Proton에서 Lumo를 출시한지 몇일도 되지 않아 새로운 서비스인 Proton Authenticator를 출시했습니다.
Proton이 운영중인 Proton Pass와도 곂치는 영역이라 (Pass와 Authenticator 둘다 TOTP 기능 내장) 이게 진짜인가 싶었는데 진짜였습니다.
앱 개요
지원하는 운영체제
대부분의 운영체제들을 지원합니다.
macOS용 앱은 앱스토어에서 다운받도록 하는데 설치 옆에 'iPad 용으로 디자인됨 • macOS용으로는 확인되지 않음' 라고 적혀 있습니다.
앱 열어보면 iPad용 앱 UI와 동일하고 작동도 똑같습니다.
- iOS
- macOS
- Linux
- Windows
- Android
다른 서비스에서 불러오기
- 2FAS
- Aegis Authenticator
- Authy (미지원)
- Bitwarden Authenticator
- Ente Auth
- Google Authenticator
- LastPass Authenticator
- Microsoft Authenticator (미지원)
- Proton Authenticator
- Proton Pass
임포트도 꽤 많이 지원하는데 Authy와 Microsoft Authenticator는 No export available 라고 표시되고 임포트는 불가합니다.
임포트는 비트워든, 라스트패스, 프로톤패스같은 비밀번호 관리자들도 있는데 사실 비밀번호 관리자를 사용하는 사람이 굳이 TOTP 앱만 따로 쓰진 않을것같습니다.
앱 사용해보기
디자인
전반적으로 최신 스타일의 3D? 스타일입니다.
그렇다보니 플랫한 UI인 다른 프로톤 제품들과 UI가 아주 다릅니다.
제 개인적으로는 이런 디자인이 취향이긴 합니다.
동기화
프로톤 제품이지만 프로톤 계정을 요구하지는 않습니다.
대신 아이클라우드 동기화를 사용하라고 안내합니다.
설정에 들어가면 프로톤 계정에 로그인하는 옵션이 존재하나, 아이클라우드 동기화가 메인인것처럼 되어있습니다.
보안
잠금 해제는 FaceID, TouchID가 가능하고, 생체 인식이 없는 맥미니나 맥 스튜디오같은 기기에서는 TouchID라고 표시되지만 실제로는 그냥 맥 사용자 암호 입력으로 넘어가 버립니다.
평문 텍스트 유출
https://www.reddit.com/r/privacy/comments/1mgj3t8/proton_authenticator_logs_full_totp_secrets_in
해외 커뮤니티인 레딧의 사용자인 u/Derperderpington가 Proton Authenticator의 로그에 TOTP 비밀 시드가 평문으로 (암호화 없이) 유출된다고 글을 올렸습니다.
이 글에 첨부한 이미지를 (https://imgur.com/a/leRa69K) 보면 name과 order (정렬), secret이 로그에 나와있는걸로 보입니다.
비밀 시드 (시크릿)이 유출되면 그 시드로 계속 TOTP 번호를 생성할수 있기 때문에 2차인증의 이미가 사라집니다.
그렇기 때문에 컴퓨터가 해킹당하거나 하는 일이 벌어지면 2차인증 TOTP까지 싹 다 털릴수도 있기때문에 중대한 문제라고 생각합니다.
추가: 검증해 보니 이 주장이 사실이였습니다
1.1.1 버전에서 패치되었으며 그 전 버전의 코드에서는 로그로 시크릿 키를 출력한다는것을 확인하였습니다.
결론
솔직히 말하면 너무 급하게 만들었다라는 생각이 듭니다.
기존 제품을 개선시키지 않고 Proton Wallet, Lumo by Proton, Proton Authenticator등 앱을 계속 새로 만들기만 하는 행동 때문에 팬들이 점점 떠나는것 같기도 합니다.
다만 Proton Authenticator을 다른 인증 앱과 비교하면 사용하기 편리한 UI를 가졌다는것은 확실한것 같습니다.
Comments