비밀번호 생성기는 작업에 적합한 비밀 키를 선택할 때만 도움이 됩니다. 많은 사람이 바로 이 지점에서 어려움을 겪습니다. 더 강력한 것을 원한다는 것은 알지만, 무작위 비밀번호를 생성해야 할지, 기억하기 쉬운 암호 구문을 생성해야 할지, 아니면 숫자 PIN을 생성해야 할지 확신하지 못하기 때문입니다.

결정하는 가장 쉬운 방법은 어떤 옵션이 추상적으로 가장 강력한지 묻는 것을 멈추는 것입니다. 대신 로그인 상황에 어떤 옵션이 적합한지 물어보십시오. 웹사이트 계정, 일상적인 모바일 로그인, 로컬 기기 잠금 해제는 모두 동일한 유형의 위험을 발생시키지 않습니다.

빠르게 선택하고 싶다면 홈페이지 무작위 비밀번호 모드가 대부분의 계정 로그인에 가장 좋은 기본값이며, 기억하기 쉬운 암호 구문 모드와 홈페이지의 PIN 생성기는 더 구체적인 경우에 더 적합합니다. 핵심은 각 모드가 어디에 속하는지 아는 것입니다.

하나의 생성기 모드가 모든 로그인에 맞지 않는 이유

강력한 로그인 비밀 키는 단순히 원시적인 복잡성만을 의미하지 않습니다. 그것은 또한 그것을 사용하는 장소와 얼마나 자주 입력해야 하는지에 달려 있습니다. 또한 비밀번호 관리자가 포함되어 있는지, 그리고 비밀 키가 원격 계정을 보호하는지 아니면 로컬 기기만 잠금 해제하는지에 따라서도 달라집니다.

그렇기 때문에 이 사이트는 하나가 아닌 세 가지 모드를 제공합니다. 무작위, 기억하기 쉬운, PIN은 단순히 보기 좋은 선택이 아닙니다. 이 모드들은 기존의 약한 자격 증명을 재사용하는 대신 고유한 것을 생성한다는 핵심 목표를 유지하면서 서로 다른 마찰 지점을 해결합니다.

무작위 비밀번호가 가장 강력한 기본값인 경우

관리자에 저장할 계정 로그인에 가장 적합

대부분의 웹사이트 및 앱 계정의 경우 무작위 비밀번호가 여전히 가장 강력한 기본값입니다. 이는 예측하기 어렵고, 고유하게 만들기 쉬우며, 적절하게 저장한다면 기억에 의존할 필요가 없습니다.

이는 현재 표준에 부합합니다. NIST SP 800-63B는 단일 요소 인증 비밀 키로 사용되는 비밀번호는 최소 15자 이상이어야 한다고 명시하고 있습니다. 이것이 생성기가 저장된 로그인에 매우 유용한 이유 중 하나입니다. 즉, 사람이 직접 만들지 않고도 길고 고유한 문자열을 쉽게 만들 수 있기 때문입니다.

무작위 문자열이 가치보다 마찰을 더 많이 만드는 경우

전화기, 태블릿, TV 리모컨 또는 기타 입력하기 불편한 환경에서 자주 입력해야 할 때 무작위 문자열은 불편해집니다. 이러한 경우, 이론적으로 가장 강력한 문자열은 사람들이 비밀번호를 일반 메모에 저장하거나 나중에 더 쉬운 비밀번호를 재사용하는 것과 같은 안전하지 않은 행동을 하도록 유도할 수 있습니다.

그렇다고 무작위 비밀번호가 잘못되었다는 의미는 아닙니다. 이는 로그인이 비밀번호 관리자 또는 비밀번호를 저장하고 자동 완성할 수 있는 다른 신뢰할 수 있는 방법과 결합될 때 가장 효과적이라는 의미입니다.

기억하기 쉬운 암호 구문이 더 나은 타협안인 경우

자주 입력해야 하는 로그인에 적합

기억하기 쉬운 암호 구문은 정기적으로 입력해야 하고 항상 자동 완성 기능에 의존할 수 없을 때 더 나은 타협안이 될 수 있습니다. 관련 없는 단어들로 구성된 긴 구문은 입력하기가 더 쉽고 잘못된 곳에 적어둘 가능성도 낮습니다.

NIST는 또한 여기에서 더 길고 유연한 비밀 키를 지원합니다. 동일한 NIST 지침에 따르면 검증자는 모든 인쇄 가능한 ASCII 문자와 공백 문자를 허용해야 합니다. 또한 최소 64자 이상의 최대 길이를 허용해야 한다고 명시되어 있습니다. 이는 사용자가 짧고 기억하기 어려운 문자열을 쓰도록 강요하는 대신 긴 암호 구문을 사용할 수 있는 여지를 제공합니다.

암호 구문에도 추가적인 주의가 필요한 경우

암호 구문은 단순히 단어를 사용한다고 해서 자동으로 강력해지는 것은 아닙니다. 여전히 충분히 길고, 흔하지 않으며, 해당 계정에 고유해야 합니다. 유명한 인용구, 노래 가사 또는 다른 곳에서 이미 사용하는 구문은 진정으로 새로운 비밀 키를 대체할 수 없습니다.

