About
현재 언어: 한국어 영어로 보기

비밀번호 생성기

강력한 무작위 비밀번호를 생성합니다. 브라우저의 Web Crypto API — TLS 키 생성에 쓰이는 것과 같은 난수원 — 을 사용해요.

  1. "길이" 슬라이더로 글자 수를 정하세요 (4 ~ 128자).
  2. 포함할 문자 종류를 선택하세요 — 대문자, 소문자, 숫자, 기호.
  3. 필요하다면 "헷갈리는 문자 제외"를 체크해 I l 1 O 0 같은 모양이 비슷한 글자를 건너뛸 수 있어요.
  4. 새로운 비밀번호가 필요하면 "생성" 버튼을 누르세요 (설정을 바꿀 때마다 자동으로도 다시 생성됩니다).
  5. "복사" 버튼으로 클립보드에 담은 뒤, 비밀번호 관리자에 붙여 넣으세요.
어떤 도구인가요?

이 생성기는 선택하신 문자 집합에서 글자를 하나씩 독립적으로 뽑아 비밀번호를 만들어요. 난수는 브라우저의 Web Crypto API를 통해 얻는데, 이는 브라우저가 TLS 세션 키를 만들 때 쓰는 암호학적 안전성을 가진 난수원이에요 — 일반적인 즉석 생성기들이 쓰는 편향된 Math.random() 이 아닙니다. 거절 표집(rejection sampling) 방식으로 알파벳의 모든 문자가 같은 확률로 뽑히도록 해서, 엔트로피 계산이 실제로 성립하도록 했어요.

예시

길이 20, 네 가지 문자 종류 모두, 헷갈리는 문자 허용:

G7#vQ2xP!mK9nR4sT&bL

길이 24, 문자와 숫자만 (기호를 거부하는 사이트용):

k3Hq8RmZ5nPv2WyTb6JsXfLd

생성된 비밀번호를 쓸 때 흔히 겪는 문제

  • 사이트가 특정 기호를 거부하는 경우. 어떤 사이트는 <, >, 따옴표, 공백 같은 문자를 조용히 걸러내거나 거부합니다. 비밀번호가 통과되지 않는다면, "기호" 항목을 끄고 대신 길이를 24자 이상으로 늘리세요.
  • 복사-붙여넣기에 공백이 따라붙는 경우. 일부 운영체제에서는 더블클릭으로 선택할 때 끝에 공백이 함께 잡혀요. 로그인이 안 된다면 일반 텍스트 필드에 먼저 붙여 넣어서 길이가 맞는지 확인해 보세요.
  • "편의상" 너무 짧게 만드는 경우. 8자짜리 비밀번호는 엔트로피가 대략 50비트 정도예요 — 요즘 GPU 로는 오프라인에서 몇 시간 안에 뚫립니다. 일반 계정은 16자 이상, 저장 중인 데이터를 암호화하는 용도라면 20자 이상을 쓰세요.
  • 여러 계정에 같은 비밀번호를 쓰는 경우. 아무리 강한 비밀번호라도 한 사이트에서 유출되면, 재사용된 모든 계정이 함께 털리는 셈이에요. 계정마다 새로 만들어 비밀번호 관리자에 저장하세요.
  • 비밀번호 주기 정책을 깜빡하는 경우. 일부 회사 시스템은 90일마다 비밀번호 변경을 강제합니다. 생성한 비밀번호를 관리자에 저장해 두면, 사이트가 재입력을 요구할 때 정확히 일치하는지 확인할 수 있어요.
  • 스크린샷이나 클립보드 기록. macOS, Windows, 여러 클립보드 매니저들은 기록을 남겨요. 비밀번호를 저장한 뒤에는 클립보드를 비우거나 다른 걸 한 번 복사해서 덮어쓰세요.
자주 묻는 질문

이 비밀번호 생성기는 암호학적으로 안전한가요?

네. 난수는 crypto.getRandomValues() 에서 옵니다 — TLS 세션 키를 만드는 데 쓰이는 브라우저의 Web Crypto API 예요. 일반 Math.random() 이 아니기 때문에 예측 가능한 의사 난수(PRNG)의 약점이 없습니다. 각 문자는 거절 표집(rejection sampling) 으로 뽑혀서, 알파벳 안의 모든 기호가 같은 확률을 갖도록 보장해요.

비밀번호 길이는 얼마나 되어야 하나요?

속도 제한이 있는 온라인 계정이라면 여러 종류 섞은 16자로 충분해요. 비밀번호 관리자, 디스크 암호화, 백업처럼 오프라인에서 데이터를 지키는 용도라면 20자 이상을 쓰세요. 네 가지 문자 종류를 모두 쓴 20자 비밀번호는 엔트로피가 약 130비트로, 무차별 대입으로는 현실적으로 뚫을 수 없어요.

이 도구로 생성한 비밀번호를 저장하나요?

아니요. 여기서 만드신 비밀번호는 저희 쪽에 저장되지 않습니다. 비밀번호는 한 번 보이는 입력칸에만 존재하고, 탭을 새로고침하거나 닫는 순간 사라져요. 저장소에 기록되지도, 저희 서버에 로그로 남지도 않습니다. 안심이 되도록 브라우저 개발자 도구에서 직접 확인해 보셔도 됩니다.

엔트로피(entropy) 가 뭐고, 몇 비트나 필요해요?

엔트로피는 "예측하기 어려운 정도"를 비트 단위로 나타낸 값이에요. 1비트 늘어날 때마다 공격자가 시도해야 할 경우의 수가 두 배가 돼요. 60비트면 가벼운 오프라인 공격을, 80비트면 집요한 공격을 견디고, 128비트는 요즘의 강한 키 기준이에요. 90가지 기호로 된 20자 비밀번호가 대략 130비트 정도입니다.

무작위 비밀번호 대신 패스프레이즈(passphrase) 를 쓰는 게 나을까요?

무작위 단어 5~6개로 된 패스프레이즈는 타이핑하고 외우기에 더 편하고, 엔트로피도 비슷한 수준(대략 65~80비트)을 낼 수 있어요. 하지만 관리자에 저장해 두고 직접 입력할 일이 거의 없는 비밀번호라면, 같은 강도일 때 문자 기반 무작위 비밀번호가 더 짧습니다. 이 도구는 후자를 만들어요.

왜 어떤 사이트는 제가 생성한 비밀번호의 기호를 거부하나요?

일부 사이트는 입력 처리가 미흡해서 <, >, 따옴표, 공백 같은 기호를 거부해요. 비밀번호가 거부된다면, "기호" 체크를 해제하고 문자와 숫자만 포함한 더 긴 비밀번호를 만드세요. 알파벳이 줄어든 만큼 길이로 엔트로피를 보완할 수 있어요.