암호 없는 로그인
암호는 디지털 보안의 기본 부분이지만 종종 불편하고 사이버 공격에 취약합니다. Windows 11 통해 사용자는 보다 안전하고 사용자에게 친숙한 대안을 제공하는 암호 없는 보호를 즐길 수 있습니다. 보안 권한 부여 프로세스 후 자격 증명은 여러 계층의 하드웨어 및 소프트웨어 보안에 의해 보호되어 사용자에게 앱 및 클라우드 서비스에 대한 원활하고 암호 없는 액세스를 제공합니다.
Windows Hello
암호가 약하거나, 도난당하거나, 잊혀지는 경우가 많습니다. 조직은 위반 위험을 줄이고, 암호 관리 비용을 낮추며, 사용자와 고객의 생산성과 만족도를 높이기 위해 암호 없는 로그인으로 전환하고 있습니다. Microsoft는 조직이 Windows 보안 및 ID 보호의 초석인 Windows Hello 사용하여 안전하고 암호 없는 미래로 나아갈 수 있도록 돕기 위해 최선을 다하고 있습니다.
Windows Hello 생체 인식 또는 PIN 확인을 사용하여 암호 없는 로그인을 사용하도록 설정하고 FIDO2 암호 없는 업계 표준에 대한 기본 제공 지원을 제공합니다. 따라서 사람들은 더 이상 인증을 위해 보안 키와 같은 외부 하드웨어를 휴대할 필요가 없습니다.
안전하고 편리한 로그인 환경은 PIN 또는 TPM(신뢰할 수 있는 플랫폼 모듈)에 의해 보호되는 얼굴 또는 지문 인식과 같은 생체 인식 데이터를 기반으로 암호를 더 강력한 인증 모델로 보강하거나 바꿀 수 있습니다. 단계별 지침을 통해 쉽게 설정할 수 있습니다.
Windows Hello TPM에 프로비전된 비대칭 키를 사용하여 사용자의 자격 증명을 디바이스에 바인딩하여 인증을 보호합니다. Windows Hello PIN 또는 생체 인식 일치를 기반으로 사용자의 유효성을 검사한 다음 TPM에서 해당 사용자에게 바인딩된 암호화 키를 사용할 수 있도록 허용합니다.
PIN 및 생체 인식 데이터는 디바이스에 유지되며 외부에서 저장하거나 액세스할 수 없습니다. 디바이스에 물리적으로 액세스하지 않고는 데이터에 액세스할 수 없으므로 자격 증명은 재생 공격, 피싱 및 스푸핑뿐만 아니라 암호 재사용 및 누출로부터 보호됩니다.
Windows Hello MSA(Microsoft 계정), ID 공급자 서비스 또는 FIDO2 또는 WebAuthn 표준을 구현하는 신뢰 당사자에 사용자를 인증할 수 있습니다.
더 알아보세요
Windows Hello PIN
디바이스에 물리적으로 액세스할 수 있는 사람만 입력할 수 있는 Windows Hello PIN은 강력한 다단계 인증에 사용할 수 있습니다. PIN은 TPM에 의해 보호되며 생체 인식 데이터와 마찬가지로 디바이스를 벗어나지 않습니다. 사용자가 PIN을 입력하면 인증 키가 잠금 해제되고 인증 서버로 전송된 요청에 서명하는 데 사용됩니다.
TPM은 분실 또는 도난당한 디바이스에 대한 PIN 무차별 암호 대입 공격을 비롯한 위협으로부터 보호합니다. 잘못된 추측이 너무 많으면 디바이스가 잠깁니다. IT 관리자는 복잡성, 길이 및 만료 요구 사항과 같은 PIN에 대한 보안 정책을 설정할 수 있습니다.
Windows 11 버전 24H2의 새로운 기능
디바이스에 기본 제공 생체 인식이 없는 경우 기본적으로 VBS(가상화 기반 보안)를 사용하여 자격 증명을 격리하도록 Windows Hello 향상되었습니다. 이 추가된 보호 계층은 관리자 수준 공격을 보호하는 데 도움이 됩니다. PIN으로 로그인하는 경우에도 자격 증명은 보안 컨테이너에 저장되어 기본 제공 생체 인식 센서가 있거나 없는 디바이스에서 보호를 보장합니다.
생체 인식 Windows Hello
Windows Hello 생체 인식 로그인은 빠르고 편리한 로그인 환경을 통해 보안과 생산성을 모두 향상시킵니다. PIN을 입력할 필요가 없습니다. 쉽고 즐거운 로그인을 위해 생체 인식 데이터를 사용하기만 하면 됩니다.
