새 사이트에 가입할 때마다 비밀번호를 만들어야 하는데, "대문자 포함", "특수문자 1개 이상", "12자리 이상" 같은 조건이 사이트마다 다르다. 결국 기존 비밀번호 뒤에 !나 1을 붙이는 식으로 때우게 되는데, 이런 패턴은 해킹에 취약하다.
이런 비밀번호는 몇 초면 뚫린다
비밀번호 해킹에 가장 많이 쓰이는 방법이 사전 공격과 무차별 대입(brute force)이다. 아래 패턴에 해당하면 보안에 거의 도움이 안 된다.
- ✗ 생년월일, 전화번호 조합 (19950315, 01012345678)
- ✗ 연속 숫자/문자 (123456, abcdef, qwerty)
- ✗ 영어 단어 그대로 (password, iloveyou, dragon)
- ✗ 같은 비밀번호를 여러 사이트에 돌려쓰기
- ✗ 기존 비밀번호 끝에 !, 1 붙이기 (password1!)
비밀번호 길이와 조합에 따른 보안 강도
같은 길이라도 조합에 따라 해킹 난이도가 크게 달라진다.
| 길이 | 숫자만 | 영문 소문자만 | 영문+숫자+특수문자 |
|---|---|---|---|
| 6자리 | 즉시 | 즉시 | 수 분 |
| 8자리 | 즉시 | 수 시간 | 수 개월 |
| 12자리 | 수 초 | 수 년 | 수천 년 |
| 16자리 | 수 시간 | 수백만 년 | 측정 불가 |
핵심은 길이와 문자 종류의 조합이다. 짧고 복잡한 것보다 길고 다양한 조합이 훨씬 안전하다. 최소 12자리, 대소문자 + 숫자 + 특수문자 조합이 현재 기준으로 권장된다.
직접 만들지 말고 생성기를 쓰는 이유
사람이 직접 만든 비밀번호는 패턴이 생기기 마련이다. 좋아하는 단어, 익숙한 숫자 배열, 키보드 위치 기반 조합. 해커의 사전 파일에는 이런 패턴이 이미 수백만 개 등록되어 있다. 랜덤 비밀번호 생성기를 쓰면 암호학적 난수로 패턴 없는 비밀번호를 만들어준다. 길이와 포함할 문자 유형만 선택하면 되고, 생성된 비밀번호는 클립보드에 바로 복사할 수 있다.
TIP 생성한 비밀번호를 외우려고 하지 말고, 브라우저 내장 비밀번호 관리자나 별도 관리 앱에 저장하는 게 현실적이다. 외울 수 있는 비밀번호는 해커도 추측할 수 있다.
비밀번호 하나가 뚫리면 같은 비밀번호를 쓰는 모든 계정이 위험해진다. 사이트마다 다른 비밀번호를 쓰되, 생성은 도구에 맡기는 게 가장 안전하다.