문자 종류를 강도로 오해하기
흔한 단어에 대문자 하나, 숫자 하나, 기호 하나를 붙여도 공격자가 예상하기 쉽습니다. NIST는 검증자가 문자 조합 규칙을 강제하지 말고 긴 고유 값과 차단 목록 검사를 사용하도록 권고합니다.
브라우저에서 필요할 때 불러오는 zxcvbn-ts 모델로 비밀번호의 추측 가능성을 평가합니다. 흔한 비밀번호, 사전 단어, 날짜, 반복, 연속 문자열, 키보드 패턴을 찾아 0~4 모델 점수, Unicode 코드 포인트 길이, 대략적인 추측 횟수 규모, 패턴 범주, NIST 검증자 길이 기준을 보여줍니다. 결과와 분석 통계에는 원문 비밀번호를 넣지 않지만 유출 데이터베이스 조회, 계정 안전 보증, 재사용·피싱·악성코드·브라우저 확장 프로그램·안전하지 않은 보관 문제까지 해결하지는 않습니다.
관련 작업 흐름을 이어가거나 이 작업 다음에 자주 사용하는 도구를 열어보세요.
암호 학습 워크벤치에서 XOR 바이트 원리를 눈에 보이게 확인합니다. 알려진 벡터를 재현하고 Hex와 Base64를 비교한 뒤 같은 키로 되돌리면서, 실제 비밀 보호라고 표현하면 안 되는 이유까지 기록합니다.
열기관련 도구여섯 가지 고전·학습용 암호 방식을 엄격한 키, 정확한 출력, 명확한 보안 경고와 함께 로컬 비교합니다.
열기관련 도구UTF-8 텍스트나 파일 원본 바이트를 해시하고 전체 체크섬을 로컬에서 비교합니다.
열기관련 도구편향 없는 숫자와 설정 가능한 고유 문자열을 생성하고 줄, CSV, JSON으로 내보냅니다.
열기계정 자격 증명이 되기 전의 새 후보를 검사하는 것이 좋습니다. 기존의 중요한 비밀번호는 다른 페이지에 노출하기보다 신뢰할 수 있는 비밀번호 관리자의 내장 감사를 사용하세요.
앞뒤를 잘라내지 말고 전체 값을 입력하거나 붙여 넣습니다. 입력란은 기본적으로 가려지며 공백과 Unicode를 허용하고, 256 Unicode 코드 포인트를 넘으면 조용히 자르지 않고 거부합니다.
분석을 실행합니다. zxcvbn-ts 사전과 패턴 분석기는 명령을 누른 뒤 브라우저에서만 불러오므로 초기 페이지에 전체 분석 번들을 싣지 않습니다.
0~4 점수와 추측 규모를 모델 추정으로 읽습니다. 대문자·숫자·기호 체크리스트를 맞추기보다 흔한 단어, 키보드, 반복, 연속 문자열, 날짜 탐지 결과를 확인하세요.
Unicode 길이를 NIST 검증자 기준과 비교합니다. 단일 인증 요소는 15자, MFA 안에서만 쓰는 비밀번호는 최소 8자입니다. 길이 기준 통과만으로 승인된 것은 아닙니다.
약한 후보에 예측 가능한 수정을 더하지 말고 교체하세요. 계정마다 다른 관리자 생성 값을 저장하고 서비스가 전체 값을 받았는지 확인한 뒤 가능한 경우 MFA나 패스키를 켜세요.
계정을 만들기 전에 예측 가능한 후보를 버리고, 제출 전에 계정 전용 관리자 생성 값을 저장합니다.
Password1식 치환, 키보드 이동, 반복 문자열, 날짜, 유명 문구가 오래된 조합 규칙을 만족해도 왜 추측 가능한지 보여줍니다.
가입 화면의 패턴 피드백을 검토하면서 서버의 길이, 차단 목록, 속도 제한, 저장, 붙여넣기, MFA 요구사항은 별도로 검증합니다.
기억하기 쉬운 새 후보와 관리자 생성 무작위 값을 비교하되 결과를 공개하거나 모델을 유출 검사로 오해하지 않습니다.
명백한 합성 테스트 값으로 지원 제보를 재현합니다. 고객의 실제 자격 증명을 티켓, 테스트, 스크린샷이나 이 페이지에 복사하지 마세요.
흔한 단어에 대문자 하나, 숫자 하나, 기호 하나를 붙여도 공격자가 예상하기 쉽습니다. NIST는 검증자가 문자 조합 규칙을 강제하지 말고 긴 고유 값과 차단 목록 검사를 사용하도록 권고합니다.
4/4는 이 모델의 추정일 뿐입니다. 다른 서비스에서의 재사용, 향후 유출, 키로거, 피싱, 약한 서버 해싱, 복구 절차, 사전에 없는 개인정보는 확인할 수 없습니다.
이 도구는 의도적으로 유출 말뭉치에 네트워크 요청을 보내지 않습니다. 낮은 점수는 바로 조치할 근거가 되지만 높은 점수가 유출 이력이 없음을 뜻하지는 않습니다.
