며칠 전부터 깃허브, 구글, 제가 주로 사용하는 메일 계정, 도메인 등록업체 등에
모두 2단계 인증(2-factor authentication)을 적용했습니다.
아이디와 비번만 입력해서는 로그인할 수 없고, 아래의 스샷처럼 OTP 코드를 입력해야 합니다.
은행처럼 OTP를 따로 주는 건 아니고,
Google Authenticator, Authy, FreeOTP 같은 스마트폰 어플로 일회용 비밀번호를 생성합니다.
처음 세팅할 때 화면에 QR코드를 보여주는데, OTP 어플에서 이 QR코드를 스캔하면 자동으로 연동됩니다.
아이디와 비번을 훔치더라도 폰까지 훔치지 않으면 소용없는 거죠.
(물론 OTP 어플의 보안성이 괜찮다는 가정 하에...)
반대로, 폰을 훔치더라도 아이디와 비번을 모르면 소용없고요.
(폰에 비번을 저장해 놓지 않았다는 가정 하에...)
말 그대로 일회용 비밀번호이므로 PC방이나 커피숍 와이파이 등
비번이 노출될 가능성이 있는 공공장소에서 로그인하더라도 걱정이 없습니다.
비번만으로는 로그인할 수 없으니까요.
물론 의무사항은 아닙니다. 2단계 인증 없이 그냥 깃허브나 구글을 쓰더라도
자기 비번을 잘 관리할 수 있다면 괜찮습니다.
2단계 인증을 지원하는 대부분의 해외 서비스들은 HOTP, TOTP 등의 국제 표준을 따르기 때문에
스마트폰 어플 하나만 있으면 한 군데에서 모두 관리할 수 있습니다. 참 편리하죠?
우리나라 서비스들도 이 표준 기술을 많이 지원해 주면 좋겠네요.
XE나 라이믹스로 운영하시는 사이트에도 이 기술을 적용한다면
관리자 계정 탈취 등의 위험이 크게 줄어들 것 같습니다.
구현에 필요한 라이브러리들은 이미 해외에서 모두 개발되어 있으니,
언제 시간날 때 연동해 봐야겠어요 ㅎㅎ