지문 또는 얼굴 인식 카메라와 같은 생체 인식 하드웨어를 지원하는 Windows 디바이스는 Windows Hello 직접 통합되어 Windows 클라이언트 리소스 및 서비스에 액세스할 수 있습니다. 얼굴 및 지문에 대한 생체 인식 판독기에서는 Windows Hello 생체 인식 요구 사항을 준수해야 합니다. Windows Hello 얼굴 인식은 등록 시 사용되는 신뢰할 수 있는 카메라에서만 인증하도록 설계되었습니다.
등록 후 주변 장치 카메라가 디바이스에 연결된 경우 내부 카메라로 로그인하여 유효성을 검사한 후 얼굴 인증에 사용할 수 있습니다. 보안을 강화하기 위해 외부 카메라를 Windows Hello 얼굴 인식과 함께 사용할 수 없습니다.
더 알아보세요
Windows 존재 감지
Windows 프레즌스 감지[9]는 하이브리드 작업자를 위한 또 다른 데이터 보안 보호 계층을 제공합니다. Windows 11 디바이스는 사용자의 현재 상태에 지능적으로 적응하여 가정, 사무실 또는 공공 환경에서 작업하든 관계없이 안전하고 생산적인 상태를 유지할 수 있습니다.
Windows 프레즌스 감지는 현재 상태 감지 센서와 Windows Hello 얼굴 인식을 결합하여 사용자를 핸즈프리로 서명하고 사용자가 떠날 때 자동으로 디바이스를 잠급니다. 적응형 디밍을 사용하면 사용자가 현재 상태 센서와 호환되는 디바이스를 바라보면 PC가 화면을 흐리게 합니다. 또한 기본 제공 환경에서 쉽게 사용하도록 설정하고 설정의 새로운 링크를 사용하여 현재 상태 감지 기능을 찾는 데 도움이 되도록 디바이스에서 프레즌스 센서를 구성하는 것이 그 어느 때보다 쉽습니다. 디바이스 제조업체는 현재 상태 센서에 대한 확장을 사용자 지정하고 빌드할 수 있습니다.
개인 정보 보호는 가장 중요하며 그 어느 때보다 중요합니다. 고객은 정보의 사용에 대한 투명성과 제어를 강화하기를 원합니다. 새 앱 개인 정보 설정을 사용하면 사용자가 현재 상태 센서 정보에 대한 액세스를 허용하거나 차단할 수 있습니다. 사용자는 초기 Windows 11 설정 중에 이러한 설정을 결정할 수 있습니다.
또한 사용자는 보다 세분화된 설정을 활용하여 절전 모드 해제, 휴가 잠금 및 적응형 디밍과 같은 차별화된 프레즌스 감지 기능을 쉽게 사용하거나 사용하지 않도록 설정할 수 있습니다. 또한 타사 애플리케이션에 대한 프레즌스 감지를 위한 새로운 API를 사용하는 개발자도 지원합니다. 이제 타사 애플리케이션은 현재 상태 센서가 있는 디바이스에서 사용자 현재 상태 정보에 액세스할 수 있습니다.
더 알아보세요
비즈니스용 Windows Hello
비즈니스용 Windows Hello organization Active Directory 및 Microsoft Entra ID 계정으로 작동하도록 Windows Hello 확장합니다. OneDrive, 회사 메일 및 기타 비즈니스 앱과 같은 회사 또는 학교 리소스에 대한 Single Sign-On 액세스를 제공합니다. 또한 비즈니스용 Windows Hello IT 관리자는 회사 또는 학교 리소스에 연결하는 디바이스에 대한 PIN 및 기타 로그인 요구 사항을 관리할 수 있습니다.
비즈니스용 Windows Hello 프로비전된 후 사용자는 PIN, 얼굴 또는 지문을 사용하여 자격 증명의 잠금을 해제하고 Windows 디바이스에 로그인할 수 있습니다.
프로비저닝 방법은 다음과 같습니다.
- 암호(미리 보기) - 사용자가 사용자 이름 또는 암호를 입력하지 않고도 Microsoft Entra ID 인증할 수 있는 원활한 방법을 제공합니다.
- TAP(임시 액세스 패스)는 Microsoft Entra ID 통해 발급된 강력한 인증 요구 사항이 있는 시간 제한 암호입니다.
- Microsoft Authenticator 앱을 포함하여 Microsoft Entra ID 기존 다단계 인증
비즈니스용 Windows Hello 기존 사용자 이름과 암호를 보안 키 또는 인증서와 PIN 또는 생체 인식 데이터의 조합으로 대체하여 보안을 강화합니다. 이 설정은 자격 증명을 사용자 계정에 안전하게 매핑합니다.
