다중 인증이란 무엇인가요?

세 가지 표준 인증 요소는 지식(비밀번호, PIN), 소유(스마트폰, 하드웨어 토큰, 스마트카드), 고유성(지문, 얼굴 인식)이다. MFA는 이 중 최소 두 범주의 자격 증명을 요구하므로, 단일 요소가 유출되어도 공격자가 접근하기에 충분하지 않다. 도난당한 비밀번호는 하드웨어 토큰 없이는 쓸모없고, 도난당한 스마트폰은 PIN 없이는 쓸모없다.

가장 흔한 MFA 구현은 비밀번호를 인증 앱이 생성하는 시간 기반 일회용 비밀번호(TOTP), SMS 코드, 또는 모바일 기기 푸시 알림과 결합한다. 더 강력한 구현은 하드웨어 보안 키(FIDO2/WebAuthn)를 사용하는데, 이는 인증하는 특정 도메인에 암호학적으로 결속되므로 피싱에 저항한다. SMS 기반 코드는 비밀번호만 쓰는 것보다는 낫지만 SIM 스와핑 공격에 취약하다.

MFA는 조직이 배포할 수 있는 가장 효과적인 보안 조치 중 하나다. 업계 데이터는 MFA가 자동화된 자격 증명 공격의 99% 이상을 차단함을 일관되게 보여준다. 그럼에도 도입은 고르지 않다. 많은 보안 사고가 비밀번호로만 보호되는 계정, 특히 서비스 계정, 레거시 시스템, 여러 서비스에 재사용된 개인 계정으로 거슬러 올라간다.

Vaulted가 다중 인증을 사용하는 방법

Vaulted는 계정이나 로그인 기반 인증을 사용하지 않으므로 MFA가 서비스에 직접 적용되지는 않는다. 그러나 Vaulted의 선택적 패스프레이즈 보호는 비밀 접근에 유사한 두 번째 요소를 제공한다. 링크 자체가 "가진 것"(URL 소유)으로 작동하고 패스프레이즈가 "아는 것"으로 작동한다. 둘을 합치면 링크를 가로채는 것만으로는 비밀에 접근할 수 없도록 보장한다. 공격자에게는 별도 채널로 전달돼야 하는 패스프레이즈도 필요하기 때문이다.