가입한 웹사이트가 많아지면서 비밀번호를 기억하기 곤란하여 수첩에 적어놓기부터 시작하여 나름 시행착오를 거치면서 아래와 같은 방법을 고안하여 사용하고 있습니다. 이 방법을 사용하면서 수첩에서 벗어났고 특정의 비밀번호 관리 프로그램 역시 사용하지 않게 되었습니다. 참고가 되었으면 좋겠습니다. 아래는 몇 년 전 제 블로그에 올렸던 글로 약간 수정하여 올립니다.
인터넷상의 수많은 웹사이트에 쓰이는 비밀번호를 관리하는 방법의 하나로 전문적인 프로그램이나 수첩에 적어둘 필요가 없는 아래 방법을 제안합니다.
이 방식은 비밀번호를 3개의 블록으로 구성합니다.
비밀번호 = A 블록 + B 블록 + C 블록
A 블록과 C 블록은 사용자가 어디에도 공개하지 않은 자기만 아는 단어와 특수문자로 구성됩니다. 통상적이고 관례적인 비밀번호의 구성 순서상 A 블록은 영문자와 숫자의 조합이 추천되고, C 블록은 영문자 또는(그리고) 숫자와 특수문자의 조합이 적합합니다. 사용자는 단지 A 블록과 C 블록을 기억하면 됩니다.
구체적인 예를 들면, 멀더는 평소 달에 관심이 많아 아폴로 프로젝트에 대한 지식이 풍부합니다. 그래서, A 블록은 ‘Apollo’, C 블록은 ‘#11’로 정했습니다. 이 두 블록의 단어는 개인의 관심사라서 쉽게 잊혀지지도 않지만 잊어버릴까 염려된다면 수첩에 적어두거나 윈도의 메모장에 입력해서 하드디스크에 저장해도 크게 상관없습니다. 혹시나 유출되어도 아래 B 블록의 규칙을 모른다면 아무도 사용자의 완전한 비밀번호는 알아낼 수 없습니다.
B 블록은 접속하려는 웹사이트를 연상기억법에 기반한 규칙을 통해 기억할 수 있는 단어로 구성됩니다. 예를 들어, 네이버의 경우에는 네이버의 상징색인 녹색을 연상할 수 있게 직접적으로 'green' 이라고 하거나 또는 한글 단어 '녹색'을 영문키보드로 타이핑한 'shrtor'이 적당할 것입니다. 사용자의 느낌대로 편하게 정하면 됩니다.
이제 A, B, C 세 블록에 대한 자신만의 규칙이 완성되었습니다. 이 방식에 따른 멀더의 네이버 비밀번호는 A, B, C 블록을 조합한 ‘Apolloshrtor#11’이 될 것입니다.
사용자가 웹사이트의 비밀번호를 정할때 이 방식을 활용한다면 비밀번호 입력시 사용자가 실제 떠올려야 하는 것은 B 블록, 해당 웹사이트를 기억하는 자신만의 연상기억법에 의한 단어 규칙 뿐이므로 특정 프로그램을 사용하거나 수첩을 뒤적일 필요 없이 빠르고 편리한 로그인이 가능함과 더불어 만약 해당 사이트가 해킹을 당해 사용자의 비밀번호가 유출되더라도 각 사이트마다 비밀번호는 제각각 상이하므로 다른 사이트에까지 피해가 확산되지 않는 보안상의 안전성도 담보할 수 있습니다.
2018년 2월 10일
정작 비밀번호는 12자리까지 밖에 되지 않는 -_-;; 그런 경우들이 있어 난감함을 느끼네요.
b-특정방법(사이트 이름 2~4번자리 문자라던지..)
c-특수문자 기억용 2개
이런식이면 거의 다 되더라고요ㅎㅎ
저만의 기본 비밀번호 x자리(영문+숫자+특수기호) + 사이트의 앞자리 영문 x자리 => 총 12자리
이렇게 하면 사이트마다 대부분 다른 비밀번호를 적용할 수 있어요.
기본 비밀번호에 대문자도 하나 넣으면 좋겠지만, 대문자 입력시 모바일에서 shift 한번 누르는게 귀찮아서 대문자는 없앴어요.
편하긴 한데 가끔 % 또는 $이 안먹는 곳도 있어서 #이나 !로 변경해야할때가 종종있네요.
a : 웹사이트 알파벳 1~3자리 + b: 저만의 문구 + c :특수기호 로 만들어 쓰고 있습니다.
몇몇 특수기호 인식안되는 사이트말고는 거의 다 통용되는 방식이라 잘 쓰고 있네요.
클리앙이면 cl1234567#@!@ 이런식ㅎㅎ
A는 사이트의 첫번째 글자같이 기억하기 쉬운 것 (naver의 경우 n)
B는 초등학생 때부터 쓰던 암호
C는 사이트의 두번째 글자같이 기억하기 쉬운 것(naver의 경우 a) + 특수문자 한글자 입니다.
