비밀번호 강도 검사기이란?

비밀번호 강도 검사기는 비밀번호를 실시간으로 분석하여 해킹 시도에 대한 저항력을 평가합니다. 일반적인 패턴, 사전 단어 및 엔트로피를 확인하여 정확한 강도 점수를 제공합니다. 비밀번호가 최신 보안 표준을 충족하는지 확인하는 데 활용하세요.

분석에는 Dropbox가 오픈소스로 공개한 zxcvbn 라이브러리를 사용합니다. 자주 쓰이는 비밀번호 3만 개, 유출 데이터베이스, 영어 사전, 성씨 목록, 그리고 날짜·키보드 경로·l33t 치환 같은 예측 가능한 패턴을 인식합니다. 점수는 0-4이며, 온라인 제한·온라인 무제한·오프라인 저속 해시·오프라인 고속 해시 네 가지 시나리오의 크랙 시간을 함께 제공합니다.

사용 방법

1. 입력 필드에 비밀번호를 입력하거나 붙여넣으면 분석이 시작됩니다
2. 강도 점수, 예상 해독 시간, 취약점에 대한 구체적인 피드백을 확인하세요
3. 제안 사항에 따라 비밀번호를 개선하여 강함 또는 매우 강함 등급에 도달하세요

사용 시기

• 기억하기 쉬운 비밀번호를 매니저 마스터로 쓰기 전에 한 번 점검할 때.
• 회사 비밀번호 정책 점검: '회사명2024!' 같은 패턴이 정말 기준을 통과하는지 확인.
• 비기술 가족에게 반려동물 이름 비밀번호가 왜 약한지 직접 보여줄 때.

결과

'Tr0ub4dor&3'을 입력하면 보통 수준으로 평가되는 것을 확인할 수 있습니다 — 혼합 문자를 사용하지만 예측 가능한 치환 패턴을 따르기 때문입니다. 소문자와 하이픈만 사용하는 'correct-horse-battery-staple' 같은 무작위 패스프레이즈와 비교하면 오히려 더 높은 점수를 받습니다.

자주 묻는 질문

0부터 4까지 강도 점수의 실제 의미는?

0은 1초도 안 걸려 뚫리는 수준, 1은 온라인 수 시간·오프라인 수 초, 2는 온라인은 막아도 오프라인에선 무너짐, 3은 합리적, 4는 초당 100억 시도하는 GPU 농장도 수 세기 걸립니다.

왜 'Tr0ub4dor&3'가 'correct horse battery staple'보다 낮은 점수인가요?

전자는 잘 알려진 패턴(사전 단어 + 예측 가능한 치환(0 to o, 4 to a) + 특수문자 + 숫자)을 따르고, 공격자 규칙 리스트가 이런 조합을 먼저 시도합니다. 무작위 단어 4개 조합은 경우의 수가 압도적으로 많아 엔트로피가 더 높습니다.

여기 입력한 비밀번호가 어디로든 전송되나요?

강도 점수 계산은 전적으로 사용자 기기에서, 이 페이지의 JavaScript 안에서 이루어지며 입력 중에는 어떤 네트워크 요청도 발생하지 않습니다. 유일한 선택적 예외는 유출 검사입니다. 누르면 비밀번호 SHA-1 해시의 첫 5자만 전송되므로(k-anonymity) 비밀번호 자체는 입력 필드를 떠나지 않습니다. 탭을 닫으면 아무것도 남지 않습니다.

내 비밀번호가 유출 데이터에 있다는 경고, 신뢰할 만한가요?

두 단계로 답합니다. 즉각적인 경고는 RockYou 등 유출에서 빈도순으로 정렬한 zxcvbn 내장 3만 개 목록과 오프라인으로 대조한 결과입니다. 실시간 답이 필요하면 '유출 여부 확인'을 누르세요. k-anonymity 방식으로 HaveIBeenPwned 데이터베이스를 조회하고(해시 첫 5자만 전송) 해당 비밀번호가 실제 유출에서 몇 번 나타났는지 정확히 알려줍니다.

어떤 크랙 시간 시나리오를 기준 삼아야 하나요?

대부분 계정의 경우 'offline slow hashing' 값이 핵심입니다. DB 유출 후 공격자가 hashcat을 돌리는 현실 시나리오가 이것이기 때문입니다. 최소 '수 세기' 수준을 목표로 하세요, 보통 점수 3-4와 12자 이상이 필요합니다.

관련 도구