비밀번호 강도 테스터 (엔트로피 + 크랙 시간)

비밀번호의 '엔트로피' 의미

엔트로피는 비트로 예측 불가능성 측정. 30비트 엔트로피 비밀번호는 평균 ~2³⁰ ≈ 10억 추측 필요해 크랙. 70+ 비트가 일반적으로 강함; 80+가 우수.

공식: 엔트로피 = 길이 × log₂(문자 집합 크기). 'abcdefgh'(8자, 소문자만) = 8 × log₂(26) ≈ 37.6 비트. 'aA1!aaaa'(8자, 모든 집합) = 8 × log₂(95) ≈ 52.6 비트 — 그러나 'aaaa'가 흔한 패턴이라 크랙 시간은 52 비트가 시사하는 것보다 훨씬 나쁨.

왜 크랙 시간 그렇게 다양

오프라인 GPU: 유출된 비밀번호 해시가 오프라인 공격받음. 현대 GPU는 초당 10⁹+ MD5 해시 추측 가능; bcrypt 해시는 초당 10⁴-10⁵만. 여기 추정은 GPU 빠른 해시 가정 사용.

온라인 빠름: 공격자가 로그인 API 직접 두드림. 대부분 API에 일부 속도 제한; 초당 1000 시도가 부실 방어 엔드포인트의 고급 추정.

온라인 느림: 엄격한 속도 제한, 계정 잠금, CAPTCHA 있는 적절히 방어된 엔드포인트. 초당 100 시도가 관대; 많은 시스템이 분당 5-10만 허용.

이 추정은 사전 공격(무차별보다 일반 비밀번호 훨씬 빠르게 찾음)과 비밀번호 재사용(한 사이트 유출 크랙이 다른 사이트 크랙 도움) 같은 실제 요인 무시.

강한 비밀번호 만드는 것

복잡성보다 길이: 'correct horse battery staple' 같은 16자 패스프레이즈가 'P@ssw0rd!' 같은 고문된 8자보다 강함. 2011년 XKCD 통찰 여전히 유효: 4 무작위 단어가 ~44 비트 엔트로피.

패턴 회피: 날짜, 이름, '123', 'qwer', 반복 문자 모두 공식 값보다 실제 엔트로피 감소. 공격 도구는 광범위한 '규칙 기반' 변환 포함(예: 'password' → 'P@ssw0rd!').

비밀번호 관리자 사용: 사람은 패턴 선택; 관리자는 안 함. Bitwarden, 1Password, KeePass가 사이트당 진정 무작위 비밀번호 생성, 모든 문자 집합에 16+ 자. 기억할 유일한 비밀번호는 마스터 비밀번호 — 그것이 길고 기억할 수 있는 패스프레이즈여야 함.