매달 비밀번호를 바꾸라는 알림이 뜰 때마다 뒤에 숫자 하나만 올리는 사람이 많다. password1이 password2가 되고, 다음 달에는 password3. 이런 패턴은 해커가 가장 먼저 시도하는 공격 방식이다.
해킹에 취약한 비밀번호 패턴
아래 항목에 하나라도 해당하면 바꾸는 게 좋다.
- ✗ 생년월일, 전화번호, 이름 포함 (예: kim1990, 01012345678)
- ✗ 키보드 연속 배열 (예: qwerty, 1234, asdf)
- ✗ 같은 비밀번호를 여러 사이트에 돌려 쓰기
- ✗ 뒤에 숫자나 느낌표만 바꾸기 (예: Pass1! → Pass2!)
- ✗ 영어 단어 그대로 사용 (예: monkey, dragon, football)
이런 비밀번호는 사전 공격(dictionary attack)이나 무차별 대입(brute force)에 수 초 안에 뚫린다. 8자리 소문자 비밀번호는 최신 GPU로 수 분이면 해독 가능하다.
안전한 비밀번호 조건
| 조건 | 이유 |
|---|---|
| 12자리 이상 | 길이가 1자 늘 때마다 해독 시간이 기하급수적으로 증가 |
| 대문자 + 소문자 혼합 | 경우의 수가 26자에서 52자로 두 배 |
| 숫자 포함 | 문자만 있는 것보다 조합 가짓수 증가 |
| 특수문자 포함 | !@#$%^&* 등 30개 이상의 문자가 추가 |
| 사이트마다 다른 비밀번호 | 한 곳이 뚫려도 다른 계정은 안전 |
TIP 12자리 대소문자+숫자+특수문자 조합은 현재 기술로 해독에 수백 년이 걸린다. 16자리면 사실상 불가능에 가깝다.
머리로 만들지 말고 생성기를 쓰자
조건에 맞는 비밀번호를 직접 만들려면 생각보다 시간이 걸린다. 매번 머리로 짜내는 것보다 비밀번호 생성기를 한 번 돌리는 게 빠르고 안전하다. 길이를 16자로 설정하고 대소문자, 숫자, 특수문자를 전부 켜면 조건에 맞는 비밀번호가 즉시 만들어진다.
암호학적 난수(crypto API)를 사용해서 패턴 없이 완전히 무작위로 생성된다. 생성된 비밀번호는 서버로 전송되지 않고 브라우저에서만 처리된다.
비밀번호 관리 팁
- 비밀번호 관리자 사용 — 사이트마다 다른 16자리 비밀번호를 외울 수는 없다. 1Password, Bitwarden 같은 관리자에 저장해두면 마스터 비밀번호 하나만 기억하면 된다.
- 2단계 인증 설정 — 비밀번호가 유출되더라도 2단계 인증(OTP)이 걸려 있으면 로그인이 차단된다. 금융, 이메일, SNS에는 반드시 설정하자.
- 유출 여부 점검 — Have I Been Pwned 같은 서비스에서 내 이메일이 유출된 적 있는지 확인할 수 있다. 유출 이력이 있으면 해당 사이트 비밀번호를 즉시 바꿔야 한다.
비밀번호 하나 뚫리면 같은 비밀번호를 쓰는 모든 계정이 위험해진다. 30초면 만들 수 있는 비밀번호에 계정 보안이 달려 있다.