Solo Auth Quest

Tracks

1. 01🎯네가 외면하는 threat model

   0/6 lessons

   솔로 개발자가 왜 털리는지, 그리고 어떻게 생각해야 하는지

   보안 글 대부분은 국가 단위 공격자를 가정해. 진짜 솔로 개발자 침해 사건은 거의 다 opportunistic 스캐너 아니면 분실 디바이스야. 이 트랙은 네 threat model 을 *진짜* 모양으로 reset 해 — 그다음 60초 STRIDE 와 뒤의 모든 layer 를 지배하는 3분 / 30초 룰을 소개해.

   Lesson list (6)

   • 01
     "누가 나 같은 걸 해킹해?" — 털리는 마인드셋~15 min · threat-model, mindset, opportunistic-attack
   • 02
     온 우주가 쉬지 않고 너를 스캔해~15 min · scanners, obscurity, certificate-transparency
   • 03
     진짜 위협은 해커가 아니라 네 폰이야~15 min · lost-device, layered-auth, phone
   • 04
     솔로 개발자의 threat model — 60초 STRIDE~15 min · stride, threat-model, checklist
   • 05
     편의의 대가~15 min · security-tradeoffs, 2fa, habits
   • 06
     '내 머신에선 잘 되는데' 에서 '다른 사람한테는 잠겨있어' 로~15 min · posture, defaults, roadmap

   ✓퀴즈 · 5 문제→

2. 02📖auth 어휘 깨끗하게 구분하기

   0/6 lessons

   AuthN vs AuthZ, session vs token, identifier vs credential vs secret, perimeter vs per-request, CIA, trust boundary

   auth 버그의 절반은 한 문장 안에서 혼용되는 두 용어를 헷갈려서 생겨. 이 트랙은 깨끗한 공유 어휘를 줘서 나머지 퀘스트가 헛돌지 않게 해 — 솔로 앱한테 왜 session 이 JWT 를 이기는지, 왜 SHA256 이 아니라 bcrypt 인지, 'CIA' 에 신경써야 할 숨겨진 두 번째 A 가 있는 이유까지.

   Lesson list (6)

   • 01
     Authentication vs Authorization — 그만 헷갈려~15 min · authn, authz, vocabulary
   • 02
     Sessions vs Tokens — 그 쿠키에 실제로 뭐가 들었는지~15 min · sessions, jwt, cookies
   • 03
     Identifier vs Credential vs Secret~15 min · bcrypt, hashing, secrets
   • 04
     Perimeter vs Per-Request Auth~15 min · middleware, perimeter, defense-in-depth
   • 05
     Confidentiality, Integrity, Availability (CIA Triad)~15 min · cia, tradeoffs, auditability
   • 06
     Trust Boundary — threat model 이 무는 곳~15 min · trust-boundaries, architecture, zones

   ✓퀴즈 · 5 문제→

3. 03🌐0.0.0.0 결정

   0/5 lessons

   config 에서 가장 결과 큰 한 줄 — bind 주소, IPv6 쌍둥이, UPnP, reverse-proxy 함정

   솔로 개발자의 '나 털렸어' 스토리 거의 다 잘못된 host binding 에서 시작해. 이 트랙은 자기 listening socket 읽고, 외부에서 실제로 뭐가 노출됐는지 보고, 30초 flowchart 로 bind 주소 고르는 법 가르쳐. 끝나면 '0.0.0.0' 이 진짜로 load-bearing 결정으로 느껴질 거야.

   Lesson list (5)

   • 01
     0.0.0.0 vs 127.0.0.1 vs 192.168.x.x 가 진짜로 뭘 의미하는지~15 min · bind, 0.0.0.0, tailscale-ip
   • 02
     튜토리얼이 0.0.0.0 말하는 이유 (그리고 너한테는 틀린 이유)~15 min · tutorials, context, bind
   • 03
     지금 뭐가 listen 하는지 진짜로 알아내는 법~15 min · lsof, ss, audit
   • 04
     Gotcha — IPv6, UPnP, 'localhost 만' 거짓말~15 min · ipv6, upnp, reverse-proxy
   • 05
     Decision Framework — 30초에 올바른 bind 고르기~15 min · flowchart, tailscale, ollama

   ✓퀴즈 · 5 문제→

4. 04🛰️Tailscale 을 1차 방어선으로 — 힘과 한계

   0/5 lessons

   perimeter 로서의 mesh VPN, blast radius 줄이는 ACL, 분실 디바이스 약점, 대안

   Tailscale 은 솔로 개발자한테 무료 perimeter 에 가장 가까운 거야. 이 트랙은 실제로 뭘 인증하는지 (디바이스지 사람 아님), 60초 셋업 경로, 폰 사라질 때 blast radius 줄여주는 ACL, 그리고 언제 Headscale 이나 raw WireGuard 로 손 뻗을지 다뤄.