이러면 모든 사이트의 비밀번호를 다르게 설정할 수 있어서 안심이 되더라구요.
그때마다 짜증이 이빠이~~~
구글, 삼성패스... 2개요.. ㅠㅠ
모든 사이트 랜덤 생성이니,, 하나 털려도 다른거 털릴 일은 없으니... 그렇게 하고 있습니다. ㅠㅠ
긴 번호는 자판키패드 모양(Y 또는 Z패턴)+@정도 조합합니다
ㅠㅠ
비번 12자리
어느 사이트 10자리까지 ㅡㅡ
특수기호 제한 등등
하지만 주기적으로 바꾸라고 할때가 문제입니다.
사이트마다 패스워드 정책이 달라서 패턴들이 다시 늘어나서 비밀번호 찾기 하는경우가 빈번하네요..
어디는 특정 특수문자가 안되고, 어디는 특수문자가 아예 안되고, 어디는 숫자가 연달아 나오면 안되고...ㅠㅠ
그리고 사이트마다 특징적인 고유값을 부여해놔도 자회사 통폐합, 인수합병, 서비스/브랜드명 변경 같이 도메인까지 싹다 바뀌는 일이 의외로 많다보니까 찾을 방법이 없더라구요.
요새는 그냥 비번관리 어플이나 애플의 경우엔 키체인에 다 때려넣고 컴퓨터의 도움을 받는 수 밖에 없습니다ㅠㅠ
예를 들어 대문자숫자특수문자 10자 이상으로 만드는 조합을 나름 갖고있는데
갑자기 어떤 사이트는 ! 를 못쓰게 하네요.
그래서 옆에 있는 @ 를 쓴다거나 해야하는데 이런식으로 특숨문자에서 나만의 루틴을 깨버리는 곳이 자꾸 늘고있습니다 ㅡㅜ
맞아요, 이게 제일 짜증나요.
특수문자를 어차피 허용할 거면 그냥 아무 거나 들어가게 하면 되지,
어디는 ; 안 된다고 하고,
어디는 ! 안 된다고 하고 ㄷㄷㄷㄷㄷㄷㄷㄷㄷ
예를들면 *****zmffldkd****** 이런식으로요
사이트마다 비밀번호 규칙이 달라서 동일하게 적용 못하는 게 문제네요.
길이 규칙이 다르고, 쓸 수 있는 특수문자가 달라서 ;
길이 8자로 제한하는 곳은 정말 ;;
사람 생각이 비슷비슷한 경우가 많으니까요.
저도 이 방식 비슷하게 써온지가 15년이 넘었습니다.
사이트명 이나 사이트명에서 계산되는 숫자 등을 조합해서 비밀번호를 만듭니다
그러면 같은 비밀번호가 하나도 없어요
블록으로 구성해서 비밀번호 설정하면 기억하기도 쉽고 사이트마다 다르게 설정할 수 있어서 안정적이죠
B블록에 들어가는 명칭을 추상적으로 해버리면 까먹기 쉬워서 예컨데 모든 사이트명의 2~4번째 알파벳을 쓴다는 규칙 등을 정합니다.
clien을 예로 들자면 "lie"가 되겠죠.
A블록+lie+C블록
이런식이면 절대 잊어버릴 수가 없더라고요.
- 대소문자, 특수문자, 숫자 뭐 섞어라
- (위에 이어서) 특수문자는 ~만 허용한다. (설마 SQL injection??)
- 반복 문자나 연속 문자 안된다
- 너무 간단하면 안된다
- 생년월일/폰번호 안된다
- 기존 비번과 (일정글자수 이상) 중복되면 안된다.
뭐 이런저런 거 고려하면 패턴이 무너집니다. 100% 생체인증으로 대체가능한 게 아닌 상태라면, 진짜 본인만 기억할 수 있는 문자열로 자유 구성하게 좀 ㅠㅠ
특수문자도 어디는 되고 어디는 안되고 이러면 결국 서로 교차 안되는거 빼고 공통적으로 가장 많이 쓰는걸 선호 하게 됩니다
즉 쓰던것만 쓰게 된다는 것이죠
이게 오히려 비번을 자주 안바꾸는거 보다 치명적이라고 생각됩니다
하나만 뚤어내면 연쇠적으로 다 털리게 되니까요
하나 다른 점은 비밀번호를 주기적으로 바꾸기 위해 연월을 포함시키고 있습니다.
그리고 이메일이나 금융기관 등의 중요 사이트는 다른 패턴을 사용하고 있습니다.
