지난달 쓰던 쇼핑몰에서 개인정보 유출 공지가 왔다. 비밀번호를 바꾸려는데, 다른 사이트에서도 같은 비밀번호를 쓰고 있었다. 전부 바꿔야 하는 상황인데, 사이트마다 특수문자 필수, 12자리 이상 등 규칙이 제각각이다.
안전한 비밀번호의 조건
- ✓ 최소 12자리 이상 (짧을수록 무차별 대입 공격에 취약)
- ✓ 대문자 + 소문자 + 숫자 + 특수문자 조합
- ✓ 사이트마다 다른 비밀번호 사용
- ✗ 생년월일, 전화번호, 이름 포함 금지
- ✗ "password", "1234", "qwerty" 같은 사전 단어 금지
비밀번호 길이와 해킹 소요 시간
| 길이 | 구성 | 무차별 대입 예상 시간 |
|---|---|---|
| 8자 | 소문자만 | 수 분 |
| 8자 | 대소문자+숫자+특수 | 수 시간 |
| 12자 | 대소문자+숫자+특수 | 수백 년 |
| 16자 | 대소문자+숫자+특수 | 수조 년 |
길이를 4자만 늘려도 경우의 수가 기하급수적으로 증가한다. 8자짜리 비밀번호는 요즘 GPU로 몇 시간이면 뚫리지만, 12자 이상이면 현실적으로 불가능한 수준이 된다.
머리로 만들지 말고 생성기를 쓰는 이유
사람이 직접 만든 비밀번호에는 패턴이 있다. 이름 뒤에 생년월일 붙이기, 단어에 !를 추가하기, 숫자를 순서대로 넣기. 해커들은 이런 패턴을 이미 알고 있고, 사전 공격에 이 패턴을 우선적으로 대입한다. 랜덤 생성기가 만드는 비밀번호에는 이런 규칙이 없어서 사전 공격에 걸리지 않는다.
TIP 생성한 비밀번호를 기억하기 어렵다면 비밀번호 관리 앱(1Password, Bitwarden 등)에 저장해두는 방법이 있다. 마스터 비밀번호 하나만 기억하면 된다.
사이트마다 규칙이 다를 때 일일이 머리를 굴리는 것보다, 랜덤 비밀번호 생성기에서 길이와 포함할 문자 유형을 지정하고 바로 만드는 게 빠르다. 복사 버튼으로 클립보드에 옮기면 되니까, 직접 타이핑할 필요도 없다.
비밀번호를 하나만 돌려쓰다가 한 곳이 뚫리면 전부 위험해진다. 사이트별로 다른 비밀번호를 쓰는 게 가장 확실한 방어다.