비즈니스용 Windows Hello 사용할 수 있는 다양한 배포 모델이 있어 다양한 조직의 다양한 요구 사항을 유연하게 충족할 수 있습니다. 이 중 하이브리드 클라우드 Kerberos 신뢰 모델이 권장되며 하이브리드 환경에서 작동하는 조직에서 가장 간단한 것으로 간주됩니다.
더 알아보세요
PIN 재설정
Microsoft PIN 재설정 서비스를 사용하면 사용자가 다시 등록하지 않고도 잊어버린 Windows Hello PIN을 다시 설정할 수 있습니다. Microsoft Entra ID 테넌트에서 서비스를 등록한 후 그룹 정책 또는 Microsoft Intune[4]와 같은 디바이스 관리 솔루션을 사용하여 Windows 디바이스에서 기능을 사용하도록 설정해야 합니다.
사용자는 Windows 잠금 화면 또는 설정의 로그인 옵션에서 PIN 재설정을 시작할 수 있습니다. 이 프로세스에는 PIN을 다시 설정하기 위한 다단계 인증 인증 인증 및 완료가 포함됩니다.
더 알아보세요
다단계 잠금 해제
추가 로그인 보안 계층이 필요한 조직의 경우 다단계 잠금 해제를 사용하면 IT 관리자가 로그인할 두 개의 고유한 신뢰할 수 있는 신호 조합을 요구하도록 Windows를 구성할 수 있습니다. 신뢰할 수 있는 신호 예제에는 PIN, Bluetooth, IP 구성 또는 Wi-Fi와 결합된 PIN 또는 생체 인식 데이터(얼굴 또는 지문)가 포함됩니다.
다단계 잠금 해제는 정보 작업자가 자격 증명을 공유하지 못하도록 방지하거나 2단계 인증 정책에 대한 규정 요구 사항을 준수해야 하는 조직에 유용합니다.
더 알아보세요
Windows 암호 없는 환경
이제 비즈니스용 Windows Hello 완전히 암호 없는 환경을 지원합니다.
IT 관리자는 Microsoft Entra ID 조인된 컴퓨터에 대한 정책을 구성하여 사용자가 회사 리소스에 액세스할 때 암호를 입력하는 옵션을 더 이상 볼 수 없도록 할 수 있습니다. 정책이 구성되면 디바이스 잠금 해제 및 세션 내 인증 시나리오 모두에 대한 암호가 Windows 사용자 환경에서 제거됩니다. 그러나 암호는 아직 ID 디렉터리에서 제거되지 않습니다. 사용자는 비즈니스용 Windows Hello 및 FIDO2 보안 키와 같은 강력한 피싱 방지 소유 기반 자격 증명을 사용하여 핵심 인증 시나리오를 탐색해야 합니다. 필요한 경우 사용자는 Microsoft PIN 재설정 서비스 또는 웹 로그인과 같은 암호 없는 복구 메커니즘을 사용할 수 있습니다.
사용자는 Microsoft Entra ID 직접 인증하여 온-프레미스 애플리케이션 및 기타 리소스에 빠르게 액세스할 수 있도록 지원합니다.
더 알아보세요
향상된 ESS(로그인 보안)
Windows Hello 특수 하드웨어 및 소프트웨어 구성 요소를 사용하여 생체 인식 로그인에 대한 보안 표시줄을 더욱 높이는 향상된 로그인 보안을 지원합니다.
향상된 로그인 보안 생체 인식은 VBS(가상화 기반 보안) 및 TPM을 사용하여 사용자 인증 프로세스와 데이터를 격리하고 정보가 전달되는 경로를 보호합니다.
이러한 특수 구성 요소는 생체 인식 샘플 주입, 재생 및 변조를 포함하는 공격 클래스로부터 보호합니다. 예를 들어 지문 판독기에서는 키 협상 및 Microsoft 발급 인증서를 사용하여 사용자 인증 데이터를 보호하고 안전하게 저장하는 보안 디바이스 연결 프로토콜을 구현해야 합니다. 얼굴 인식을 위해 SDEV(Secure Devices) 테이블과 같은 구성 요소와 트러스트렛을 통한 프로세스 격리는 더 많은 공격 클래스를 방지하는 데 도움이 됩니다.
향상된 로그인 보안은 제조 프로세스 중에 디바이스 제조업체에서 구성하며 일반적으로 보안 코어 PC에서 지원됩니다. 얼굴 인식을 위해 특정 디바이스 제조업체와 검사 특정 실리콘 및 카메라 조합에서 향상된 로그인 보안을 지원합니다. 지문 인증은 모든 프로세서 유형에서 사용할 수 있습니다. 지원 세부 정보는 특정 OEM에 문의하세요.
