네 비밀번호는 아마 형편없어 (더 나은 거 여기 있어)
왜 password123이 아무도 못 속이는지, 실제로 뭐가 비밀번호를 강하게 만드는지.
솔직히 말하자. 어딘가에 "password123"을 썼어. 또는 개 이름. 또는 생일. 끝에 느낌표를 추가하고 똑똑하다고 느꼈을 수도.
해커들은 리스트가 있어. 빈도별로 정렬된 수백만 개의 흔한 비밀번호. 먼저 그걸 시도해. "password123!"은 리스트에 있어. "Fluffy2024"도, "Jennifer1985"도, 네가 유니크하다고 생각한 다른 것도.
비밀번호를 강하게 만드는 것
복잡성이 아니야. 무작위성이야.
"Tr0ub4dor&3"은 강해 보여—대소문자 혼합, 숫자, 기호. 하지만 수정된 단어야. 패턴 기반. 크래킹 가능.
"mK8$zL2@nQ5&wR"은 키보드 난타처럼 보여. 실제론 무작위야. 크래킹하기 훨씬 어려워.
차이: 하나는 인간 패턴을 따르고, 하나는 안 따라. 해커는 인간 패턴을 알아.
길이가 복잡성을 이겨
소문자만 있는 20자 비밀번호가 기호가 있는 8자 비밀번호보다 강해.
왜? 수학.
- 8자, 전체 복잡성 (문자당 95개 가능): 95^8 = 6.6 쿼드릴리언 조합
- 20자, 소문자만 (문자당 26개 가능): 26^20 = 19 옥틸리언 조합
더 긴 비밀번호가 더 간단한 문자로도 훨씬 많은 조합을 가져.
그래서 "correct horse battery staple"이 유명해진 거야. 네 개의 무작위 단어, 기억하기 쉽고, 크래킹하기 어려워.
진짜 문제: 재사용
같은 비밀번호를 어디서나 쓰는 게 실제 보안 재앙이야.
한 사이트가 유출돼. 이메일과 비밀번호가 새. 해커가 그 조합을 모든 주요 서비스에 시도해. 같은 비밀번호를 썼으면 들어와.
이건 지속적으로 일어나. LinkedIn 유출됐어. Adobe 유출됐어. Dropbox 유출됐어. 비밀번호가 그 유출 중 하나에 있었고 재사용했으면 공격자가 아마 다른 곳에서 시도했을 거야.
실제로 작동하는 것
비밀번호 관리자 써. 무작위 비밀번호를 생성하고, 안전하게 저장하고, 자동으로 채워줘. 하나의 마스터 비밀번호만 기억해. 관리자가 나머지를 처리해.
각 비밀번호를 유니크하게. 모든 사이트가 자신만의 무작위 비밀번호를 받아. 하나의 유출이 캐스케이드되지 않아.
2단계 인증 켜. 누가 비밀번호를 얻어도 폰도 필요해. 최소 노력으로 엄청난 개선.
비밀번호를 계속 바꾸지 마. 예전 조언은 "90일마다 변경"이었어. 이건 사람들이 Password1, Password2, Password3을 쓰게 만들었어. 강한 비밀번호를 더 오래 유지하는 것보다 나빠.
기억해야 하는 비밀번호는
어떤 비밀번호는 관리자에 저장할 수 없어—컴퓨터 로그인, 비밀번호 관리자의 마스터 비밀번호.
이것들은 패스프레이즈 써:
- 4-5개 무작위 단어 골라 (실제로 무작위, 말이 되는 구문이 아니라)
- 어딘가에 숫자나 기호 추가
- 최소 20자로 만들어
"correct horse battery staple" → "purple-table-window-coffee-89"
무작위 단어, 타이핑하기 쉽고, 몇 번 쓰면 기억하기 쉽고, 크래킹하기 매우 어려워.
유출됐는지 확인
"Have I Been Pwned" 같은 사이트가 이메일이 알려진 데이터 유출에 나타났는지 확인하게 해줘. 주기적으로 확인할 가치가 있어. 나타나면 그 이메일을 쓰는 계정의 비밀번호를 바꿔—특히 비밀번호를 재사용했으면.
비밀번호 보안은 삶을 어렵게 만드는 게 아니야. 올바른 도구를 쓰는 거야—비밀번호 생성기, 비밀번호 관리자, 2단계 인증—그래서 비밀번호에 대해 완전히 생각을 멈출 수 있어.
무작위로 뭔가 생성하고, 안전하게 저장하고, 존재를 잊어. 그게 목표야.