길이가 가장 중요하다
비밀번호 강도에 가장 큰 영향을 주는 요소는 길이입니다. 한 글자가 늘어날 때마다 가능한 경우의 수가 문자 집합 크기만큼 곱해지므로, 강도는 지수적으로 증가합니다.
온라인 계정은 최소 12자, 이메일·금융처럼 중요한 계정은 16자 이상을 권장합니다. 길이가 충분하면 특수문자를 조금 덜 써도 안전합니다.
문자 종류를 섞어라
대문자·소문자·숫자·기호를 함께 사용하면 같은 길이에서도 문자 풀이 커져 엔트로피가 올라갑니다.
- 대문자 A–Z, 소문자 a–z
- 숫자 0–9
- 기호 ! @ # $ % ^ & *
- 손으로 옮겨 적어야 한다면 0/O, 1/l/I 같은 혼동 문자를 제외
사이트마다 다른 비밀번호를
한 곳에서 비밀번호가 유출되면 공격자는 같은 조합을 다른 사이트에 대입합니다(크리덴셜 스터핑). 사이트마다 완전히 다른 비밀번호를 쓰는 것이 가장 효과적인 방어입니다.
수십 개의 고유한 비밀번호를 외우는 것은 불가능하므로 비밀번호 관리자를 함께 사용하는 것을 권장합니다.
피해야 할 것
다음은 추측·크래킹에 취약하므로 피해야 합니다.
- 사전에 있는 단어 하나, 이름, 생일 등 개인정보
- password, 123456, qwerty 같은 흔한 값
- asdf, 1q2w3e 같은 키보드 인접 패턴
- 예전 비밀번호 뒤에 숫자만 바꿔 재사용하기