보안 가이드

Web Crypto API란?

Q: PwdGen은 Web Crypto의 어떤 부분을 사용하나요?

PwdGen은 crypto.getRandomValues()를 사용하여 브라우저에서 암호학적으로 강력한 난수 값을 요청합니다.

Web Crypto API가 브라우저 기반 무작위 비밀번호 생성에 어떻게 사용되는지, 그리고 일반 JavaScript 난수성과의 차이점을 알아보세요.

요약

Web Crypto API는 암호화 작업을 위한 브라우저 표준입니다. 비밀번호 생성에서 가장 중요한 기능은 crypto.getRandomValues()으로, 웹 페이지에 암호학적으로 강력한 난수 값을 제공하여 비밀번호 문자를 선택할 수 있게 합니다.

비밀번호에 중요한 이유

비밀번호는 예측 불가능성이 필요합니다. 일반 JavaScript 난수성은 비밀을 위해 설계되지 않았습니다. Web Crypto는 브라우저가 표준 API를 통해 더 안전한 암호화 기본 요소를 노출할 수 있도록 존재합니다. PwdGen은 이 API를 사용하여 제한된 무작위 선택을 수행하며, 비밀번호 생성을 위해 Math.random()를 사용하지 않습니다.

운영 체제 경계

Web Crypto가 페이지가 하드웨어 엔트로피 소스를 직접 제어한다는 의미는 아닙니다. 브라우저는 일반적으로 운영 체제 및 플랫폼 암호화 공급자에 의존합니다. 신중한 방법론은 Web Crypto가 CSPRNG 출력을 제공한다고 말해야 하며, 모든 호출이 CPU의 물리적 노이즈를 읽는 것은 아닙니다.

PwdGen이 사용하는 방법

PwdGen은 32비트 무작위 정수를 요청하고, 리젝션 샘플링을 사용하여 모듈로 편향을 피하며, 허용된 값을 문자 인덱스에 매핑하고, 필요한 문자 클래스를 섞습니다. 이렇게 하면 구현이 작고 감사 가능하게 유지됩니다.

상세 안내

이 가이드는 Web Crypto API를 브라우저 보안 기본 요소로 이해하는 데 중점을 둡니다. 사용자와 개발자가 브라우저 난수성이 왜 중요한지 알기 위해 작성되었으며, 실용적인 목표는 극적인 보안 주장을 만드는 것이 아닙니다. 목표는 일상적인 사용에서 생존할 수 있는 비밀번호 습관을 선택하는 것입니다: 로그인 양식, 비밀번호 관리자, 모바일 키보드, 계정 복구, 공유 기기, 그리고 가끔 이상한 유효성 검사 규칙을 가진 서비스. 안전한 권장 사항은 실제 사람이 일관되게 따를 수 있을 때만 유용합니다.

가장 안전한 출발점은 무작위성과 고유성입니다. 무작위성은 값이 생일, 애완동물 이름, 키보드 패턴, 좋아하는 인용문이 아닌 암호학적으로 적합한 난수 소스에서 큰 공간에서 선택됨을 의미합니다. 고유성은 동일한 비밀번호가 다른 곳에서 사용되지 않음을 의미합니다. 길지만 재사용되는 비밀번호는 관련 없는 유출 후 빠르게 실패할 수 있는 반면, 고유한 무작위 비밀번호는 사용된 단일 계정으로 피해를 제한합니다.

이 주제에 대해 실용적인 사전 설정은 crypto.getRandomValues를 사용할 수 있는 최신 Chrome, Edge, Safari, Firefox입니다. 브라우저 지원 페이지에서 해당 사전 설정을 적용한 다음 최종 값을 신뢰할 수 있는 비밀번호 관리자에 저장할 수 있습니다. PwdGen은 Web Crypto를 사용하여 브라우저에서 로컬로 값을 생성합니다. 생성된 비밀번호는 PwdGen 서버로 전송되지 않습니다. 이 로컬 설계는 서버 측 노출을 줄이지만 모든 위협으로부터 보호하지는 않습니다. 악성 브라우저 확장 프로그램, 손상된 기기, 피싱 페이지, 안전하지 않은 클립보드 처리는 생성 후에도 비밀을 노출할 수 있습니다.