이것이 사이트의 '기억하기 쉬운(Memorable)' 모드가 도움이 되는 부분입니다. 이 모드는 개인적인 패턴, 재사용된 즐겨 찾는 구문 또는 예측 가능한 대체 방식으로 돌아가지 않으면서도 기억하기 쉬운 무언가를 생성하는 방법을 제공합니다.

PIN을 웹사이트가 아닌 기기에 사용해야 하는 이유

로컬 기기 잠금 해제 상황에 유용

숫자 PIN은 재시도 횟수 제한이 있는 휴대폰이나 태블릿과 같은 로컬 잠금 해제 상황에 적합합니다. 이는 온라인 계정의 기본 비밀번호로 짧은 숫자 비밀 키를 사용하는 것과는 매우 다릅니다.

NIST는 그 경계를 명확하게 긋고 있습니다. 활성화 비밀 키 지침에서 NIST는 로컬 기기의 PIN과 같은 비밀 키는 최소 4자 이상이어야 한다고 명시합니다. 또한 최소 6자 이상이어야 한다고도 합니다. 이는 기기 잠금 해제를 고려할 때 유용한 벤치마크이지, 실제 계정 비밀번호를 짧은 PIN으로 대체해야 할 이유는 아닙니다.

PIN이 강력한 계정 비밀번호를 대체해서는 안 되는 이유

웹사이트 비밀번호는 일반적으로 크리덴셜 스터핑, 비밀번호 재사용 공격 및 더 넓은 범위의 유출 피해에 노출될 수 있는 원격 계정을 보호합니다. 짧은 숫자 PIN은 이러한 맥락에서 전체 비밀번호나 암호 구문보다 추측하기가 훨씬 쉽고 유연성도 훨씬 떨어집니다.

이것이 이 사이트의 PIN 모드가 보편적인 해결책이 아니라 특정 옵션으로 취급되어야 하는 이유입니다. 특정 로컬 잠금 해제 요구 사항에는 적합하지만 이메일, 업무 도구, 뱅킹 또는 기타 가치가 높은 로그인을 위한 강력한 계정 비밀 키를 대체하지는 않습니다.

홈페이지에서 올바른 모드를 빠르게 선택하는 방법

생성(Generate)을 클릭하기 전에 로그인 유형에 모드를 맞추십시오

빠른 결정 규칙이 도움이 됩니다. 비밀 키가 일반적인 온라인 계정용이고 관리자에 저장할 것이라면 '무작위(Random)'를 선택하십시오. 자주 입력해야 하고 좀 더 인간 친화적인 것이 필요하다면 '기억하기 쉬운(Memorable)'을 선택하십시오. 비밀 키가 로컬 기기 잠금 해제 상황을 위한 것이라면 'PIN'을 선택하십시오.

이렇게 하면 부주의하지 않으면서도 결정을 단순하게 유지할 수 있습니다. 가장 좋아하는 형식을 선택하는 것이 아닙니다. 해당 작업에 가장 위험이 적은 형식을 선택하는 것입니다.

복사하고, 저장하고, 단기 재사용을 피하십시오

생성은 첫 번째 단계일 뿐입니다. 그 이후에는 저장 및 재사용 습관이 그만큼 중요합니다. 비밀번호가 강력하더라도 여러 사이트에서 재사용되면 한 번의 유출로 피해가 확산될 수 있습니다.

FTC의 비밀번호 지침은 비밀번호 재사용이 한 사이트가 유출되었을 때 여러 계정을 노출시킬 수 있기 때문에 각 계정에 대해 길고 고유한 비밀번호를 사용할 것을 권장합니다. 이것이 바로 가장 안전한 워크플로우가 단순히 생성하고 복사하는 것만이 아닌 이유입니다. 생성하고, 올바르게 저장하고, 새로운 비밀 키로 다음 계정으로 넘어가는 것이 중요합니다.

새로운 비밀 키를 생성하기 전에 해야 할 일

먼저 로그인 컨텍스트의 이름을 지정하는 것부터 시작하십시오. 원격 계정입니까, 자주 입력하는 로그인입니까, 아니면 로컬 기기 잠금 해제입니까? 그 질문에 대한 답이 명확해지면 올바른 모드는 보통 분명해집니다.

그런 다음 한 번 생성하고, 조심스럽게 복사하여 올바른 위치에 저장하십시오. 목표는 가장 위협적인 문자열을 만드는 것이 아닙니다. 목표는 위험에 충분히 강력하고 나중에 불편함을 겪지 않을 정도로 사용하기 쉬운 비밀 키를 만드는 것입니다.

그것이 바로 한 곳에서 무작위, 기억하기 쉬운, PIN을 모두 가질 수 있는 진정한 장점입니다. 모든 보안 상황에 하나의 형식을 강요하는 대신 생성기 모드를 문제에 맞출 수 있습니다.