wolfpaw님 소개로 구글 OTP에서 Authy로 바꾸고 오늘 쭉 사용하고 있는데요.

결론은 아주 훌륭하고 만족스런 OTP 앱니다. 구글 OTP 쓰시는 분들 무조건 바꾸세요ㅎㅎ

제가 사용하면서 몇가지 테스트한 내용을 정리 해 봤습니다.

보안 사고가 끊임없이 터지면서 최근 웹사이트들의 로그인 트렌드가 OTP 인증으로 대체되고 있습니다.

요즘은 로그인 암호들이 유출될 여지가 너무 많아서 (악성코드, 키로그) 추가로 OTP인증을 한번 더 하는 방식입니다.

국내 서비스는 코빗외에 본적이 없는데 해외에서는 제법 규모있는 웹사이트들은 이미 대부분 지원하고 있습니다.

구글OTP앱의 장점은 아주 심플한 인터페이스 입니다. 사용법도 초간단.

간단히, 지금까지 저장한 OTP목록 보이는 화면이 전부입니다. 저장한 순서대로 보이고 이름변경만 가능할 뿐

순서 정렬이나 아이콘 지정, 변경 아무것도 안됩니다. 단순하게 OTP번호 저장하고 토큰 값 보는게 전부입니다.

저장한 사이트가 5개 미만이라면 아주 좋습니다. 그 이상이라면 관리가 안되기 때문에 좀 많이 불편합니다.

아이콘으로 구분이 되거나 정렬기능이라도 있으면 좀 편할텐데 그런거 안됩니다.

검색해보니 Google OTP는 RFC6238표준 사양을 구현한 거라고 하네요. 이 글에서는 그냥 구글OTP라고 표현하겠습니다.

(Google Authenticator is an application that implements TOTP security tokens from RFC6238 in mobile apps made by Google)

Authy앱은 자체 인증 방식과, 구글OTP 둘 다 지원합니다.

기능은 OTP관리, PIN보호, 클라우드백업, 멀티디바이스, 계정정보(전화번호, 이메일) 더 있을텐데 제가 본건 이 정도.

구글OTP앱과 다르게 Authy는 전화번호로 가입자 인증을 받아서 그 정보를 클라우드에 저장합니다.

이쯤에서 거부감이 들 수 있는데.. 제가 여러 곳에 검색해 본 결과 개인정보는 몇가지 방식으로 암호화하고 

스폰서 및 연계하는 어떤 곳에도 공유가 없다는 것을 강하고 어필하고 있어서 저 개인적으로는 믿고 쓰고 있습니다.

개인정보는 전화번호와 이메일만 받습니다. 전화번호는 단말기 확인, 이메일은 단말기 리셋, 변경 때문에 필요합니다.

자체 클라우드에 암호화하여 저장하기 때문에 비밀번호을 잃어버리면 찾을 수 없다고 강조하고 있고요.

이제 전화번호로 문자인증을 마치면 앱을 사용할 수 있는데 OTP등록은 구글이랑 똑같습니다. 

화면에 보이는 QR코드 찍거나 시크릿 번호 입력하면 됩니다. OTP확인 관리 화면이 따로 있어서 구글보다 편하고요.

장점은 OTP들이 아이콘으로 표시가 되어 구분하기가 참 쉽습니다. 정렬기능도 기본적으로 지원합니다.

백업기능은 말 그대로 현재 저장된 OTP목록을 자체클라우드에 암호화하여 저장하는 기능합니다.

폰을 잃어버리거나 새로 바꾸더라도 전화번호 인증으로 백업된 목록을 다시 받을 수 있습니다.

백업할 때 암호를 지정해야 하는데 이 암호를 잃어버리면 절대로 안된다고 하네요. (암호 없으면 못 찾음)

멀티디바이스는 현재 폰에 저장된 목록을 다른 폰이나 아이패드, PC, 맥에서 연동하도록 해주는 기능입니다.

현재 폰에서 멀티디바이스 기능을 On으로 해 놓고, 다른 폰에서 현재폰번호로 인증하면 OTP목록이 연동됩니다.

물론 서로 연동할 때 디바이스를 연동할꺼냐고 한번 더 확인을 받습니다.

PC와 리눅스에서는 크롬의 앱 기능으로 연동되는데 실행 방식이 좀 불만입니다만 기능은 잘 동작합니다.

맥에서는 블루투스로도 OTP 토큰 값을 받을 수 있다고 합니다. 요건 정말 대단한 기능. 신기술의 결정체라고 생각합니다. 

제가 맥이 없어서 못써본게 아쉽네요.

폰 분실인 경우에는, Authy 웹사이트에서 리셋기능이 있습니다. 리셋을 요구하면 가입자 메일로 리셋확인 메일이 날라오고 

확인을 거치면 Authy 앱에서 모든데이터가 삭제 됩니다.

그리고 폰 번호변경도 Authy 웹사이트에 가입자 번호변경 서비스가 있습니다. 신청하면 24시간 정도 걸리고 변경된 폰으로 백업된 데이터를 받을 수 있다고 합니다.

폰 리셋을 해보니까 정말로 데이터가 다 날라갑니다.. ㅡ,.ㅡ

위 내용은 구글OTP 인증을 Authy앱으로 사용하는 경우고요. 이때는 저장된 OTP 이름을 바꾸거나 삭제할 수 있습니다.

그런데 Authy 자체 인증 방식이라면 얘기가 다릅니다. 

(정확한 동작 방식은 저도 모릅니다. 그냥 유추해서 말씀드립니다)

웹서비스 업체가 Authy인증과 연계하는 경우인데, 웹서비스 가입 시점에 Authy인증을 위해서 전화번호를 받습니다.

그럼 전화번호 정보가 Authy에 넘어가서 그 전화번호에 대해 웹서비스인증 토큰을 발행하는 것 같습니다.

그래서 Authy앱 처음 실행하고 전화번호를 인증을 거치면 Authy인증을 연계한 웹서비스 토큰들이 보이는 방식인데요.

이 OTP목록들은 앱에서 삭제도 안되고 이름 수정도 안됩니다. 해당 웹서비스에서 Authy 인증을 해제하면 아마 앱에서도 삭제되는 방식일거라 추측합니다.

마지막으로 PIN보호 기능이 있어서 앱이 백그라운드가 되거나 재실행 했을때 PIN번호를 입력해야만 사용이 가능합니다. (구글앱은 없음)

저는 Authy앱을 써보고 너무 좋아서 친구한테 무조건 바꾸라고 전화까지 돌렸습니다ㅎㅎ

최근 안드로이드 앱 중에서 기능적으로 충분히 만족스럽다고 생각합니다.

아 그리고 네이버도 OTP인증이 된다고 해서 설정할려고 봤더니 네이버 앱을 깔아야 된다고 하네요. 이뭐병.. ㅡ,.ㅡ