비밀번호 생성기
서버로 전송하지 않고 브라우저에서만 안전한 랜덤 비밀번호를 생성합니다.
중요 계정에 권장할 수 있는 수준입니다. 문자 후보 수는 88개이며, 같은 비밀번호를 여러 사이트에서 재사용하지 않는 것이 핵심입니다.
안전한 비밀번호를 만드는 기준
안전한 비밀번호의 핵심은 길이, 예측 불가능성, 재사용 금지입니다. 최신 NIST SP 800-63B-4 기준은 단일 인증용 비밀번호에 최소 15자를 요구하며, 억지로 복잡한 규칙을 외우게 하기보다 충분히 긴 비밀번호와 유출된 비밀번호 차단을 중요하게 봅니다.
이 생성기는 브라우저의 암호학적 난수 API를 사용해 비밀번호를 만들고, 생성된 문자열을 서버로 전송하지 않습니다. 다만 안전한 비밀번호도 피싱이나 사이트 유출을 완전히 막지는 못하므로, 중요한 계정에는 비밀번호 관리자와 2단계 인증을 함께 쓰는 것이 좋습니다.
추천 설정
- 개인 서비스: 16자 이상, 대소문자와 숫자 포함
- 이메일·금융·업무 계정: 20자 이상, 특수문자 포함
- 모든 계정: 사이트마다 서로 다른 비밀번호 사용
비밀번호 강도 기준
| 강도 | 조건 | 해독 예상 시간 |
|---|---|---|
| 약함 | 숫자만 8~10자리 | 자동화 공격에 취약 |
| 보통 | 영문+숫자 12자리 | 개인 계정의 최소선 |
| 강함 | 대소문자+숫자 16자리 | 대부분의 개인 계정에 적합 |
| 매우 강함 | 모든 문자 조합 20자리 이상 | 중요 계정에 권장 |
| 관리 필요 | 서로 다른 강한 비밀번호 여러 개 | 비밀번호 관리자 사용 권장 |
비밀번호만으로는 부족한 이유
2단계 인증 켜기
CISA는 계정 보호를 위해 MFA 사용을 권장합니다. 가능하면 SMS보다 인증 앱, 보안 키, 패스키처럼 피싱에 강한 방식을 우선하세요.
패스키가 있으면 우선 사용
패스키는 기기와 서비스 사이의 암호학적 인증을 사용해 가짜 로그인 페이지에 비밀번호를 입력하는 위험을 줄입니다.
비밀번호 관리자 사용
계정마다 다른 긴 비밀번호를 기억하기는 어렵습니다. 비밀번호 관리자를 쓰면 재사용을 줄이고 피싱 사이트를 구분하는 데도 도움이 됩니다.
절대 사용하면 안 되는 비밀번호 유형
연속된 숫자/문자
123456, abcdef, qwerty 등은 해커들이 가장 먼저 시도하는 조합입니다. 매년 가장 많이 유출되는 비밀번호 순위에서 항상 상위권을 차지합니다.
개인 정보 포함
생년월일, 전화번호, 이름, 아이디와 동일한 비밀번호는 소셜 엔지니어링 공격에 취약합니다. 공개된 정보는 비밀번호로 절대 사용하지 마세요.
짧은 비밀번호
8자리 미만의 비밀번호는 무차별 대입 공격(Brute Force)으로 수 분 내에 해독될 수 있습니다. 최소 12자 이상을 권장합니다.
동일 비밀번호 재사용
여러 사이트에서 같은 비밀번호를 사용하면, 하나가 유출될 때 모든 계정이 위험해집니다. 크리덴셜 스터핑(Credential Stuffing) 공격의 주요 원인입니다.
자주 묻는 질문
Q. 생성된 비밀번호가 어딘가에 저장되나요?
A. 아닙니다. 이 생성기는 브라우저에서 동작하며, 생성된 비밀번호는 서버로 전송되거나 저장되지 않습니다. 생성 즉시 직접 복사해 비밀번호 관리자에 저장하세요.
Q. 특수문자가 꼭 필요한가요?
A. 사이트가 허용한다면 사용하는 것이 좋습니다. 다만 외우기 어렵게 복잡한 규칙을 억지로 만드는 것보다 충분히 긴 비밀번호와 계정별 고유 비밀번호가 더 중요합니다.
Q. 비밀번호 관리 앱을 사용해도 괜찮나요?
A. 네, 강력히 추천합니다. 1Password, Bitwarden, KeePass 같은 비밀번호 관리자는 모든 계정에 서로 다른 강력한 비밀번호를 사용할 수 있게 해줍니다. 마스터 비밀번호 하나만 기억하면 됩니다.
Q. 얼마나 자주 비밀번호를 바꿔야 하나요?
A. 강력하고 고유한 비밀번호를 사용한다면 정기 변경보다 유출 의심, 피싱 입력, 기기 분실처럼 위험 신호가 있을 때 즉시 바꾸는 방식이 더 현실적입니다.