긴 비밀번호라도 여러 계정에서 재사용하면 크리덴셜 스터핑에 노출됩니다. 계정마다 다른 값을 만들고 신뢰할 수 있는 비밀번호 관리자에 저장하세요.
페이지 내부 처리는 브라우저 확장 프로그램, 화면 캡처, 기기 악성코드, 클립보드 기록, 어깨너머 관찰을 통제하지 못합니다. 사용 전 새 후보를 검사하고 기존 중요 비밀번호는 신뢰할 수 있는 비밀번호 관리자의 내장 감사를 이용하는 편이 안전합니다.
대문자·숫자·기호가 있다는 이유로 가점을 주지 않고 꾸민 흔한 비밀번호를 약하게 판정해야 합니다. 이 공개 예시를 실제 자격 증명으로 사용하지 마세요.
Password1234!낮은 모델 점수, 흔한 비밀번호 또는 사전 패턴, 꾸미지 말고 교체비밀번호 관리자가 만든 값은 계정 생성 전에 평가하고 제출 전에 저장한 뒤 해당 계정에만 사용해야 합니다. 실제 값은 예시에 공개하지 않습니다.
신뢰할 수 있는 비밀번호 관리자가 새로 만든 20자 이상의 값패턴 추정과 서비스 호환성 확인, 고유성과 MFA는 별도로 점검여러 단어로 만든 패스프레이즈는 길이의 이점이 있지만 유명 문구, 예측 가능한 단어 순서, 이름, 개인정보는 여전히 추측 가능하거나 모델에서 누락될 수 있습니다.
인용문이나 개인 프로필에서 가져오지 않은 서비스 전용 새 패스프레이즈탐지 패턴 확인 후 고유하게 저장하고 MFA 또는 패스키 활성화분석기는 @zxcvbn-ts/core와 흔한 비밀번호·영어 사전·키보드 그래프 패키지를 사용합니다. 사전, l33t, 공간, 반복, 연속 문자열, 단어 순서, 날짜, 정규식, 무차별 대입 구간을 찾고 전체 입력을 적은 추측으로 설명하는 조합을 선택합니다.
라이브러리는 분석을 시작할 때만 가져옵니다. 원격 점수 API나 유출 조회 엔드포인트는 호출하지 않습니다. 로컬 청크를 불러오지 못하면 과거의 문자 종류 점수식으로 대체하지 않고 오류를 반환합니다.
원시 분석 응답에는 비밀번호와 매칭된 토큰이 들어 있으므로 어댑터가 즉시 점수, 코드 포인트 길이, 추측 규모, 패턴 범주, NIST 길이 여부, 권장 조치, 계산 시간만 있는 제한 결과로 투영합니다. UI 상태와 분석 통계에는 원시 응답을 넘기지 않습니다.
길이는 JavaScript UTF-16 코드 유닛이 아니라 Unicode 코드 포인트로 셉니다. NIST 검증자 지침과 같은 기준이며 최대 256 코드 포인트를 넘는 입력은 눈에 보이는 오류로 거부하고 분석 전에 조용히 자르지 않습니다.
추측 규모는 floor(log10(추정 추측 횟수))입니다. 공격 장비, 해시 비용, 유출된 검증 데이터, 온라인 속도 제한, 추측 전략에 따라 시간이 달라지므로 정확한 해독 시간 문구는 의도적으로 표시하지 않습니다.
NIST SP 800-63B-4는 검증자가 흔하거나 유출된 비밀번호를 차단하고, 비밀번호 관리자와 붙여넣기를 허용하며, 임의의 주기 변경과 문자 조합 규칙을 강제하지 말고, 단일 요소에 15자·MFA 안에서 8자·최대 허용 길이 최소 64자를 적용하도록 합니다. 클라이언트 분석기는 피드백을 돕지만 서버 저장, 차단 목록, 속도 제한, 복구, MFA, 피싱 저항성을 구현할 수 없습니다.
zxcvbn-ts를 브라우저에서 동적으로 불러와 메모리 안에서 분석합니다. 결과와 도구 분석 통계에는 점수, Unicode 길이, 패턴 수, 계산 시간 같은 집계값만 포함하고 원문 비밀번호나 매칭된 문자열은 넣지 않습니다. 다만 값은 페이지에 존재하므로 브라우저 확장 프로그램, 기기 악성코드, 화면 캡처, 표시된 화면을 보는 사람에게 노출될 수 있습니다.
아닙니다. 0~4 점수는 패턴 기반 추측 가능성 추정치이지 계정 안전 증명이 아닙니다. 모든 공격자, 서버 해시, 속도 제한, 피싱 경로, 복구 절차, 재사용된 자격 증명, 개인정보를 모델링하지 못합니다.
유출 조회 서비스에 접속하지 않습니다. 포함된 사전은 많은 흔한 비밀번호와 패턴을 잡지만 정확한 값이 최신 유출 말뭉치에 있는지는 확인할 수 없습니다. 해당 서비스나 신뢰할 수 있는 비밀번호 관리자의 유출 모니터링 기능으로 별도 확인하세요.
