비밀번호 보안 — 계정을 지키는 실질적인 방법

비밀번호 생성기 → | 비밀번호 강도 테스트 →

비밀번호 크래킹에 실제로 얼마나 걸리나

고성능 GPU를 이용한 무차별 대입 공격을 기준으로 비밀번호 유형별 크래킹 시간을 정리했다.

8자리 비밀번호는 길이와 복잡도에 관계없이 하루 안에 풀릴 수 있다. 12자리 이상에 특수문자가 포함되면 현재 기술로는 현실적으로 뚫을 수 없다.

강력한 비밀번호의 조건

길이가 복잡도보다 중요하다. Tr0ub4dor&3 같은 복잡한 8자리보다 단순한 단어 4개 조합(약 25자)이 더 안전하다. 길이가 길수록 경우의 수가 기하급수적으로 늘어나기 때문이다.

각 서비스마다 다른 비밀번호를 써야 한다. 하나의 비밀번호를 여러 곳에 쓰면, 그 중 하나의 서비스가 해킹됐을 때 다른 계정도 함께 위험해진다. 이것을 크리덴셜 스터핑이라고 한다.

예측 가능한 패턴을 피해야 한다. password1!, Seoul2024!, 이름+생일 조합은 사전 공격에 취약하다.

내 비밀번호가 유출됐는지 확인하는 방법

Have I Been Pwned(haveibeenpwned.com)는 수십억 건의 유출 데이터를 집계해 이메일 주소나 비밀번호가 유출된 적 있는지 확인해준다. 비밀번호 검색 시 SHA-1 해시 값의 앞 5자리만 전송하는 방식(k-Anonymity)을 쓰기 때문에 비밀번호 자체가 유출될 위험은 없다.

비밀번호 관리자

서비스마다 다른 12자리 이상의 무작위 비밀번호를 사람이 기억하는 것은 불가능에 가깝다. 비밀번호 관리자는 하나의 마스터 비밀번호만 기억하면 나머지 수백 개의 비밀번호를 암호화해 저장하고 자동 입력해준다.

• Bitwarden: 오픈소스. 기본 기능은 무료. 개인 사용자에게 실용적이다.
• 1Password: 유료지만 사용성이 좋다. 팀 단위 사용에 적합하다.
• Apple 키체인 / Google 비밀번호 관리자: 각 생태계 내에서 이미 쓰고 있다면 별도 설치 없이 쓸 수 있다.

2단계 인증(2FA) 설정

비밀번호가 유출되더라도 계정을 지키는 방법이 2단계 인증이다.

TOTP 앱 (가장 권장): Google Authenticator, Authy 같은 앱이 30초마다 바뀌는 6자리 코드를 생성한다.

SMS 인증: 편리하지만 SIM 스와핑 공격에 취약하다는 약점이 있다. TOTP 앱을 쓸 수 있다면 SMS보다 권장된다.

패스키 — 비밀번호 없는 인증의 방향

FIDO Alliance와 W3C가 표준화한 패스키(Passkey)는 비밀번호를 완전히 대체하는 인증 방식이다. 기기에 저장된 암호화 키와 생체 인증(지문, Face ID)을 사용한다. Google, Apple, Microsoft 모두 패스키를 지원하며, 네이버도 2023년부터 패스키 로그인을 도입했다.