Hacker News 의견

• SMS 인증을 2FA(이중 인증)로 사용하는 것은 더 이상 안전하지 않다는 주장

  • SMS는 이제 안티 피처로 여겨짐. 문제를 단순히 옮기는 것에 불과하다고 비판.
  • 이메일 인증조차도 SMS보다 낫다는 의견이 있으나, 그것도 크게 나은 것은 아님.
  • 지갑과 휴대폰이 가장 흔히 도난당하는 물건이며, 많은 사람들이 저가 휴대폰이나 선불 SIM을 사용함.
  • 일시적으로 여겨져야 할 전화번호에 자신의 신원을 묶는 것은 몇 년 후 계정에 접근하지 못하게 될 위험이 있음.
  • 사람들이 전화번호를 변경하는 다양한 이유가 있음: 서비스 제공자 변경, 여행 중 다른 SIM 사용, 직장 변경으로 인한 회사 제공 전화 상실, 운영자가 이전 번호 인수 거부, 스팸 목록에 번호가 오르는 경우 등.

• 새로운 기능 발표에 대한 축하의 말과 함께, 전화번호를 일급 시민으로 취급하는 것에 대한 긍정적인 평가.

  • 경쟁사인 FusionAuth에서 일하는 사람으로부터의 의견.
  • 이메일 매칭을 기반으로 한 소셜 계정과 기존 계정 간의 연결이 새로운 기능으로 소개됨.
  • 기존 계정에 소셜 계정을 연결하는 시나리오에 대한 문서가 있으며, 반대의 경우도 가능한지에 대한 질문이 있음.
  • 사용자가 [email protected]으로 가입한 후 [email protected]을 연결하고 싶어하는 경우를 어떻게 처리하는지에 대한 궁금증.
  • 계정 연결을 사용자별로 차단할 수 있는지, 아니면 시스템 전체에서 활성화되는지에 대한 의문.
  • 몇 년 전부터 계정 연결 기능을 가지고 있었으며, 고객들이 이와 같은 경계 사례를 제기한 바 있음.

• 크라토스(Kratos)와 오스키퍼(Oathkeeper)를 호주의 온보딩 앱에 자체 호스팅하여 사용 중인데 대부분 잘 작동한다는 긍정적인 피드백.

  • 맞춤형 UI를 적용하는 과정이 매우 힘들었다는 경험 공유.
  • 서버 코드와 JS 내 CSS가 혼합된 예제 프로젝트를 시작으로 하여 HTML/CSS에 접근하기 어려웠음.
  • 이 프로젝트의 진전에 대한 질문이 있음.

• SMS 지원에 대한 우려 표명.

  • SMS 문자 메시지가 인증 목적으로 사용되어서는 안 된다는 것이 널리 인정되고 있음.
  • 기능 요청에 대한 원본 링크와 함께, 사용자 @zepatrik의 우려가 무시된 것에 대한 지적.

• B2B SaaS 애플리케이션에 대한 좋은 솔루션에 대한 조언을 구하는 질문.

  • 앱 로그인이 필요하며, 비밀번호, 소셜 등의 일반적인 방법뿐만 아니라 이메일 도메인별로 규칙을 맞춤 설정할 수 있는 방법을 찾고 있음.
  • Authentik과 FusionAuth와 같은 서비스를 시도했지만, 조직별 제어에 적합하지 않았다는 경험 공유.

• Auth0의 대안이라기보다는 Auth0의 대안을 구성하는 컴포넌트 중 하나라는 의견.

• Ory Kratos가 실행을 위해 7개의 도커 컨테이너를 사용하는 것에 대한 비판.

  • 단 2개의 컨테이너로 실행되는 Keycloak과 비교했을 때 무거워 보임.
  • 이러한 '부피'를 정당화하는 것이 무엇인지에 대한 질문.

• 이메일과 SMS로 보내는 암호화되지 않은 매직 링크를 통한 가입, 로그인, 계정 연결 및 세션 쿠키를 유효한 JWT로 전환하는 것에 대한 우려.

  • 1년 내에 CVE(공통 취약점 및 노출)가 발생할 것 같다는 의견.

• 2년 미만의 기간 동안 프로덕션 환경에서 사용해온 경험 공유.

  • 많은 개선이 이루어졌으나, 여전히 설정이 어렵고 jsonnet이 매우 복잡하다는 의견.
  • 로그인 후 몇 분 이내에 소셜 제공자로부터 온 경우 현재 비밀번호를 모르더라도 비밀번호 변경이 가능한 등 이상한 결정들이 있지만 전반적으로 이 분야에서 강력한 경쟁자임.

• Kratos를 자신의 오픈소스 프로젝트에 사용하고 싶었지만, 다양한 스토리지 옵션 추가에 대한 지원을 얼마나 잘 하는지에 대한 연구가 충분하지 않았다는 의견.

  • 프로젝트가 다양한 문서 저장소를 지원하며, Kratos가 동일한 저장소를 쿼리할 수 있도록 개발 작업을 진행하고 싶은 바람을 표현함.