회원가입을 하려는데 "영문 대소문자, 숫자, 특수문자를 포함한 12자리 이상"이라는 조건이 뜬다. 매번 쓰던 비밀번호로는 통과가 안 되고, 그렇다고 새로 하나 만들자니 나중에 기억이 안 날 것 같다.
쉽게 뚫리는 비밀번호 패턴
해커들이 가장 먼저 시도하는 건 사전 공격(dictionary attack)이다. 아래에 해당하면 보안이 취약한 상태다.
- ✗ 생년월일, 전화번호 포함 (19900101, 01012345678)
- ✗ 연속 숫자/문자 (123456, abcdef)
- ✗ 키보드 패턴 (qwerty, 1q2w3e4r)
- ✗ 사이트마다 같은 비밀번호 재사용
- ✓ 12자리 이상, 대소문자+숫자+특수문자 조합
- ✓ 사이트마다 다른 비밀번호
직접 만들기 vs 생성기 사용
직접 만든 비밀번호는 외우기 쉽지만 패턴이 생기기 마련이다. "이름+숫자+특수문자" 조합을 쓰는 사람이 많은데, 이 패턴 자체가 이미 공격 대상이다. 비밀번호 생성기를 쓰면 사람이 만들기 어려운 완전한 랜덤 조합이 즉시 나온다. 12자리 랜덤 비밀번호를 무차별 대입(brute force)으로 뚫으려면 수백 년이 걸린다.
조건에 맞는 비밀번호 바로 만들기
- 생성기에 접속한다.
- 길이를 12자리 이상으로 설정한다. (슬라이더로 8~64자 조절 가능)
- 대문자, 소문자, 숫자, 특수문자 옵션을 사이트 조건에 맞게 켠다.
- "생성" 버튼을 누르고 복사 버튼으로 클립보드에 저장한다.
강도 표시가 실시간으로 나오기 때문에, 생성된 비밀번호가 "강력" 등급인지 바로 확인할 수 있다. 최근 생성 기록도 8개까지 저장되니 여러 사이트 비밀번호를 한 번에 만들 때 편하다.
TIP 만든 비밀번호는 브라우저 비밀번호 관리자나 전용 앱에 저장해두자. 직접 외우려고 하면 결국 단순한 비밀번호로 돌아가게 된다.
특수문자가 안 되는 사이트는?
일부 사이트는 특수문자 종류를 제한한다. 생성기에서 특수문자 옵션을 끄고 대소문자+숫자 조합으로 길이를 16자리 이상으로 늘리면 보안 강도를 유지할 수 있다.
비밀번호를 주기적으로 바꿔야 하나?
미국 NIST 가이드라인은 유출 의심이 없으면 주기적 변경이 불필요하다고 본다. 오히려 자주 바꾸면 단순한 패턴으로 돌아가는 경향이 있다. 유출이 확인됐을 때만 즉시 변경하면 된다.
사이트 조건에 맞는 비밀번호를 매번 머리로 짜내는 것보다, 10초 만에 생성기로 만드는 게 빠르고 안전하다.