보안 가이드
비밀번호는 얼마나 길어야 할까요?
12, 16, 20, 32자 중 언제 선택해야 하는지, 그리고 비밀번호 길이, 고유성, 저장 방식이 시각적 복잡성보다 중요한 이유를 알아보세요.
요약
대부분의 현대 계정에서는 16자의 무작위 문자가 강력한 실용적 기준입니다. 중요한 개인 계정, 이메일, 은행, 업무 또는 관리자 계정에는 20자 이상을 사용하세요. 비밀번호 관리자에 저장되고 높은 가치의 접근을 보호하는 경우 32자를 사용하세요.
길이 대역
짧은 비밀번호는 가능한 조합 수가 적어 추측하기 쉽습니다. 69자는 일반적으로 계정 보안에 너무 짧습니다. 1014자는 많은 서비스에서 허용될 수 있지만, 중요한 계정의 선호 대상으로 취급되어서는 안 됩니다.
16자의 무작위 문자는 비밀번호 관리자가 값을 저장할 때 좋은 기본값입니다. 20자는 많은 사이트와 호환되면서 여유를 더합니다. 32자는 관리자 패널, 암호화된 파일, 데이터베이스 자격 증명 및 로컬 비밀에 유용합니다.
무작위 길이 대 인간 길이
무작위 16자 비밀번호는 인간이 만든 16자 구문과 매우 다릅니다. 인간의 선택에는 종종 단어, 날짜, 이름 및 예측 가능한 끝이 포함됩니다. 공격자는 맹목적인 무차별 대입을 시도하기 전에 이러한 패턴을 테스트합니다.
실용적인 권장 사항
- 일반 기준으로 16자를 사용하세요.
- 높은 가치의 계정에는 20~32자를 사용하세요.
- 기억해야 하는 경우 암호(passphrase)를 사용하세요.
- 호환성이 필요한 경우에만 기호 없음 또는 모호하지 않음 사전 설정을 사용하세요.
- 길다고 해서 비밀번호를 재사용하지 마세요.
상세 안내
이 가이드는 다양한 계정 위험에 대해 비밀번호 길이를 선택하는 데 중점을 둡니다. 12, 16, 20, 24, 32자 선택을 비교하는 독자를 위해 작성되었으므로 실용적인 목표는 극적인 보안 주장을 만드는 것이 아닙니다. 목표는 일상적인 사용에서 생존할 수 있는 비밀번호 습관을 선택하는 것입니다: 로그인 양식, 비밀번호 관리자, 모바일 키보드, 계정 복구, 공유 장치 및 이상한 유효성 검사 규칙이 있는 가끔의 서비스. 안전한 권장 사항은 실제 사람이 일관되게 따를 수 있을 때만 유용합니다.
가장 안전한 출발점은 무작위성과 고유성입니다. 무작위성은 값이 생일, 애완동물 이름, 키보드 패턴 또는 좋아하는 인용문에서 발명된 것이 아니라 암호학적으로 적합한 무작위 소스에 의해 큰 공간에서 선택됨을 의미합니다. 고유성은 동일한 비밀번호가 다른 곳에서 사용되지 않음을 의미합니다. 길지만 재사용된 비밀번호는 관련 없는 침해 후 빠르게 실패할 수 있는 반면, 고유한 무작위 비밀번호는 사용된 단일 계정으로 피해를 제한합니다.
이 주제에 대해 실용적인 사전 설정은 일반 계정의 경우 16자, 중요한 계정의 경우 20자 이상, 입력보다는 저장되는 비밀의 경우 32자입니다. 32자 비밀번호 생성기로 해당 사전 설정을 적용한 다음 최종 값을 신뢰할 수 있는 비밀번호 관리자에 저장할 수 있습니다. PwdGen은 Web Crypto를 사용하여 브라우저에서 로컬로 값을 생성합니다. 생성된 비밀번호는 PwdGen 서버로 전송되지 않습니다. 이러한 로컬 설계는 서버 측 노출을 줄이지만 모든 위협으로부터 보호하지는 않습니다. 악의적인 브라우저 확장 프로그램, 손상된 장치, 피싱 페이지 또는 안전하지 않은 클립보드 처리는 생성 후에도 비밀을 노출할 수 있습니다.
피해야 할 가장 일반적인 문제는 짧은 무작위 값, 최대 길이 제한, 레거시 양식 및 고정된 숫자가 모든 시스템에 안전하다고 가정하는 것입니다. 이러한 문제는 인간의 습관이 공격자에게 지름길을 제공할 때 무차별 대입이 모든 가능한 비밀번호를 시도할 필요가 거의 없기 때문에 중요합니다. 자격 증명 스터핑, 피싱, 유출된 비밀번호 목록 및 계정 복구 남용은 종종 순수한 수학적 검색보다 더 현실적입니다. 그렇기 때문에 최고의 조언은 비밀번호 품질을 MFA, 패스키, 복구 코드 저장 및 복구 이메일이나 전화 설정의 정기적인 검토와 같은 계정 수준 제어와 결합합니다.
권장 사항을 적용할 때 이 체크리스트를 사용하세요:
- 기호가 허용되지 않을 때는 더 긴 길이를 사용하세요.
- 저장하기 전에 대상 최대 길이를 확인하세요.
- 편의를 위해 비밀번호를 줄이지 마세요.
- 암기가 중요한 경우 암호(passphrase)를 사용하세요.
웹사이트가 이상적인 설정을 거부하는 경우 비밀번호를 수동으로 더 약한 패턴으로 강제하지 마세요. 한 번에 하나의 변수를 조정하세요. 기호가 거부되면 대문자, 소문자 및 숫자를 활성화하고 길이를 늘리세요. 최대 길이가 낮으면 허용되는 가장 큰 길이를 사용하고 값이 고유한지 확인하세요. 비밀번호를 소리 내어 읽거나, 인쇄하거나, TV나 라우터 화면에 입력해야 하는 경우 혼동되는 문자를 제외하고 더 작은 알파벳을 보상하기 위해 길이를 늘리는 것을 고려하세요.
마지막으로, 비밀번호 조언의 경계를 기억하세요. 강력한 비밀번호는 하나의 방어 계층이지 보장이 아닙니다. 피싱 페이지를 안전하게 만들거나, 맬웨어를 수정하거나, 자격 증명을 제대로 저장하지 않는 서비스를 보상할 수 없습니다. 유용한 습관은 지루하지만 내구성이 있습니다: 고유한 값을 생성하고, 안전하게 저장하고, 복구 경로를 보호하고, 노출이 의심되면 신속하게 교체하세요.
자주 묻는 질문
12자면 충분한가요?
무작위 12자 비밀번호는 호환성에 유용할 수 있지만, 서비스가 허용하는 경우 16자 이상이 더 나은 기본값입니다.
20자 또는 32자는 언제 사용해야 하나요?
중요한 계정에는 20자 이상을, 비밀번호 관리자에 저장된 관리자, 암호화된 파일 또는 개발자 비밀 워크플로에는 32자를 사용하세요.
비밀번호가 너무 길 수 있나요?
일부 서비스는 최대 길이를 부과하거나 기호를 거부합니다. 대상이 허용하는 가장 긴 고유한 무작위 값을 사용하세요.