비밀번호 강도 측정기

// 비밀번호 강도 측정기

비밀번호는 브라우저 밖으로 전송되지 않습니다. 강도 분석은 전적으로 사용자의 기기에서 수행됩니다. 유출 확인은 부분 해시만 전송하며, 실제 비밀번호는 절대 전송되지 않습니다.

팁

최소 12자 이상 사용하세요

대문자, 소문자, 숫자, 기호를 섞으세요

각 계정마다 고유한 비밀번호를 사용하세요

비밀번호 강도 측정 방법

비밀번호 강도는 엔트로피 비트로 측정됩니다. 이는 비밀번호가 얼마나 예측 불가능한지를 수학적으로 나타낸 값입니다. 이 공식은 문자 풀의 크기(소문자, 대문자, 숫자, 기호)를 비밀번호 길이의 거듭제곱으로 계산합니다. 엔트로피가 높을수록 공격자가 시도해야 하는 조합의 수가 많아집니다.

예를 들어, 소문자만 사용한 비밀번호(26자)는 문자당 약 4.7비트의 엔트로피를 가집니다. 대문자를 추가하면(총 52자) 5.7비트가 됩니다. 숫자와 기호(95자 이상)까지 포함하면 문자당 약 6.6비트를 기여합니다. 전체 문자 집합을 사용한 16자 비밀번호는 100비트 이상의 엔트로피를 제공하며, 이는 무차별 대입 공격으로는 사실상 해독이 불가능합니다.

Have I Been Pwned 확인

이 도구는 k-익명성 방식을 사용하여 7억 개 이상의 유출된 비밀번호가 등록된 Have I Been Pwned 데이터베이스에서 비밀번호를 확인합니다. SHA-1 해시의 앞 5자리만 전송되며, 전체 비밀번호는 절대 브라우저 밖으로 나가지 않습니다. 일치하는 항목이 발견되면 해당 비밀번호는 알려진 데이터 유출 사건에 등장한 것이므로 즉시 변경해야 합니다.

FAQ

비밀번호 엔트로피란 무엇인가요?

엔트로피는 비밀번호의 예측 불가능성을 비트 단위로 측정합니다. 비트가 하나 늘어날 때마다 가능한 조합의 수가 두 배가 됩니다. 60비트 엔트로피를 가진 비밀번호는 2^60(약 100경)가지의 조합이 가능하여 무차별 대입 공격을 비현실적으로 만듭니다.

유출 여부 확인이 내 개인정보를 어떻게 보호하나요?

k-익명성 방식을 사용합니다. 비밀번호는 로컬에서 SHA-1 해시로 변환되며, 해시의 앞 5자리만 API로 전송됩니다. 서버는 해당 5자리로 시작하는 모든 해시를 반환하고, 비교는 전적으로 브라우저 내에서 이루어집니다.

'해독 예상 시간'은 정확한가요?

초당 100억 번의 추측(현대 GPU 클러스터의 현실적인 속도)을 기준으로 한 추정값입니다. 실제 해독 시간은 공격 방식, 하드웨어 성능, 그리고 비밀번호가 일반적인 패턴과 일치하는지 여부에 따라 달라집니다.

유출 사례에서 비밀번호가 발견되지 않았다면 안전한 건가요?

반드시 그렇지는 않습니다. 발견되지 않았다는 것은 알려진 공개 유출 사건에 등장하지 않았다는 의미일 뿐입니다. 사전 공격, 패턴 매칭, 또는 표적형 추측 공격에는 여전히 취약할 수 있습니다. 항상 높은 엔트로피를 목표로 하세요.