   Lesson list (5)

   • 01
     Tailscale 이 진짜로 뭐고 (뭐가 아닌지)~15 min · tailscale, wireguard, mesh-vpn
   • 02
     Tailscale 셋업 — 60초 경로~15 min · tailscale, setup, magicdns
   • 03
     ACL — 디바이스가 뭐 도달할 수 있는지 제한~15 min · acl, tailscale, tags
   • 04
     분실 디바이스 스토리 — Tailscale 의 아킬레스 건~15 min · lost-device, key-expiry, device-approval
   • 05
     Tailscale 대안 — 다른 거 골라야 할 때~15 min · headscale, wireguard, alternatives

   ✓퀴즈 · 5 문제→

5. 05🔢PIN Layer — 100 줄짜리 진짜 auth

   0/6 lessons

   미들웨어, SQLite 테이블, bcrypt, IP-bound session, login/logout, killswitch 엔드포인트

   퀘스트의 무게중심. 어떤 FastAPI / Starlette 앱에든 drop-in 가능한 완전한 PIN 인증 layer 빌드 — 미들웨어, SQLite 테이블 4개, bcrypt 로그인, IP-bound session 쿠키, 로그아웃, Revoke All killswitch — 약 100줄, bcrypt 외 외부 의존성 없음.

   Lesson list (6)

   • 01
     한 그림으로 보는 아키텍처~15 min · architecture, schema, middleware
   • 02
     Middleware — 모든 요청이 검사받는 곳~15 min · middleware, fastapi, starlette
   • 03
     Bcrypt, Local IP Bypass, Session Cookie~15 min · bcrypt, session-cookies, ip-binding
   • 04
     Login 엔드포인트 — Brute Force 가 시작되는 곳~15 min · login, form, rate-limit
   • 05
     Logout & Session Lifecycle~15 min · logout, session-lifecycle, killswitch
   • 06
     전부 합치기 — 풀 모듈~15 min · full-module, drop-in, fastapi

   ✓퀴즈 · 5 문제→

6. 06🛡️Brute Force 방어

   0/5 lessons

   4자리 PIN 뒤의 수학, lockout 사이클, exponential backoff, 허니팟, 자가 lockout 복구

   올바른 방어 쌓으면 4자리가 충분한 이유, per-user 가 아니라 per-IP lockout 인 이유, hard lockout 과 exponential backoff 의 trade, 그리고 영원히 자가 lockout 안 되게 하는 항상 가능한 복구 경로.

   Lesson list (5)

   • 01
     수학 — 4자리 PIN 이 방어 가능한 이유~15 min · bcrypt, math, pin-length
   • 02
     Lockout 사이클 — Counter, Threshold, Blacklist~15 min · lockout, state-machine, rate-limit
   • 03
     Hard Lockout 너머 — Backoff, Jitter, Honeypot~15 min · backoff, honeypot, jitter
   • 04
     Blacklist — 저장, lift, audit~15 min · blacklist, auto-lift, admin
   • 05
     자가 Lockout 복구 — 네가 자기 lockout 시키는 날~15 min · recovery, self-lockout, runbook

   ✓퀴즈 · 5 문제→

7. 07🚨Killswitch & 분실 디바이스 플레이북

   0/5 lessons

   단일 가장 가치 있는 버튼 — 빠르고, 완전하고, 복구 가능하고, 어떤 디바이스에서든 도달

   이 퀘스트의 모든 layer 가 한 순간을 위해 봉사해 — 디바이스 사라졌다고 깨닫는 날. 이 트랙이 그 순간을 survivable 하게 만들어 — killswitch 엔드포인트, 10분 분실 폰 플레이북, 필요해지기 전 pre-stage 할 거, 작은 incident 용 granular killswitch, 그리고 near-miss 를 영구 강화로 바꾸는 post-mortem.

