보안 가이드
비밀번호 vs 패스프레이즈
무작위 문자 비밀번호와 무작위 단어 패스프레이즈를 기억성, 엔트로피, 저장, 안전한 사용 사례 측면에서 비교합니다.
요약
비밀번호는 일반적으로 무작위 문자로 구성된 문자열입니다. 패스프레이즈는 일반적으로 단어의 시퀀스입니다. 둘 다 무작위로 생성되고, 고유하며, 안전하게 저장되거나 기억된다면 강력할 수 있습니다. 올바른 선택은 최대한의 간결성, 쉬운 입력, 또는 기억성이 필요한지에 따라 달라집니다.
무작위 단어를 원할 경우 패스프레이즈 생성기를 사용하고, 사이트에서 간결한 문자 비밀번호를 요구할 경우 비밀번호 생성기를 사용하세요.
무작위 문자 비밀번호
무작위 문자 비밀번호는 효율적입니다. 모든 문자가 검색 공간을 추가할 수 있습니다. 비밀번호 관리자, 관리자 패널, WiFi, 은행, 이메일, 개발자 비밀번호에 이상적입니다. 단점은 기억하기 어렵고 작은 키보드에서 입력하기 불편하다는 것입니다.
무작위 단어 패스프레이즈
패스프레이즈는 읽고 입력하기 더 쉽습니다. 중요한 단어는 “무작위”입니다. 직접 만든 문장, 인용문, 노래 가사, 또는 익숙한 구문은 패턴 기반 도구에 의해 추측될 수 있습니다. 패스프레이즈는 충분히 큰 목록에서 독립적으로 선택된 단어로 구성되어야 합니다.
실용적인 권장 사항
- 관리자에 저장된 대부분의 계정에는 무작위 문자 비밀번호를 사용하세요.
- 기억해야 할 자격 증명에는 패스프레이즈를 사용하세요.
- 두 형식을 재사용하지 마세요.
- 개인적인 구문, 인용문, 이름, 날짜는 피하세요.
- 대상 시스템에서 공백이나 구분자를 허용하는지 확인하세요.
상세 가이드
이 가이드는 무작위 문자 비밀번호와 무작위 패스프레이즈 중에서 선택하는 데 초점을 맞춥니다. 안전한 저장 비밀번호와 기억 가능한 로그인 비밀번호가 모두 필요한 사람들을 위해 작성되었으므로, 실용적인 목표는 극적인 보안 주장을 만드는 것이 아닙니다. 목표는 일상적인 사용에서도 지속될 수 있는 비밀번호 습관을 선택하는 것입니다: 로그인 양식, 비밀번호 관리자, 모바일 키보드, 계정 복구, 공유 장치, 그리고 가끔 이상한 유효성 검사 규칙을 가진 서비스. 안전한 권장 사항은 실제 사람이 일관되게 따를 수 있을 때만 유용합니다.
가장 안전한 출발점은 무작위성과 고유성입니다. 무작위성은 값이 암호학적으로 적합한 무작위 소스에 의해 큰 공간에서 선택되며, 생일, 애완동물 이름, 키보드 패턴, 또는 좋아하는 인용문에서 만들어지지 않음을 의미합니다. 고유성은 동일한 비밀번호가 다른 곳에서 사용되지 않음을 의미합니다. 길지만 재사용된 비밀번호는 관련 없는 유출 후 빠르게 실패할 수 있는 반면, 고유한 무작위 비밀번호는 사용된 단일 계정으로 피해를 제한합니다.
이 주제에 대해 실용적인 사전 설정은 기억성을 위해 4~6개의 무작위 단어, 또는 비밀번호 관리자 저장을 위해 무작위 문자입니다. 패스프레이즈 생성기로 해당 사전 설정을 적용한 후 최종 값을 신뢰할 수 있는 비밀번호 관리자에 저장할 수 있습니다. PwdGen은 Web Crypto를 사용하여 브라우저에서 로컬로 값을 생성합니다. 생성된 비밀번호는 PwdGen 서버로 전송되지 않습니다. 이 로컬 설계는 서버 측 노출을 줄이지만 모든 위협으로부터 보호하지는 않습니다. 악의적인 브라우저 확장 프로그램, 손상된 장치, 피싱 페이지, 또는 안전하지 않은 클립보드 처리는 생성 후에도 비밀번호를 노출시킬 수 있습니다.
피해야 할 가장 일반적인 문제는 손으로 쓴 구문, 유명한 인용문, 노래 가사, 개인 슬로건, 사람이 선택한 사전 구문입니다. 이러한 문제는 공격자가 인간의 습관이 지름길을 제공할 때 가능한 모든 비밀번호를 무차별 대입할 필요가 거의 없기 때문에 중요합니다. 크리덴셜 스터핑, 피싱, 유출된 비밀번호 목록, 계정 복구 남용은 종종 순수한 수학적 검색보다 더 현실적입니다. 이것이 최고의 조언이 비밀번호 품질을 MFA, 패스키, 복구 코드 저장, 복구 이메일 또는 전화 설정의 정기적인 검토와 같은 계정 수준 제어와 결합하는 이유입니다.
권장 사항을 적용할 때 이 체크리스트를 사용하세요:
- 직접 만든 문장이 아닌 무작위로 선택된 단어를 사용하세요.
- 구분자를 대상 양식과 일관되게 유지하세요.
- 계정 간에 패스프레이즈를 재사용하지 마세요.
- 긴 무작위 비밀번호에는 관리자를 사용하세요.
웹사이트가 이상적인 설정을 거부하는 경우, 수동으로 비밀번호를 더 약한 패턴으로 강제하지 마세요. 한 번에 하나의 변수를 조정하세요. 기호가 거부되면 대문자, 소문자, 숫자를 활성화하고 길이를 늘리세요. 최대 길이가 낮으면 허용된 가장 큰 길이를 사용하고 값이 고유한지 확인하세요. 비밀번호를 소리내어 읽거나, 인쇄하거나, TV나 라우터 화면에 입력해야 하는 경우 혼동되는 문자를 제외하고 더 작은 알파벳을 보상하기 위해 길이를 늘리는 것을 고려하세요.
마지막으로, 비밀번호 조언의 한계를 기억하세요. 강력한 비밀번호는 하나의 방어 계층일 뿐, 보장이 아닙니다. 피싱 페이지를 안전하게 만들거나, 맬웨어를 수정하거나, 자격 증명을 제대로 저장하지 않는 서비스를 보상할 수 없습니다. 유용한 습관은 지루하지만 지속 가능합니다: 고유한 값을 생성하고, 안전하게 저장하고, 복구 경로를 보호하고, 노출이 의심되면 신속하게 교체하세요.
자주 묻는 질문
패스프레이즈가 항상 비밀번호보다 강력한가요?
아니요. 무작위 패스프레이즈는 강력할 수 있지만, 익숙한 인용문이나 문장은 무작위로 선택된 단어와 동일하지 않습니다.
언제 패스프레이즈를 선택해야 하나요?
특히 비밀번호 관리자 마스터 자격 증명의 경우, 수동으로 기억하거나 입력해야 할 때 패스프레이즈를 선택하세요.
패스프레이즈는 몇 개의 단어를 사용해야 하나요?
4개의 무작위 단어가 실용적인 시작점입니다. 더 높은 가치의 사용이나 더 작은 단어 목록의 경우 단어를 더 추가하세요.