특수문자 종류를 제한해 놓은곳도 있고 특히나 비밀번호 최대 12자리 해놓은곳보면 아주 짜증납니다. -_-;;
사이트유추+고유비번 요렇게 사용중입니다 ㅎㅎ
클리앙 clien암호
이게 젤 편하더라구요
개인 NAS에 bitwarden 설치해서 쓰고 있어서 유출될 위험도 극단적으로 적고, OTP도 붙여넣기로 지원되어서 매우 편해지더군요.(구글 OTP 같은것들 지원)
저런 법칙이야 브루트포스 시도로 충분히 뚤리니까요
암호관리자를 쓰는게 최선인듯
털려도 되는 사이트는 원노트 같은데 비번 적어두고, 브라우저에 비번 기억시키면 되거든요.
확실히 해둘건 털릴수도 있을 것 같은 부실한 사이트 비번과 네이버 비번은 전혀 연관성이 없어야 한다는 것...
zme*-6*1 뭐 이런식
이 앱을 사용하시면 훨씬 간편합니다.
크롬 연동 돼요
그리고 모든 비밀번호는 전부 개별로 관리하고 주기적으로 바꿔줘야 합니다
저 방법의 단점은 id가 동일하지 않다면 비번은 정확한데 id 때문에 못들어가고 id가 동일하다면 문제가 좀 있죠. 2군데만 알면 거의 규칙이 보이니까요.
문제는 사이트 비번 규칙이 바뀌는 경우가 있어 제 규칙도 계속 변한다는 거죠.
사이트 첫글자 대문자 A (옥션의 첫글자)
원래 사용하던 비밀번호 영문자
사이트 두번째 글자인데 한글 기준 t(옥션의 션 첫글자)
원래 사용하던 비밀번호 숫자
특수기호 하나.
이렇게 만들어서 사용중입니다.
애플 생태계를 꾸려놔서 사실 외우는게 의미가 없지만
좋아하는 단어 + 좋아하는 숫자 + 특수기호 이렇게 조합하면 웬만해선 안 까먹게 되더라구요..
해독 기간이 '세기' 로 나오더 군요..
SafeInCloud란 어플에 다 저장해 두고 있습니다.
물론, 그느마들이 제 암호까지 신경쓰지 않을테지만요.
저는 가운데가 예약어입니다. 나머지 앞뒤 조합은 사이트명에서 따오는데 사이트 마다 같지 않습니다.
문제는 통합ID쓰는 곳이죠. 뭐 이건 어느누구나 답이 없기에~
당장 여기 댓글만 해도 이 정도의 조합은 많이들 사용하실 거 같고..
부디 패스워드 관리자/앱을 모두 사용하셨으면 좋겠네요.
1. 구글 브라우져의 도움을 빌린다.
2. 주요 사이트와 일반 사이트의 비밀번호를 분리하는 차등 관리 방식을 쓴다
그러나 하나만 첨언하자면, 본문의 방법만으로는 딕셔너리 어택에는 비교적 취약할 수 있습니다. 가령 요즘은 브루트 포스 어택 시에도 aaaa, aaab, aaac, ...식으로 순차적 대입을 하기보다는 자주 사용되는 단어들을 먼저 대입해보기 때문입니다. 제가 알기로는 여기에 대한 대응 방책은 문자 몇 개를 특수문자나 숫자 등으로 대치해 주는 것입니다.
본문의 예를 이에 따라 보완한다면 블럭1의 Apollo는 4p0lL0로 대치할 수 있을 것입니다. 얼핏 봐서는 무작위의 숫자와 알파벳 조합처럼 보이지만 사용자는 그 의미를 쉽게 기억하고 입력할 수 있습니다.
물론 그보다도 요즘은 암호학적으로 고유한 비밀번호를 사이트별로 생성하고 관리해 주는 비밀번호 관리자들이 많이 나와 있고, 이 쪽의 사용이 더 권장되는 편인 것으로 알고 있습니다.
저도 비슷한 방법으로 쓰고 있는데요
A블럭은 사이트명 혹은 사이트의 특징+B블럭 기존 비밀번호+C블럭 나만의 숫자와 특문 조합
이렇게 쓰고 있습니다
근데 이마저도 비밀번호수 제한 있는 사이트면 금방 까먹게 되더라고요ㅡㅡ; 예를들면 국민카드라던지....
그래도 좋은 방법이네요
가운데 b 조합을 사이트 주소에서 자기만 아는 식으로 조금 바꾸는것도 좋겠어요
a - 특수문자 1자
b - zmffldkd(클리앙) 6자이상~ 으로 구성(8자정도로 하고 자기가 평생 동안 기억하고 사는 단어로...)
c - 숫자 1자이상으로...(8자이상 비번일때는 맞춰서 숫자 사용, 이 숫자는 기본 4자리 암호를 사용)
그래서 !zmffldkd2 머.. 이렇게 사용하죠
특수문자가 먼저 올수 없을 때는 b+a+c로 하면됩니다.
c - 12자 이상의 경우는 숫자로 채움니다.
에를 들면 !zmffldkd202(c는 2020입니다. 연도로 해도 좋을듯해요. 가끔 비번 바꾸라고 하면 대응하기 좋죠..)
어! 이렇게 재 암호는 노출되는 건가요? ㅋㅋ