Passwordless Application Case Study in Korea / 국내 패스워드리스 적용 구축 사례

Dec 9, 2021


Session Details

We present multiple cases of FIDO based authentication deployment cases in Korea. After the Korean government mandated all government agents to use multi-factor authentications (MFA) for better security, people turned into FIDO Passwordless authentication rather than the traditional MFA using SMS-OTP or HW OTP Token.

We had a successful deployment for Korean government agents based on FIDO authentication. They used three different passwords to log in to a PC, connect to a government website, and join Microsoft Active Directory. The employees suffered password stress due to frequent password changes that are hard to remember and cannot be reused. We presented how they successfully migrated to a Passwordless system and entirely out of password stress.

Our second case is for a government agency that is dealing with sensitive data. They have to use dedicated application software, which is not web-based. Therefore, they cannot use FIDO2 authentication. We have implemented a UAF authenticator with our partners, which is working with dedicated application software.

Our customers requested us to come up with a solution to encrypt/decrypt files without using passwords. The target application protects the customers・sensitive files from ransomware and potential hacking attacks on their systems. We have deployed a Passwordless system to let the user encrypt or decrypt the target files.

In Korea, central and local governments realized that Passwordless authentication is a must, not an option. Also, they reject phone-based authentications because the government doesn’t allow public workers to use their private phones to access government data.

Also, the Korean government deregulated the required certificate usage for online phone banking last year, which opens many opportunities for FIDO authentications. The banks are moving into Passwordless authentication for employees and providing FIDO authentication mechanisms for their customers.

첫번째 사례는 FIDO 기반의 PC 인증 시스템을 정부 기관에 성공적으로 배포했습니다. 전에는 3개의 다른 암호를 사용하여 PC 및 웹사이트 로그인 및 Microsoft Active Directory에 조인 하는 시스템을 사용했습니다. 하지만, 암호3개는 직원들이 기억하기 어렵고 비밀번호 재사용이 불가능하여, 비밀번호 사용에 대한 스트레스를 받았습니다. 이제는 암호가 없는 시스템을 구축및 사용하여 암호 스트레스에서 완전히 벗어나게 되었습니다.

두 번째 사례는 민감한 데이터를 다루는 정부 기관입니다. 웹 기반이 아닌 전용 응용 프로그램 소프트웨어를 사용해야 합니다. 따라서 웹 기반의 WebAuthn은 적용할 수 없는 사례입니다. 당사는 파트너사와 함께 UAF로 구현된 보안 인증키를 제공하였습니다. 그러므로, 더 이상 비밀번호 없이 응용 프로그램에 로그인 하는 시스템을 사용하고 있습니다.

마지막 사례는 , 당사 고객이 비밀번호를 사용하지 않고 파일을 암호화/복호화하는 솔루션에 대한 요청이 있엇습니다. 주로 암호화/복호화 하는 프로그램들은 비밀번호를 사용하여, 악성코드등을 통한 비밀번호 탈취의 대상이 되었기 때문입니다. 이번에 개발한 응용 프로그램은 FIDO 인증을 통하기 떄문에 악성코드 공격에 효과적이며, 랜섬웨어 및 시스템에 대한 잠재적인 해킹 공격으로부터 고객의 민감한 파일을 보호하게 되었습니다.