피해야 할 가장 일반적인 문제는 오래된 브라우저, 안전하지 않은 컨텍스트, Math.random을 조용히 사용하는 폴리필, 인코딩과 암호화의 혼동입니다. 이러한 문제는 인간의 습관이 지름길을 제공할 때 공격자가 모든 가능한 비밀번호를 무차별 대입할 필요가 거의 없기 때문에 중요합니다. 자격 증명 스터핑, 피싱, 유출된 비밀번호 목록, 계정 복구 남용은 종종 순수 수학적 검색보다 더 현실적입니다. 그렇기 때문에 최고의 조언은 비밀번호 품질과 MFA, 패스키, 복구 코드 저장, 복구 이메일 또는 전화 설정의 정기적인 검토와 같은 계정 수준 제어를 결합합니다.

권장 사항을 적용할 때 이 체크리스트를 사용하세요:

최신 브라우저를 사용하세요.
자체 난수 소스를 구현하는 도구를 피하세요.
Web Crypto가 맬웨어를 고치지 않는다는 것을 이해하세요.
생성기를 신뢰하기 전에 방법론을 읽으세요.

웹사이트가 이상적인 설정을 거부하는 경우, 수동으로 비밀번호를 약한 패턴으로 강제하지 마세요. 한 번에 하나의 변수를 조정하세요. 기호가 거부되면 대문자, 소문자, 숫자를 활성화하고 길이를 늘리세요. 최대 길이가 짧으면 허용된 가장 큰 길이를 사용하고 값이 고유한지 확인하세요. 비밀번호를 소리내어 읽거나, 인쇄하거나, TV 또는 라우터 화면에 입력해야 하는 경우 혼동되는 문자를 제외하고 더 작은 알파벳을 보상하기 위해 길이를 늘리는 것을 고려하세요.

마지막으로, 비밀번호 조언의 한계를 기억하세요. 강력한 비밀번호는 하나의 방어 계층일 뿐, 보장이 아닙니다. 피싱 페이지를 안전하게 만들거나, 맬웨어를 고치거나, 자격 증명을 잘못 저장하는 서비스를 보상할 수 없습니다. 유용한 습관은 지루하지만 내구성이 있습니다: 고유한 값을 생성하고, 안전하게 저장하고, 복구 경로를 보호하고, 노출이 의심되면 신속하게 교체하세요.

안전한 다음 단계

이 가이드를 읽은 후, 모든 것을 한 번에 고치려고 하지 말고 작은 계정 감사를 하나 수행하세요. 탈취 시 가장 큰 문제를 일으킬 계정을 선택하고, 비밀번호가 고유한지 확인하고, 복구 이메일, 복구 전화, MFA 방법, 백업 코드 저장소를 확인하세요. 해당 체인의 어떤 부분이 약하면, 위험이 낮은 계정으로 이동하기 전에 그 부분을 개선하세요. 이 순서는 작업을 관리 가능하게 유지하고 공격자가 발판으로 사용할 가능성이 가장 높은 계정을 보호합니다. Web Crypto API가 무엇인지에 대한 최상의 결과는 반복 가능한 습관입니다: 로컬에서 생성하고, 신중하게 저장하고, 재사용을 피하세요.

자주 묻는 질문

PwdGen은 Web Crypto의 어떤 부분을 사용하나요?

PwdGen은 crypto.getRandomValues()를 사용하여 브라우저에서 암호학적으로 강력한 난수 값을 요청합니다.

Web Crypto가 모든 바이트가 하드웨어에서 직접 오는 것을 의미하나요?

아니요. 브라우저는 일반적으로 고품질 엔트로피로 시드된 운영 체제 암호화 공급자를 사용합니다. 브라우저와 OS가 구현을 선택합니다.

Web Crypto는 모든 브라우저에서 사용할 수 있나요?

최신 브라우저에서 사용할 수 있습니다. 없는 경우 PwdGen은 안전하지 않은 난수성으로 대체하지 않고 생성을 비활성화합니다.