Password Strength Checker

엔트로피는 길이 × log₂(풀 크기)로 계산됩니다. 풀 크기는 사용된 문자 종류에 따라 결정됩니다. 소문자 26, 대문자 26, 숫자 10, 특수문자 33을 더합니다. 4가지 종류를 모두 사용한 12자리 비밀번호의 풀은 95이므로 엔트로피는 12 × log₂(95) ≈ 78.8비트입니다.

초당 100억(10¹⁰) 번의 추측을 시도하는 공격자를 가정합니다. 이는 오프라인 MD5 해시 덤프를 공격하는 GPU 클러스터의 일반적인 처리량입니다. 표시된 시간은 비밀번호를 평균적으로 크래킹하는 데 걸리는 시간(필요한 총 추측 횟수 ÷ 2)입니다. 속도 제한이 있는 온라인 공격에서는 실제 크래킹 시간이 훨씬 더 깁니다.

엔트로피 공식은 예측 불가능성에 보상을 줍니다. "password123"은 흔한 사전 단어와 예측 가능한 숫자 순서를 포함하며, 둘 다 취약 패턴으로 감지됩니다. 실제로 사전+규칙 공격을 사용하는 공격자는 11자리의 혼합 구성에도 불구하고 거의 즉시 크래킹할 것입니다.

대부분의 경우 60비트 이상의 엔트로피는 오프라인 공격에 대해 합리적으로 강력하다고 간주됩니다. 80비트 이상("매우 강함")은 매우 강력합니다. 단, 엔트로피만으로는 충분하지 않습니다. 높은 엔트로피를 가지더라도 알려진 패턴을 따른다면(예: 200만 단어 목록에서 숫자를 덧붙인 단어) 실제 강도는 계산된 엔트로피보다 훨씬 낮습니다.

분석을 위해 엔트로피를 계산하고 패턴을 감지하려면 실제 문자를 확인해야 합니다. 모든 처리가 브라우저 로컬에서 이루어지고 서버로 아무것도 전송되지 않으므로, 이 맥락에서 평문 표시는 안전합니다. 실제 계정 비밀번호 대신 후보 비밀번호를 붙여넣어 평가하는 것을 권장합니다.

도구는 33개의 특수문자를 계산합니다. 문자나 숫자가 아닌 출력 가능한 ASCII 기호들입니다: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~. 비밀번호에 이 중 하나라도 포함되면 사용한 특수문자 종류 수에 관계없이 풀 크기에 33이 더해집니다.

다음 알려진 흔한 비밀번호로 시작하는 비밀번호를 감지합니다: password, qwerty, letmein, admin, welcome, monkey, dragon, master, login. 이것들은 침해 데이터베이스에서 가장 자주 사용되는 비밀번호들이며, 사전 공격을 사용하는 공격자라면 가장 먼저 시도할 것들입니다.

일반적으로 그렇지만, 주의할 점이 있습니다. 길이는 엔트로피에 직접 곱해지므로 같은 문자 풀에서 더 긴 비밀번호는 수치적으로 항상 더 강합니다. 그러나 하나의 문자만 반복한 매우 긴 비밀번호(예: "aaaaaaaaaaaaaaa")는 실효 엔트로피가 0이라 즉시 크래킹됩니다. 도구가 이 패턴을 감지하고 경고합니다.