백업 코드
개념
백업 코드(Recovery code라고도 함)는 MFA를 위한 일회용 코드로, 사용자의 주요 인증 (Authentication) 요소(예: 인증기 앱 또는 하드웨어 토큰)를 사용할 수 없는 경우를 대비한 백업 역할을 합니다.
이 코드를 분실하면 계정 복구에 어려움이 생길 수 있습니다. 따라서 백업 코드를 활성화하기 전에 추가 주요 인증 (Authentication) 요소를 먼저 설정하고, 이를 우선시하는 것이 권장됩니다.
Logto는 사용자가 추가 인증 (Authentication) 요소를 설정하면 자동으로 10개의 백업 코드를 생성합니다. 각 코드는 한 번만 사용할 수 있습니다. 사용자는 기존 코드를 모두 사용하기 전에 사용자 계정 설정( Management API를 통해 접근 가능)에서 새로운 코드 세트를 재생성하는 것이 좋습니다.
MFA용 백업 코드 설정
- 콘솔 > 다단계 인증 (MFA)로 이동하세요.
- "백업 코드" 요소를 활성화하세요. 백업 코드는 단독 MFA 요소로 사용할 수 없습니다. 백업 코드는 다른 주요 MFA 요소(패스키, 인증기 앱, SMS, 이메일)와 함께 사용해야 합니다.
- 원하는 MFA 정책(필수 vs. 선택)을 설정하세요.
- 구성 변경 사항을 저장하세요.
백업 코드 관리 설정
Account API를 사용하여 사용자가 백업 코드를 조회, 재생성, 삭제할 수 있는 맞춤형 계정 관리 인터페이스를 구축할 수 있습니다. 이를 통해 사용자는 애플리케이션의 계정 설정에서 직접 복구 옵션을 관리할 수 있습니다.
구현 단계 및 API 엔드포인트에 대한 자세한 내용은 Account API로 계정 설정을 참고하세요.
백업 코드 설정 흐름
백업 코드는 보조 MFA 요소이므로, 주요 MFA 요소가 성공적으로 설정된 후에만 설정할 수 있습니다. 자동 생성된 10개의 백업 코드가 사용자에게 표시되며, 사용자는 이를 안전하게 다운로드 및 복사할 수 있습니다. 사용자는 MFA 설정 과정을 완료하기 위해 백업 코드를 수동으로 확인해야 합니다.
백업 코드 인증 (Authentication) 흐름
백업 코드는 주요 MFA 요소를 사용할 수 없는 비상 인증 (Authentication) 수단입니다. 각 코드는 한 번만 사용할 수 있으며, 인증 (Authentication)에 성공하면 무효화됩니다.
인증 (Authentication) 우선순위:
- 주요 요소 우선: 사용자가 다른 MFA 요소를 설정한 경우, 주요 요소(패스키, TOTP, SMS, 이메일)가 먼저 안내됩니다.
- 백업 코드 접근: 주요 요소를 사용할 수 없는 경우, "다른 인증 (Authentication) 방법 시도"를 클릭하여 백업 코드로 전환할 수 있습니다.
- 폴백 시나리오: 모든 주요 요소가 삭제된 경우, 백업 코드가 유일한 인증 (Authentication) 옵션이 됩니다. 로그인 중 백업 코드로 MFA 인증 (Authentication)에 성공하면, Logto는 자동으로 새로운 주요 요소 설정을 안내합니다.