더 알아보세요
FIDO2
빠른 ID 온라인 산업 표준 기관인 FIDO Alliance는 암호에 대한 의존도를 줄이는 인증 기술 및 표준을 홍보하기 위해 설립되었습니다. FIDO Alliance 및 W3C(World Wide Web Consortium)는 함께 작동하여 클라이언트에서 CTAP2(Authenticator 프로토콜) 및 WebAuthn(웹 인증) 사양을 정의했습니다. 이러한 사양은 웹 및 앱에서 강력한 피싱 방지, 사용자 친화적인 개인 정보 보호 인증을 제공하기 위한 업계 표준입니다. FIDO 표준 및 인증은 기업, 정부 및 소비자 시장에서 보안 인증 솔루션을 만들기 위한 선도적인 표준으로 인식되고 있습니다.
Windows 11 FIDO2 인증 암호 없는 솔루션이기도 한 Windows Hello 및 비즈니스용 Windows Hello 함께 인증에 외부 FIDO2 보안 키를 사용할 수도 있습니다. 결과적으로 Windows 11 널리 사용되는 많은 ID 관리 서비스의 FIDO 인증자로 사용할 수 있습니다.
암호 키
Windows 11 사용자가 암호를 암호로 바꿀 수 있도록 하여 피싱 공격을 통해 도난당한 암호를 악용하는 해커를 훨씬 더 어렵게 만듭니다. 암호는 보안 로그인의 플랫폼 간 미래입니다. Microsoft 및 기타 기술 리더는 플랫폼 및 서비스에서 암호를 지원하고 있습니다.
암호는 디바이스에 안전하게 저장되는 고유하고 신뢰할 수 없는 암호화 비밀입니다. Windows 11 사용자는 사용자 이름 및 암호를 사용하여 웹 사이트 또는 애플리케이션에 로그인하는 대신 Windows Hello, 타사 암호 공급자, 외부 FIDO2 보안 키 또는 모바일 디바이스를 사용하여 암호를 만들고 사용할 수 있습니다. Windows의 암호는 로그인을 지원하는 모든 브라우저 또는 앱에서 작동합니다.
Windows Hello 사용하여 만들고 저장한 암호는 Windows Hello 또는 비즈니스용 Windows Hello 의해 보호됩니다. 사용자는 얼굴, 지문 또는 디바이스 PIN을 사용하여 사이트 또는 앱에 로그인할 수 있습니다. 사용자는 설정>계정> 암호에서 암호를 관리할 수있습니다.
출시 예정[7]
타사 암호 공급자에 대한 플러그 인 모델을 사용하면 사용자가 타사 암호 관리자를 사용하여 암호를 관리할 수 있습니다. 이 모델은 Windows 또는 타사 인증자가 암호를 직접 관리하는지 여부에 관계없이 원활한 플랫폼 환경을 보장합니다. 타사 암호 공급자를 사용하면 타사 공급자가 암호를 안전하게 보호하고 관리합니다.
더 알아보세요
Microsoft Authenticator
iOS 및 Android 디바이스에서 실행되는 Microsoft Authenticator 앱은 Windows 11 사용자를 안전하고 생산적인 상태로 유지하는 데 도움이 됩니다. Microsoft Entra 암호가 있는 Microsoft Authenticator를 피싱 방지 방법으로 사용하여 비즈니스용 Windows Hello 부트스트랩할 수 있습니다.
또한 Microsoft Authenticator는 다단계 인증, 암호 없는 전화 로그인, 피싱 방지 인증(passkey) 또는 암호 자동 채우기를 사용하여 모든 온라인 계정에 대해 쉽고 안전한 로그인을 지원합니다. Authenticator 앱의 계정은 iOS의 키 집합 및 Android의 키 저장소와 같은 하드웨어 기반 스토리지에서 퍼블릭/프라이빗 키 쌍으로 보호됩니다. IT 관리자는 다양한 도구를 사용하여 사용자를 이동하여 Authenticator 앱을 설정하고, 인증이 제공되는 위치에 대한 추가 컨텍스트를 제공하고, 적극적으로 사용하고 있는지 확인할 수 있습니다.
개별 사용자는 설정에서 암호화된 백업 옵션을 사용하도록 설정하여 자격 증명을 클라우드에 백업할 수 있습니다. Microsoft 개인, 회사 또는 학교 계정에 대한 로그인 기록 및 보안 설정을 볼 수도 있습니다.
