마이크로소프트, 새 계정 기본 로그인에서 비밀번호 뺐다

패스키를 쓰면 이용자는 지원되는 앱이나 웹사이트에서 재사용 가능한 비밀번호를 입력하는 대신 얼굴, 지문, PIN 등으로 로그인할 수 있다 . 일부 보도는 패스키를 WebAuthn 기반 자격 증명으로 설명하며, 공개키·개인키 암호 방식을 사용하고 개인키는 이용자 기기에 저장된다고 소개했다 .

기기와 서비스에 따라 선택지는 조금씩 다를 수 있다. 마이크로소프트의 비밀번호 없는 로그인 방식에는 패스키, Windows Hello 방식의 얼굴·지문·PIN 로그인, Microsoft Authenticator 앱, 물리 보안 키 등이 포함될 수 있다 .

기존 이용자는 당장 무엇이 바뀌나

이번 발표가 기존 Microsoft 계정에서 비밀번호 로그인을 즉시 없앤다는 뜻은 아니다. 마이크로소프트와 관련 보도는 이번 기본값 변경을 새로 만들거나 새로 생성되는 Microsoft 계정에 초점을 맞춰 설명하고 있다 .

다만 기존 이용자도 같은 방향으로 이동할 수 있다. 마이크로소프트는 이용자가 계정 설정에 들어가 비밀번호를 삭제할 수 있다고 안내했고, 지원되는 환경에서는 패스키 사용을 더 넓게 권장하고 있다 .

주의할 점도 있다. 마이크로소프트는 패스키를 ‘지원되는 앱과 웹사이트’에서 쓰는 로그인 방식으로 설명한다 . 따라서 기존 계정에서 비밀번호를 없애기 전에는 자주 쓰는 기기에서 패스키 로그인이 안정적으로 되는지, 계정 복구 수단이 최신 상태인지 먼저 확인하는 편이 안전하다.

마이크로소프트가 비밀번호를 밀어내려는 이유

마이크로소프트의 보안 논리는 분명하다. 비밀번호는 피싱, 무차별 대입 공격, 크리덴셜 스터핑처럼 탈취·재사용을 노리는 공격의 흔한 약점으로 지목돼 왔다 .

패스키는 공유되는 문자열 비밀번호 대신 기기 기반 인증을 사용하도록 설계돼, 지원되는 서비스에서 피싱에 더 강한 방식으로 제시된다 . 사용성도 마이크로소프트가 강조하는 지점이다. RCPmag는 마이크로소프트의 설명을 인용해 패스키 로그인 성공률이 약 98%인 반면, 비밀번호 로그인 성공률은 약 32%라고 전했다 .

이용자가 기억할 점

새 Microsoft 계정을 만들 예정이라면, 앞으로 가입 과정에서 비밀번호보다 패스키 등 비밀번호 없는 로그인 방식이 먼저 제시될 가능성이 크다. 기존 계정 이용자라면 갑자기 계정이 잠기는 변화라기보다, 패스키를 추가하고 복구 방법을 점검한 뒤 필요할 때 비밀번호 삭제를 선택하는 변화에 가깝다 .

정리하면 방향은 명확하다. 마이크로소프트는 패스키를 비밀번호의 보조 수단으로만 두려는 것이 아니라, 새 계정 로그인에서 비밀번호 없는 인증을 기본 경로로 만들고 있다 .