Passkeys가 나올때 큰 기대를 걸었지만 현실에서는 브라우저나 기기마다 구현이 달라지고 UI도 좋지 않아서 사용자 경험이 나쁘기 때문에 결국 일반 소비자에게는 실패할 것이라고 얘기하는 글입니다.

Passkeys가 나올때 이제 passwordless 시대가 온다고 많은 기대를 받았습니다. 따로 공부해 봐야지 하고는 아직도 못보고 있긴 하지만 Passwordless란게 너무 이상적으로 느껴지고 가능한가? 싶은 생각도 들었습니다.

구글, 깃헙, 애플 등 대형 서비스에서 하나둘씩 Passkeys가 도입되고 설정이 좀 귀찮긴 하지만 얼굴 인식이나 지문인식이 있는 곳에서는 꽤 편한 것도 사실이었습니다. 그럼에도 생체 인증이 없는 장비에서는 QR 코드를 이용해서 폰으로 카메라를 찍어야 했기 때문에 신기해서 쓰긴 하지만 딱히 편하다는 느낌은 없었습니다. 폰으로 뭔가 한다는게 꽤 편한 것처럼 느껴지면서도 막상 컴퓨터를 쓰다가 폰을 들어서 인증한다는게 저는 꽤 불편했습니다.

이 글에서도 얘기한대로 1password 같은 비밀 번호 관리자가 오히려 더 좋은 경험을 제공하고 있습니다. 이제는 비빌번호 관리자에서도 Passkeys를 지원하기 때문에 로그인할 때 비밀번호 관리자를 쓰는게 사실상 더 편한 경우도 꽤 많고 폰으로 연결하는 경우는 맥북에서 아이폰 조차도 때로는 통신하는데 딜레이가 꽤 있어서 귀찮은 적도 많았습니다.

이 글을 쓴 사람은 Passkeys의 미래를 보고 Rust로 Webauthn 라이브러리도 작성해서 잘 쓰이고 있지만 패스키의 등록 기기 수 제한 등 다양한 현실적인 문제로 사용자는 큰 불편함을 겪기 때문에 기술적 미래와 달리 실패할 것이라고 얘기하고 있습니다.

저도 꽤 기대했지만 막상 쓰니 큰 임팩트는 없기도 하고 아예 제 장비가 아닌 곳에서 쓸 때는 약간 편하긴 하지만 모든 사이트가 다되는것도 아니고 미리 등록도 해두어야 해서 활용도가 떨어지는 것도 사실입니다. 그리고 Passkeys를 MFA로 쓸수 있기도 하지만 원래 목적은 비밀번호를 대체하는 것이라서 2FA를 강제해야 하는 환경에서는 기존 패스워드 + 2차인증에서 Passkeys를 쓰면 2 팩터가 1팩터로 바뀌는 문제도 있긴 합니다.

https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/