NIST SP 800-63B-4는 단일 인증 요소 비밀번호에 최소 15자를 요구하고, MFA의 일부로만 쓰일 때는 최소 8자를 허용하며, 검증자가 적어도 64자를 받을 수 있어야 한다고 합니다. 이는 검증자 요구사항이며 15자라는 이유만으로 강하다는 뜻은 아닙니다.
주요 사전은 흔한 비밀번호와 영어 단어 집합, 키보드 그래프입니다. 한국어·일본어, 전문 용어, 서비스 이름, 개인정보는 충분히 포함되지 않을 수 있어 모델이 모르는 문구를 과대평가할 수 있습니다. 결과를 보수적으로 해석하세요.
모델이 추정한 추측 횟수의 log10을 내림해 10^n 형태로 표시합니다. 정확한 해독 시간을 주장하지 않고 대략적인 규모만 전달합니다. 공격 장비, 추측 전략, 비밀번호 해싱, 유출 정보, 속도 제한에 따라 실제 비용은 크게 달라집니다.
실제 계정에는 신뢰할 수 있는 비밀번호 관리자의 생성기와 감사를 우선 사용하세요. 이 도구는 교육, 사용 전 새 후보 검토, 검증자 정책 테스트, 익숙한 패턴이 왜 약한지 확인하는 용도에 적합합니다. 검사한 값을 재사용하지 말고 가능한 경우 MFA나 패스키를 추가하세요.
관리 및 검수 SimpleWebUtils검토일
검증 방법: 비밀번호 강도 검사기로 “꾸민 흔한 비밀번호 합성 값을 거부하는 검토” 샘플 입력을 정확히 재현했습니다. 결과 비교에는 “새 후보 또는 합성 후보만 사용합니다”, “통제된 브라우저 세션을 준비합니다” 단계를 포함했습니다. 이어서 연결된 테스트 근거에서 “4점 만점을 승인으로 해석하기”, “약한 결과를 예측 가능한 꾸미기로 고치기” 조건을 점검했습니다.
기대 결과: 꾸민 흔한 단어 후보는 예측 가능한 pattern과 길이 근거로 거부됐고, 후보 원문이나 근거 없는 “안전” 판정은 저장하지 않았습니다.
공식 출처와 표준
도구를 열기 전에 자주 쓰는 작업 흐름과 예시를 확인하세요.
암호 학습 워크벤치에서 XOR 바이트 원리를 눈에 보이게 확인합니다. 알려진 벡터를 재현하고 Hex와 Base64를 비교한 뒤 같은 키로 되돌리면서, 실제 비밀 보호라고 표현하면 안 되는 이유까지 기록합니다.
작업 가이드비밀번호 측정기는 명백한 패턴을 거부하는 데 도움을 주지만 계정 안전을 인증할 수는 없습니다. 이 절차는 새 후보나 합성 값만 검사하고, 신뢰할 수 있는 브라우저 환경을 준비하며, 조용한 잘림 없이 전체 값을 확인하고, zxcvbn 점수와 추측 규모를 대략적인 모델 결과로 해석합니다. NIST 길이 표시는 검증자 요구사항으로 분리하고 유출 모니터링과 서비스 보안 통제를 별도로 확인하며, 기록에는 비밀값을 남기지 않습니다. 최종 판단은 거부 후 재생성, 한 계정에 한해 조건부 채택, 목적지 보안 정책 확인으로 나뉘며 검사한 값을 티켓·스크린샷·분석 필드·공유 메모에 넣지 않습니다.
작업 가이드무작위 생성기는 값 선택 단계만 해결합니다. 신뢰할 수 있는 비밀번호 절차는 실제 서비스 계약을 먼저 확인하고, 통제하는 기기에서 긴 고유 값을 생성해 제출 전에 비밀번호 관리자에 저장하며, 대상 서비스가 전체 값을 받아들였는지 새 세션으로 검증합니다. 가능한 경우 피싱에 강한 인증을 추가하고 복구 자료는 별도로 보호하며, 클립보드와 평문 다운로드를 제거하고, 비밀값을 재사용하지 않고도 접근을 복구하거나 폐기할 수 있는 비밀이 아닌 증거를 남겨야 합니다.
관리 중인 다른 작업 흐름을 이어서 사용해 보세요
여섯 가지 고전·학습용 암호 방식을 엄격한 키, 정확한 출력, 명확한 보안 경고와 함께 로컬 비교합니다.
UTF-8 텍스트나 파일 원본 바이트를 해시하고 전체 체크섬을 로컬에서 비교합니다.
편향 없는 숫자와 설정 가능한 고유 문자열을 생성하고 줄, CSV, JSON으로 내보냅니다.
Web Crypto와 편향 없는 인덱스, 기본 마스킹, 명시적 문자 정책으로 8~128자 비밀번호 하나를 로컬 생성합니다.
붙여넣은 마지막 HTTP 응답에서 시행 여부와 문맥을 반영한 보안 헤더 신호를 검토합니다.