   Lesson list (5)

   • 01
     Killswitch — 단일 가장 가치 있는 버튼~15 min · killswitch, ui, bookmarks
   • 02
     분실 폰 플레이북 — 첫 10분~15 min · lost-phone, incident-response, drill
   • 03
     Pre-Staging — 필요해지기 전 셋업~15 min · pre-staging, yubikey, 2fa
   • 04
     Granular Killswitch — Revoke All 너머~15 min · granular, incident-mode, severity-ladder
   • 05
     Incident 후 — Post-Mortem 과 강화~15 min · post-mortem, hardening, runbook

   ✓퀴즈 · 5 문제→

8. 08📊Admin 대시보드 — 보안을 보이게

   0/5 lessons

   3개 숫자의 상태 헤더, active session 테이블, 시도 로그, audit 로그

   인증 시스템은 silent 하게 실패해. 뭐가 잘못됐다는 첫 신호는 알람이 아니라 — 화요일 오후의 막연한 느낌이야. 대시보드가 그 느낌을 30초에 증거로 바꿔. 섹션 4개, HTML 페이지 하나, JavaScript 프레임워크 필요 없음.

   Lesson list (5)

   • 01
     왜 대시보드가 필요한지~15 min · dashboard, visibility, wireframe
   • 02
     상태 헤더 — 모든 걸 말해주는 3 숫자~15 min · status-header, metrics, color
   • 03
     Active Sessions 테이블 — 지금 누가 로그인돼 있는지~15 min · sessions-table, ip-annotation, ux
   • 04
     최근 시도 로그 — 패턴 spotting~15 min · attempts-log, logging, patterns
   • 05
     Audit Log — Tamper-Evident 기록~15 min · audit-log, tamper-evident, forensics

   ✓퀴즈 · 5 문제→

9. 09🤖에디터의 LLM 을 믿지 마

   0/5 lessons

   AI assistant 가 시크릿 흘리는 이유, 구체적 벡터, 작동하는 유일한 방어

   2026년 솔로 개발자한테 가장 과소평가된 보안 위험 — 에디터의 AI assistant 가 단일 가장 큰 시크릿 누출 surface, 누출은 silent 하고, 잘 포맷됐고, 도움 되어 보여. 이 트랙은 헤드라인 진실, 5개 구체적 누출 벡터, 방어 (LLM 이 시크릿 못 보게), 그리고 시크릿 leak 했을 때 (할지 말지가 아니라) 실제로 할 일.

   Lesson list (5)

   • 01
     헤드라인 — LLM 은 시크릿 못 지켜~15 min · llm-secrets, headline, shape-leak
   • 02
     구체적 누출 벡터들~15 min · leak-vectors, reasoning-trace, memory-bleed
   • 03
     방어 — 시크릿을 'private' 이 아니라 unreadable 로~15 min · defense, keychain, ignore-files
   • 04
     코딩 Agent 와 살기 — 실용적 위생~15 min · hygiene, gitleaks, pre-commit
   • 05
     시크릿이 LLM 으로 leak 했을 때 (할지 말지가 아니라) 할 일~15 min · incident-response, rotation, post-mortem

   ✓퀴즈 · 5 문제→

10. 10⛓️PIN 너머 — 더 많은 layer 추가할 때

    0/5 lessons

    PIN 으로 부족해지는 순간, passkey, OAuth & magic link, at-rest 암호화, stack 맵

    Track 5 의 PIN layer 가 놀랍게 많은 솔로 앱한테 정답이야 — 근데 threat model 은 shift 해. 이 트랙은 PIN 으로 부족해지는 순간 알아채는 법, passkey / OAuth / magic link 가 어떤 특정 문제 푸는지, at-rest 암호화가 언제 중요한지, 이 퀘스트의 모든 layer 가 진짜 stack 에 어떻게 plug 되는지 가르쳐.

    Lesson list (5)

    • 01
      PIN 으로 부족해지는 순간~15 min · triggers, migration, scaling-up
    • 02
      Passkey — 비밀번호의 진짜 대체 (대부분)~15 min · passkeys, webauthn, phishing-resistant
    • 03
      OAuth, Magic Link, 다중 사용자 onboarding~15 min · oauth, magic-links, allowlist
    • 04
      At-Rest 암호화 — auth 로 부족할 때~15 min · encryption-at-rest, fernet, filevault
    • 05
      Stack 맵 — 배운 모든 게 plug 되는 곳~15 min · stack-map, defense-in-depth, summary

    ✓퀴즈 · 5 문제→