Password Tools Reference

MD5(128비트, 보안 취약, Hashcat 모드 0), SHA-256(256비트, 모드 1400), bcrypt(적응형+솔트, 모드 3200), NTLM(Windows, 모드 1000), Argon2(메모리 하드, 신규 앱 권장, 모드 29200)를 다룹니다. 각 항목에 정확한 hashcat 모드 번호와 해싱/크래킹 명령줄 구문이 포함되어 있습니다.

사전 공격(-a 0)은 rockyou.txt 같은 워드리스트의 단어를 시도합니다. 규칙 기반 공격은 best64.rule 같은 규칙 파일로 소문자 변환, 숫자 추가, 기호 삽입 등의 변환을 적용합니다. 마스크 공격(-a 3)은 ?l(소문자), ?u(대문자), ?d(숫자), ?s(특수문자), ?a(전체) 문자 클래스를 사용하는 구조화된 브루트포스입니다.

NIST는 최소 8자(관리자 15자 이상), 알려진 유출 DB와 패스워드 대조, 주기적 변경 강제 금지, 복잡성 규칙보다 길이 우선, 다중 인증(MFA) 필수 적용을 권장합니다. 이는 전통적인 복잡성 요구에서 증거 기반 보안 관행으로의 전환을 나타냅니다.

엔트로피 계산 공식은 E = L * log2(R)이며, L은 패스워드 길이, R은 문자 집합 크기입니다. 예를 들어 소문자 8자 = 8 * log2(26) = 37.6비트, 대소문자+숫자+특수문자 12자 = 12 * log2(95) = 78.8비트입니다. 오프라인 공격에 대한 적절한 보안을 위해 최소 60비트 이상을 권장합니다.

k-Anonymity 모델을 사용합니다. 패스워드의 SHA-1 해시 중 앞 5자만 서버에 전송하면, 서버가 해당 5자로 시작하는 모든 해시를 반환하고, 로컬에서 전체 해시의 존재 여부를 확인합니다. 완전한 패스워드나 전체 해시가 서버에 전송되지 않으므로 안전합니다.

Argon2는 계산 시 상당한 RAM을 필요로 하는 메모리 하드 해시 함수로, GPU 및 ASIC 기반 크래킹 공격에 강합니다. bcrypt가 작업 인자 라운드를 통한 적응적 비용을 제공하는 반면, Argon2는 메모리와 병렬성 매개변수를 추가하여 2015년 패스워드 해싱 대회 우승자이자 현재 신규 애플리케이션의 모범 사례입니다.

KeePass/KeePassXC의 CLI 명령어와 AES-256 또는 ChaCha20 암호화를 사용한 DB 운영 및 패스워드 생성, 동적 시크릿과 KV 저장소를 포함한 HashiCorp Vault 엔터프라이즈 시크릿 관리, 키체인 연동을 포함한 Git 자격증명 헬퍼를 다룹니다.

네, 이 레퍼런스는 사용 제한, 계정 등록 없이 완전히 무료이며, 서버로 데이터가 업로드되지 않습니다. 모든 콘텐츠는 브라우저에서 로컬로 렌더링됩니다. 보안 전문가, 시스템 관리자, 패스워드 보안 관련 업무자를 위한 실용적인 빠른 참조 도구입니다.