 수 있습니다. 이렇게 하면 지원 패스키 제공업체가 서버와 일치하도록 저장소에서 잘못되거나 취소된 패스키를 업데이트하거나 삭제할 수 있습니다.
예를 들어 RP 서버에 연결된 사용자 인증 정보가 더 이상 존재하지 않아 사용자가 RP에 로그인하지 못하는 경우 RP는 Signal API를 사용하여 삭제된 사용자 인증 정보가 더 이상 패스키 제공업체에 유효하지 않다고 신호를 보낼 수 있으므로 패스키 제공업체는 연결된 패스키를 삭제할 수 있습니다.
또 다른 예는 사용자가 RP의 설정 페이지로 이동하여 기존 사용자 인증 정보를 삭제하는 경우입니다. RP는 Signal API를 사용하여 사용 가능한 사용자 인증 정보 목록을 패스키 제공업체에 신호를 보내 패스키 제공업체가 연결된 패스키를 동기화할 수 있도록 할 수 있습니다.
또한 업데이트된 사용자 이름과 표시 이름을 신호하여 동일한 사용자에 대해 저장된 패스키 메타데이터를 업데이트할 수 있습니다.
예를 들어 사용자가 RP에서 사용자 이름 또는 표시 이름을 업데이트하면 RP는 Signal API를 사용하여 업데이트된 사용자 정보를 패스키 제공업체에 신호를 보낼 수 있으므로 패스키 제공업체는 연결된 패스키의 사용자 정보를 동기화된 상태로 유지할 수 있습니다.
Chrome 데스크톱의 Google 비밀번호 관리자는 Signal AP를 구현합니다. Chrome 확장 프로그램 기반 패스키 제공업체의 경우 신호를 반영할지 여부는 제공업체에 따라 다릅니다.
향후 Android Chrome에서 Signal API를 지원할 계획입니다.
WebAuthn Signal API를 통합하는 방법을 알아보려면 Signal API를 사용하여 패스키 목록을 서버와 동기화 유지를 참고하세요.