비밀번호를 바꾸라는 알림이 뜨면 뒤에 숫자 1을 더 붙이는 게 전부였다. qwerty123에서 qwerty1234로. 이런 패턴은 해커의 사전 공격 목록에 이미 올라가 있다.
해커가 가장 먼저 시도하는 비밀번호
매년 발표되는 유출 비밀번호 분석 보고서에서 상위권에 오르는 비밀번호는 거의 변하지 않는다.
- 123456
- password
- qwerty123
- abc123
- iloveyou
키보드 배열 패턴(qwerty, asdf), 생년월일, 전화번호 뒷자리는 사전 공격의 1순위 대상이다. 여러 사이트에 같은 비밀번호를 돌려쓰면 한 곳이 뚫릴 때 나머지도 연쇄로 털린다.
안전한 비밀번호 조건
- ✓ 12자리 이상 (길수록 유리, 8자리는 몇 시간이면 뚫린다)
- ✓ 대문자 + 소문자 + 숫자 + 특수문자 조합
- ✓ 사이트마다 서로 다른 비밀번호 사용
- ✓ 사전에 있는 단어 그대로 쓰지 않기
- ✗ 생년월일, 전화번호, 이름 포함 금지
- ✗ 이전 비밀번호에 숫자만 바꿔서 재사용 금지
참고 8자리 숫자 비밀번호는 일반 컴퓨터로 수 초 만에 해독된다. 같은 8자리라도 대소문자와 특수문자가 섞이면 해독에 수개월이 걸린다. 자릿수보다 조합 복잡도가 중요하다.
직접 만들기 어렵다면
조건을 전부 만족하는 비밀번호를 머릿속으로 짜내는 건 솔직히 귀찮다. 사이트마다 다르게 만들어야 하니 더 그렇다. 이럴 때 비밀번호 생성기를 쓰면 길이와 포함할 문자 유형만 고르면 조건에 맞는 비밀번호가 즉시 만들어진다.
생성 기록이 최대 8개까지 남아서 여러 사이트 비밀번호를 한꺼번에 바꿀 때 편하다. 암호학적 난수를 사용하고 서버로 데이터가 전송되지 않으니 보안 면에서도 안심할 수 있다.
만든 비밀번호는 브라우저 저장 기능이나 별도 비밀번호 관리 앱에 넣어두는 게 좋다. 머릿속에 외우겠다고 단순하게 만드는 것보다, 복잡하게 만들고 도구에 맡기는 쪽이 훨씬 안전하다.