FIDO U2F 유비키(Yubikey)

용어설명

  • FIDO(Fast IDentity Online) Alliance: 온라인에서 이뤄지는 인증 관련 표준을 다루는 단체.
  • FIDO U2F(Universal Second Factor): FIDO에서 제공하는 사양중에 하나로 이중 인증 장치를 규정하는 표준 , 유사한 사양으로 PAM(Pluggable Authentication Module) 이 있다. USB-C나 NFC(스마트카드), 블루투스등을 통하여 작동할 수 있다.
  • Yubico: 구글과 함께 U2F를 만든 회사. 관련 소프트웨어 라이브러리와 하드웨어 등을 판매한다. 현재 내가 사용하고 있는 모델은 Yubikey 5C Nano WebAuthn, U2F, PAM, PIV(Personal Identity Verification = 스마트 카드 인증) 등을 지원한다.

대표적인 기능별 인증 방법

서비스명 인증 메커니즘
Mac 로그인 PIV

https://support.yubico.com/support/solutions/articles/15000006468-using-your-yubikey-as-a-smart-card-in-macos

SSH PAM
Github WebAuthn (U2F, 또는 touch id)

https://help.github.com/en/articles/configuring-two-factor-authentication#configuring-two-factor-authentication-using-fido-u2f

GIthub Security Keys 옵션
GIthub Security Keys 옵션

Github인증시 화면
Github 인증시 2FA요구 화면
Bitbucket U2F

Bitbucket Security Key
Bitbucket Security Key
Anyconnect OTP
Idaptive U2F

Idaptive login
Idaptive login

Idaptive login2
Idaptive login2

그외 지원하는 서비스 목록은 https://www.yubico.com/works-with-yubikey/catalog/

PAM과 PIV의 사용성 비교

유비키가 지원하는 인증 방법을 비교해본다.

PIV PAM
Secret이 Yubikey에 존재 Secret이 호스트(사용자PC)에 존재
매우 안전 적절히 안전
Yubikey + PIN Yubikey + (선택적으로 PIN)
스마트 카드의 키관리가 필요 jamf등을 통한 호스트관린가 필요
키를 잊어 버렸을 때 난감함 큰 문제가 되지 않음

U2F뿐만 아니라 WebAuthn 이나  OTP로도 동작할 수 있다. 해당 하드웨어를 미리 등록해 놓음으로서 OTP입력시 간단히 USB동글을 터치함으로서 로그인이 가능하다. 유비키만세.