비밀번호를 바꾸라는 알림이 또 떴다. 새 비밀번호를 만들어야 하는데, 이전 비밀번호는 쓸 수 없다고 한다. 기억할 수 있으면서 규칙에 맞는 비밀번호를 매번 새로 짜내는 건 생각보다 피곤한 일이다.
이런 비밀번호는 쓰면 안 된다
해커들이 가장 먼저 시도하는 비밀번호 목록은 매년 공개된다. 아래 항목에 해당하면 즉시 바꾸는 게 좋다.
- ✗ 123456, password, qwerty 같은 단순 패턴
- ✗ 생년월일, 전화번호 뒷자리 등 개인 정보 기반
- ✗ 한 단어 그대로 사용 (apple, samsung 등)
- ✗ 여러 사이트에서 같은 비밀번호 돌려쓰기
- ✗ 8자리 미만의 짧은 비밀번호
안전한 비밀번호의 조건
- ✓ 12자리 이상
- ✓ 대문자 + 소문자 + 숫자 + 특수문자 조합
- ✓ 사이트마다 다른 비밀번호 사용
- ✓ 사전에 있는 단어를 그대로 포함하지 않기
12자리 이상, 4종류 문자 조합이면 무차별 대입 공격(brute force)으로 뚫는 데 수백 년이 걸린다. 8자리에서 12자리로 늘리는 것만으로도 보안 강도 차이가 어마어마하다.
참고 비밀번호 길이가 보안에 가장 큰 영향을 준다. 특수문자를 넣는 것보다 길이를 12자 이상으로 늘리는 게 더 효과적이다.
비밀번호, 직접 만들지 말고 생성하자
규칙에 맞춰 비밀번호를 매번 머리로 짜내면 결국 패턴이 생긴다. "MyPass01!", "MyPass02!" 같은 식이다. 패턴이 생기면 하나가 뚫렸을 때 나머지도 위험해진다.
랜덤 비밀번호 생성기를 쓰면 길이와 포함할 문자 종류만 선택하면 된다. 암호학적으로 안전한 난수 기반이라, 사람이 만든 비밀번호보다 예측이 훨씬 어렵다. 생성된 비밀번호는 클립보드로 바로 복사할 수 있다.
생성한 비밀번호, 어떻게 관리할까
- 비밀번호 관리자 사용: 크롬, 사파리 등 브라우저 내장 관리자나 전용 앱에 저장하면 외울 필요가 없다.
- 마스터 비밀번호만 기억: 관리자를 여는 마스터 비밀번호 하나만 외우면 된다. 이것만큼은 직접 만들되, 16자 이상으로 길게 설정하자.
- 2단계 인증 병행: 비밀번호가 유출되더라도 OTP나 생체 인증이 있으면 계정을 지킬 수 있다.
비밀번호를 기억하려고 애쓰는 시대는 지났다. 생성기로 만들고, 관리자에 저장하고, 2단계 인증까지 걸어두면 대부분의 계정 보안 위협에서 벗어날 수 있다.