강한 passphrase의 조건
- 최소 14자.
- 4개 이상의 무작위 단어 — 가족·반려동물·생일과 관련 없는 단어로.
- 대소문자, 숫자, 특수문자 혼합.
- 내가 외우기는 쉽고, 남이 추측하기는 어렵게.
공격자가 비밀번호를 깨는 방법
- Phishing & Social Engineering — 속여서 알아냄.
- Brute force — 초당 수십억 조합을 시도하는 소프트웨어.
- Dictionary attack — 흔한 단어와 변형을 시도 (password1, password123).
- Credential stuffing — 한 사이트에서 유출된 ID·PW를 다른 사이트에 시도.
Password manager
Password manager는 사이트마다 unique한 강한 passphrase를 자동 생성·기억하고, 마스터 passphrase로 암호화합니다. 마스터만 외우면 됩니다. 가능하면 standalone (오프라인 가능) 매니저를 선택하고, 마스터에 MFA를 적용하세요. 마스터를 잃으면 보통 복구가 불가능하니 안전하게 백업해 두세요.
강한 passphrase 5가지 규칙
- Passphrase를 누구와도 공유하지 마세요.
- 계정마다 다른 passphrase 사용.
- 다 외우기 어려우면 password manager 사용 — 마스터는 MFA로 보호.
- 유출 의심 즉시 변경.
- 대소문자, 숫자, 특수문자를 섞은 14자 이상을 목표로.
도구
- ID Support NSW — Password 강도 측정
익명 — 비밀번호를 저장하거나 전송하지 않음.
- CHOICE — Password manager 비교
- Have I Been Pwned — 내 이메일 유출 여부 확인