Safari - Well-Known URL for Changing Passwords

포스트 제목이 다소 어렵나요 ? ^^

이번 포스트는 IOS 12와 macOS의 Safari 12에 새롭게 적용된 웹 사이트 로그인 패스워드 변경 관련 보안정책을 좀 살펴볼까 합니다. 물론, 굳이 Safari를 메인으로 사용하지 않는 분이시라도.. 패스워드 변경과 관련되어 알아두면 향 후 도움이 될 수도 있을 것 같구요..

우선, Safari를 보면, 웹 페이지 암호를 iCloud Keychain에 보관할 수 있습니다. 아이폰과 Mac등을 함께 사용하시는 분들 이시라면 이미 잘들 사용 하고 계시겠죠.. 이를 통해 특정 웹 사이트에 로그인할 때 Auto Fill Password 기능을 사용할 수 있어 편리한데요.. Keychain에 통합적으로 관리를 하다 보니, 동일한 패스워드가 각기 다른 홈페이지의 로그인 패스워드로 사용되고 있는지의 여부를 식별할 수 있습니다. 그리고 만일 동일한 패스워드가 여러 사이트에서 사용되고 있다면, 아래와 같이 경고를 표시해 줍니다.

경고의 내용을 보면, 해당 패스워드가 XXX 라는 사이트에서도 사용되고 있으니, 바꾸라는 경고 입니다. 그리고 친절하게도 해당 사이트의 링크가 있어서, 사용자는 해당 링크를 클릭하여 사이트로 이동을 할 수 있습니다. 

이 때, Well-Known URL for Changing Passwords 라는 규칙이 사용됩니다.  

이는 매우 간단한 공통의 규칙으로, 사용자가 패스워드 변경과 관련하여 해당 링크를 클릭하면, 해당 사이트 주소(URL)의 /.well-known/change-password 페이지를 로딩하게 됩니다. 

예를 들어, 해당 사이트의 주소가 https://www.example.com 이라면, 패스워드 변경 페이지는 https://www.example.com/.well-known/change-password 가 되는 것이죠.. 물론, 주소는 이렇게 입력이 되지만, 서버에서 redirection 해서 다른 주소가 불러질 수도 있습니다. 

홈페이지  혹은 웹 사이트 서버에서 이러한 규칙을 적용하게 되면, 사용자 측면에서 볼 때, 패스워드 탈취를 위한 피싱사이트의 공격을 피해 갈 수 있습니다.  굳이 Safari의 패스워드 변경 창을 이용하지 않더라도.. 단지 웹 브라우저의 주소창에서 사이트 주소 뒤에 /.well-known/change-password 를 덧 붙이기만 하면 되기 때문입니다. 이는 해당 사이트가 해킹 및 변조되지 않는 이상 피싱사이트로 연결되는 것을 어느정도 방지할 수 있습니다.  물론 이것은 현재 모든 사이트에서 가용한 것은 아니며 해당 규칙을 적용한 사이트에 국한 됩니다. 이러한 규칙을 전 세계의 모든 사이트들이 적용한다면 사용자들은 해당 사이트의 패스워드를 변경할 주소를 이미 알고 있기 때문에, 설사 패스워드 변경과 관련된 피싱 메시지가 수신되어 패스워드를 변경해야 겠다고 맘 먹더라도 사용자가 직접 신뢰할 만한 주소를 통해 패스워드를 변경하면 되므로 휠씬 안전하게 됩니다.

현재는 몇몇 사이트들만 이를 반영하고 있으며, 점차 늘어나는 추세 입니다. icloud.com, twitter.com, github.com, wordpress.com, spotify.com 등이 현재 이 Rule을 적용하고 있죠. 

IOS 12의 Safari나 macOS의 safari 12 에서는 단지 위의 스샷에서 보신것과 같이 ./well-known/change-password를 덧 붙힌 링크를 제공한다고 보시면 되며, Safari만 지원하는 이유는 애플에서 제안한 것이기 때문입니다. 

패스워드 변경 주소를 하나로 정의한다는 매우 단순한 아이디어 이지만, 사용자 편의성, 보안성 강화 측면에서 매우 좋은 아이디어가 아닌가 생각해 봅니다. ^^