인증 및 권한 부여에 이 보안 앱을 사용하면 사용자가 자격 증명을 사용하는 방법, 위치 및 시기를 제어할 수 있습니다. 끊임없이 변화하는 보안 환경을 따라잡기 위해 앱이 지속적으로 업데이트되고 새로운 기능이 추가되어 새로운 위협 벡터보다 앞서나갈 수 있습니다.
더 알아보세요
웹 로그인
웹 로그인을 지원하면 사용자는 Microsoft Authenticator 앱 또는 TAP(임시 액세스 패스)를 사용하여 암호 없이 로그인할 수 있습니다. 웹 로그인을 사용하면 SAML-P ID 공급자와 페더레이션된 로그인도 사용할 수 있습니다.
더 알아보세요
페더레이션 로그인
Windows 11 외부 교육 ID 관리 서비스와 페더레이션된 로그인을 지원합니다. 학생들이 쉽게 입력하거나 복잡한 암호를 기억할 수 없는 경우 이 기능을 사용하면 QR 코드 또는 그림과 같은 메서드를 통해 안전하게 로그인할 수 있습니다.
더 알아보세요
스마트 카드
조직은 생체 인식 인증 전에 존재한 인증 방법인 스마트 카드를 선택할 수도 있습니다. 이러한 변조 방지 휴대용 스토리지 디바이스는 사용자를 인증하고, 코드에 서명하고, 전자 메일을 보호하고, Windows 도메인 계정으로 로그인하여 Windows 보안을 강화합니다.
스마트 카드는 다음을 제공합니다.
- 사용자가 손을 사용하지 않고 또는 워크스테이션을 공유할 때 신속하게 로그인 및 로그아웃해야 하는 의료와 같은 시나리오에서 사용 편의성
- 컴퓨터의 다른 부분에서 인증, 디지털 서명 및 키 교환을 포함하는 보안에 중요한 계산을 격리합니다. 이러한 계산은 스마트 카드 수행됩니다.
- 회사, 집 또는 도로의 컴퓨터 간 자격 증명 및 기타 개인 정보의 이식성
스마트 카드는 도메인 계정 또는 Microsoft Entra ID 계정에 로그인하는 데만 사용할 수 있습니다.
암호가 도메인 계정에 로그인하는 데 사용되는 경우 Windows는 인증을 위해 Kerberos 버전 5(V5) 프로토콜을 사용합니다. 스마트 카드 사용하는 경우 운영 체제는 X.509 V3 인증서와 함께 Kerberos V5 인증을 사용합니다. Microsoft Entra ID 조인된 디바이스에서 스마트 카드 Microsoft Entra ID 인증서 기반 인증과 함께 사용할 수 있습니다. 스마트 카드는 로컬 계정과 함께 사용할 수 없습니다.
비즈니스용 Windows Hello 및 FIDO2 보안 키는 Windows용 최신 2단계 인증 방법입니다. 가상 스마트 카드를 사용하는 고객은 비즈니스용 Windows Hello 또는 FIDO2로 이동하는 것이 좋습니다. 새 Windows 설치의 경우 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하는 것이 좋습니다.
더 알아보세요
Microsoft Defender SmartScreen의 향상된 피싱 보호
맬웨어 보호 및 기타 보호 장치가 진화함에 따라 사이버 범죄자들은 보안 조치를 우회하는 새로운 방법을 찾습니다. 피싱은 사람들이 자발적으로 암호를 입력하도록 속여 자격 증명을 도용하도록 설계된 앱 및 웹 사이트와 함께 선도적인 위협입니다. 결과적으로 많은 조직에서 Windows Hello 또는 비즈니스용 Windows Hello 사용하여 암호 없는 로그인의 용이성과 보안으로 전환하고 있습니다.
우리는 사람들이 암호없는 여행의 다른 부분에 있다는 것을 알고 있습니다. 여전히 암호를 사용하는 사람들을 위해 이 여정을 돕기 위해 Windows 11 강력한 자격 증명 보호를 제공합니다. Microsoft Defender SmartScreen에는 이제 사용자의 Microsoft 암호가 앱 또는 웹 사이트에 입력되는 시기를 자동으로 감지하는 향상된 피싱 보호 기능이 포함되어 있습니다. 그런 다음 Windows는 앱 또는 사이트가 Microsoft에 안전하게 인증되는지 확인하고 자격 증명이 위험에 처했는지 경고합니다. 잠재적 자격 증명 도난 시 사용자에게 경고가 표시되므로 암호가 해당 사용자 또는 해당 organization 대해 사용되기 전에 선점적 조치를 취할 수 있습니다.
더 알아보세요