패스워드 매니저(Password manager)라는 건 여러 사이트의 비밀번호를 관리해주는 목적의 서비스에요. 모든 비밀번호를 하나로 통일해서 사용하는 분들(아주 위험해요! 절대 비추)에겐 불필요하겠지만, 안전한 비밀번호 관리 습관을 충실히 따르는 분들은 사이트마다 비밀번호를 다르게 설정했을거에요. 하지만 수십개의 비밀번호를 모두 기억하기가 어렵겠죠? 자주 접속하지 않는 사이트는 비밀번호를 찾아서 로그인해야하고, 까먹는 사이트는 매번 또 까먹게되서 비밀번호 찾게 되지않나요? ㅠㅠ
안전하게 특수문자 잔뜩넣고, 대문자 소문자 구분해서 복잡하게 만들고도 싶지만, 그러면 내가 로그인할 때 힘드니까 살짝 타협해서 만든 비밀번호를 사용하고 있었는데용. 네이버 비밀번호를 keepcoing!naver! 로, 구글 비밀번호를 keepcoing!google! 로 설정해둔 사람과, 3swyaSLVN2Q)-F81 나 98?hbXygGI@J16RS 와 같은 걸로 비밀번호를 해둔 사람, 누가 더 해킹에 위험할까요? 모 사이트에서 사용하는 비밀번호가 유출되었다 해도 다른 사이트의 비밀번호를 추정할 수 없는 후자가 비교적 더 안전하겠죠.
후자와 같은 비밀번호를 사용한다는건 아주 불편하고 번거로운 일이지만, 패스워드 매니저(비밀번호 관리자)를 사용하면 아주 복잡한 비밀번호를 생성해도 어렵지않게 로그인할 수 있답니다. 모든 사이트를 이렇게 복잡하고 외우기 어려운 비밀번호로 설정할 수 있어요.
이런 패스워드 매니저 서비스는 국내의 알패스(알집, 이스트소프트)라는 것도 있고요. 가장 잘알려진 글로벌 1위 라스트패스를 포함해 여러 서비스 제공업체가 있어요. 그런데 알패스와 라스트패스, 모두 해킹을 당한 전례가 있습니다.
이런 서비스 유형은, ‘마스터 비밀번호’라는게 존재합니다. 패스워드 매니저에 저장해둔 비밀번호에 접근하기 위한 ‘마스터 비밀번호’이지요. 이 번호는 ‘비밀번호를 관리하는 비밀번호’이기때문에 해킹이 불가능해야 합니다. 예를 들어 이중인증(2FA)요소를 더해서 안전 장치를 설정할 수 있어야 됩니다. 핀코드라거나 지문, 혹은 다른 믿을 수 있는 어떤 이중 인증요소를 더해야된다는 것이죠. 그런데 알패스와 라스트패스의 해킹 사건은 유저가 사용하는 모든 사이트, 메일, 클라우드 서비스 등 모든 비밀번호가 묶인채로 통채로! 유출된겁니다. 패스워드 매니저의 데이터가 해킹되는 건, 모 사이트의 개인정보 하나가 유출되는 것보다 당연히 훨씬 심각하겠지요.
그렇기 때문에 비밀번호 관리자(패스워드 매니저) 서비스를 이용하려면 몇가지 고려할 몇가지 기능들(?)이 있어요.
- 비밀번호 추천 기능 : 유저가 아주 길고 특수 문자가 잔뜩 들어가있는 강력한 비밀번호를 생성해서 추천해주는 기능입니다.
- 자동 완성 기능 : 키로거 악성코드가 아이디 비밀번호를 훔쳐가지 않도록 바로 사이트의 아이디 비밀번호란을 자동완성시켜주는 기능입니다. (자동완성에 대한 논쟁의 여지가 있는듯합니다만..)
- 이중 인증 기능 : 패스워드 매니저에 접근하는 관문이 이중 인증으로 불안하지 않아야해요.
킵코잉닷컴이 하드웨어 월렛 블로그인 만큼, 이 포스팅을 하는 이유가 있겠지요? 위 기능들을 모두 포함하는 하드웨어 월렛의 패스워드 매니저가 있습니다! 바로 트레저(Trezor)가 지원하는 패스워드 매니저 앱입니다. 렛저 나노 S도 패스워드 매니저 앱을 개발했지만 아쉽게도 아직 개발자 모드에서 사용할 수 있는 베타버전으로 보입니다. 그리고 UI나 사용편의성에 있어서 트레저 지갑이 제공하는 패스워드 매니저가 더 뛰어나다 생각해요.
그래서 다음 포스팅에서 트레저 패스워드 매니저 사용방법을 포스팅할거구요. 렛저 나노 S의 패스워드 매니저는 좀 더 사용을 해본 후에 포스팅하도록 하겠습니다 🙂 비밀번호 관리자(패스워드 매니저)를 사용하지 않더라도 꼭 지켜야할 비밀번호 규칙을 마지막으로 정리해볼게요. 🙂
강력한 비밀번호 요건
- 대문자와 소문자를 구분해서 모두 사용
- 숫자를 포함
- 특수 문자, 기호를 포함
- 8자 이상으로 구성
- 사전에 있는 단어 사용하지 않을 것
- 개인 정보(생년월일, 핸드폰번호 등)를 비밀번호로 사용하지 않을 것
- 사이트마다 비밀번호를 다르게 설정
- 타이핑 패턴을 비밀번호로 사용하지 않을 것
(예 : qwerty, 1q2w3e4r5t, 1qaz2wsx3edc, asdfasdf)
링크 : 트레저 하드웨어월렛의 패스워드 매니저 알아보기