엔트로피란
엔트로피는 가능한 비밀번호 경우의 수를 로그2 스케일(비트)로 나타낸 값입니다. 예를 들어 40비트는 약 1조 가지, 60비트는 약 100경 가지의 경우의 수를 뜻합니다.
엔트로피는 대략 '길이 × log2(문자 풀 크기)'로 계산됩니다. 길이를 늘리는 것이 엔트로피를 올리는 가장 확실한 방법입니다.
무차별 대입 vs 사전 공격
무차별 대입은 가능한 모든 조합을 차례로 시도하는 방식이라 엔트로피가 높을수록 비현실적으로 오래 걸립니다.
사전 공격은 흔한 비밀번호·단어·유출 목록을 먼저 시도합니다. 그래서 아무리 길어도 흔한 단어나 패턴이면 순식간에 뚫립니다. 무작위성이 중요한 이유입니다.
해시와 유출
잘 만든 사이트는 비밀번호를 평문이 아니라 해시로 저장합니다. 하지만 데이터가 유출되면 공격자는 오프라인에서 초당 수십억 번의 추측을 시도할 수 있습니다.
이때 길고 무작위한 비밀번호는 크래킹 비용을 감당 불가능하게 만들어 사실상 안전합니다.
얼마나 강해야 하나
실용적인 기준은 다음과 같습니다.
- 28비트 미만: 매우 약함(즉시 뚫림)
- 40~60비트: 보통(중요치 않은 계정)
- 60~100비트: 강함(대부분의 계정에 충분)
- 100비트 이상: 매우 강함(장기 보안)