털려도 안전(?)한 비밀번호가 있다.
1. 세상엔 참 많은 사이트가 있다. 그 많은 서비스를 이용하려면 회원가입을 해야 하고, 그러면 반드시 비밀번호가 필요하고, 그러다 보면 까먹고, 그러면 다시 비밀번호 찾기를 하고. 또 지난번에 썼던 비밀번호라 다시 새로운 걸 비밀번호를 생성하고, 까먹을까 봐 어딘가 적어뒀는데, 어딘가에 적어뒀는지는 모르고, 핸드폰엔 인증 문자만 수백 개가 쌓이고. 이게 비밀번호를 대하는 우리들의 현실이다.
2. 비밀번호가 짜증 나는 이유는 사이트마다 규칙이 달라서다. 대부분 아이디는 하나로 통일해서 쓰는데, 비번은 좀처럼 통일시킬 수가 없는 게 문제다. 어떤 사이트는 대소문자를 넣으라 하고, 어떤 사이트는 특수문자를 꼭 넣으라고 한다. 오래된 사이트는 이런 규칙 없이 6~8자 영문과 숫자로만 되는 곳도 있다. 대체 어느 장단에 맞추라는 거야.
3. 비밀번호 찾는 방법도 제각각이라 문제다. 어떤 곳은 비번 찾기가 불가능하고, 핸드폰 인증을 통해 변경만 가능한 경우도 있고, 어떤 사이트는 가입된 이메일로 1회용 암호로 변경해서 보내주는 곳도 있다. 이러니 인증을 하면 할수록 비번은 찾을 수 없는 미궁으로 빠진다.
4. 운 좋게도(?) 이런 비밀번호 혼란의 시대 속에서 난 비밀번호를 까먹지 않는다. 또 개인정보가 유출돼도 영향이 크지 않다. 모든 사이트의 비밀번호가 다르기 때문이다. 내가 쓰는 비밀번호 만드는 법이 정답은 아니지만, 매일 까먹는 사람에게는 아마 도움이 될 거라 생각해 공유해본다.
전제조건은 아래와 같다.
1) 비밀번호는 사이트마다 다른 것을 쓸 것(혹시나 해킹 등의 개인정보 유출이 있을 수 있으니까)
2) 어디에 적어둘 필요가 없을 것.
위 조건을 만족시키는 비밀번호는 이런 형태다.
[사이트주소 + 숫자 + 나만의키워드 + 특수문자]
위 형태의 핵심은 웹사이트 주소의 일부를 비밀번호 안에 포함시킨다는 거다. 가령 웹사이트 주소가 www.naver.com이고, com 앞에 붙는 2개의 알파벳(er)을 쓰기로 정했다면, 비밀번호는 [er+77+키워드+&#!]이 된다. 만약 나만의 키워드를 '사과(tkrhk)' 로 정했다면 최종 비밀번호는 [er+77+tkrhk+&#!]가 되는 식이다.
이렇게 만들면 비밀번호는 유추가 불가능하고(er77tkrhk&#!), 혹여나 유출된다고 하더라도 다른 사이트의 비번까지 뚫리진 않는다. 여기에 몇 가지 옵션을 조금 더 고려한다면, 1)대소문자를 반드시 넣으라는 사이트와 2)최소 10자리 이상의 비밀번호를 만들라는 사이트를 감안하여, 첫 알파벳 혹은 두 번째 알파벳을 대문자로 넣고 키워드를 최소 4글자 이상을 사용하는 것이다. 그러면 이렇게 된다
네이버(www.naver.com) 사이트의 최종 비밀번호 : eR77tkrhk&#!
구글(www.google.com) 사이트의 최종 비밀번호 : lE77tkrhk&#!
11번가(www.11st.co.kr) 사이트의 최종 비밀번호 : sT77tkrhk&#!
즉 규칙만 알고 있으면, 사이트 도메인에 따라 비밀번호가 계속 바뀌는 식이니 외우기가 편해지는 거다.
5. 위 예시는 이해를 돕기 위한 가장 쉬운 형태의 비밀번호다. 사이트 주소와 나만의 키워드를 붙여버리면 암호는 더 유추하기 어려워지고, 특수문자 배열 방식도 자신만의 규칙이 있으면 훨씬 더 복잡하게 만들 수 있다. 중요한 건 반드시 저 방법을 그대로 쓰라는 게 아니다. 1)모든 사이트에 비밀번호를 같은 걸로 쓰는 게 위험하다는 것. 2)그래서 각각 다른 비밀번호를 외우거나 적어둘 게 아니라 자신만의 규칙을 만드는 거다.
6. 사실 모든 사이트가 비밀번호 입력창에, 혹은 비밀번호 찾기를 눌렀을 때 [우리 사이트의 비밀번호는 특수문자, 대소문자 포함 8~10자입니다] [우리 사이트의 비밀번호는 대소문자, 숫자로만 이루어져 있습니다]라고 규칙만 알려줘도 이런 혼란은 많이 없어질 거라 본다. 하지만 마치 '내 수업 하나 정도는 팀플 과제를 줘도 괜찮겠지?'라고 믿는 교수님처럼, 모든 사이트는 다른 사이트도 들락거리는 우리의 사정을 생각지 않고, 서로 다른 비밀번호 규칙을 요구한다는 게 문제다. (사이트 보안 책임자님 보고 계신가요?)
비밀번호의 창시자(?). 현재의 비밀번호 설정 규칙. 즉, 알파벳 대소문자, 숫자, 특수문자를 혼잡해서 써야 안전하다고 말했던 전문가 빌 버(Bill Berr)씨도 얼마 전, 자신의 생각이 틀렸었다며 공식적으로 사과했다는 뉴스가 있었다. 숫자와 영문과 특수문자보다 설정자 자신만이 알고 있는 긴 단어나 문장이 더 안전하다고 말했다. 아마 언젠간 국내 사이트들의 비밀번호 규칙도 바뀔 거라 생각한다. 그때까지는 이렇게라도 버텨가는 게 그나마 안전하고, 편리하지 않을까?