비밀번호

 



1. 개요
2. 용도
3. 비밀번호를 만드는 방식
4. 비밀번호 보안 수준을 알려주는 사이트
5. 안전성
5.1. 비밀번호를 누설하지 말 것
5.2. 레인보우 테이블 방지
5.3. 동일한 비밀번호를 사용하지 않기
5.4. 흔한 번호나 단어를 사용하지 않기
5.5. 주기적인 교체
5.6. 사용자가 외우지 못할 정도로 복잡해선 안됨
5.7. 사용자와 관련 있는 숫자, 단어 등을 사용하지 말 것
5.8. 자신과 큰 관련은 없지만 기억에 잘 남는 단어들을 엮기
5.9. 장문일수록 보안성능이 올라간다
5.9.1. 비밀번호 길이 제한이 있는 경우
5.10. 수천자 단위의 비밀번호가 적히는 보안 인증서
5.11. 먹는 비밀번호(?)
5.12. 비밀번호 찾기의 질문과 답변
6. 관련 문서


1. 개요


秘密番號 / Password
비밀번호는 이용자가 어떠한 곳에 대한 접근 권한을 얻기 위해 입력해야 하는 암호 문자를 말한다. 영어로는 패스워드(Password)라고 하며 PIN[1]이나 패스코드(passcode)라고 하는 경우도 있다.

2. 용도


정의를 따지자면, 특정 사용자에 대한 본인 이중 인증성 문자라고 볼 수 있다. '''인증'''이라는 점에서는 아이디도 그런 의미에서 보면 같은 역할을 하고 있다고도 볼 수 있지만, 아이디는 사용자 자신을 남에게 표현하기 위해 '''필연적으로 노출될 수밖에 없기에''' 사용자 당사자만 아는 암호성 성격을 띤 특수 문자나 문장으로 이중 인증을 함으로서 해당 아이디에 대한 타인의 불법적인 개입을 차단하는 시스템이라고 볼 수 있다. 아이디가 집 주소라면 비밀번호는 집 열쇠다. 결국 비밀번호는 암호와 비슷한 맥락이라고 볼 수 있다. 다만 암호가 특정 메세지를 숨기는 기능도 있으니 활용의 폭은 더 좁다고 하겠다.
나무위키에 로그인을 했다면 당신도 비밀번호로부터 자유로울 수 없다.
현실에서도, 사이버상에서도 의외로 자주 접하게 되는 것이 비밀번호이다. 일단 온갖 웹사이트 로그인 시에는 필수로 사용되고, 버튼형 자물쇠의 번호도 비밀번호고, 현관문의 자동 전자 잠금장치도 비밀번호이고, 은행의 통장 사용시에도 비밀번호를 요구하고, 각종 전자기기 잠금 기능에서도, 각종 압축 프로그램에서도 쓰이는 것이 비밀번호다.
넓은 폭으로 따지자면 게임 설치할 때 필요한 시리얼 넘버나 단, 이 경우는 공통점은 '문자'로서 구성된다는 것이므로 지문이나 홍채 등은 비밀'번호'로 쳐주지는 않는다. 물론 본인 확인용 시스템이라는 점은 같다.
주로 아이디와 함께 동봉되지만 경우에 따라서는 비밀번호만 필요한 경우도 있다. 이를테면 압축 프로그램에서 비밀번호를 걸어두는 것, 혹은 각종 인터넷 쇼핑 사이트에서 비회원 로그인 용으로 주민등록번호만 쓰는 것 등. 코레일의 철도역에 있는 티켓자판기에서 승차권을 발권할 때 가끔씩 증정해 주는 철도예약용 10% 종이할인쿠폰에도 비밀번호가 찍혀서 나온다.
인터넷이나 코레일톡에서 예매할 때 할인을 적용하려면, 해당 종이쿠폰에 찍혀 있는 쿠폰 번호와 비밀번호를 입력하여 할인을 적용(코레일톡에서는 "할인추가")해야 한다. 다만, 티켓자판기와 달리 인터넷에서 직접 받은 10% 할인쿠폰은 비밀번호가 없다. 그냥 해당 쿠폰을 적용할 때 클릭만 하면 된다.

3. 비밀번호를 만드는 방식


  • 사용자가 만드는 방식
비밀번호는 대개 사용자 자신이 직접 만든다. 그래야 기억하기 쉬우니까. 다만 사이트 여러 곳에 가입해놨는데 나중에 오랫동안 안 가던 사이트에 오랜만에 로그인 하려다가 비밀번호가 생각 안 나면 정말 난감해진다. 물론 이럴 때를 대비해서 다른 곳에 미리 적어두면 좋겠지만 노출 위험성이 다소 높아지는지라... 대신 대부분의 웹사이트는 비밀번호 분실시 자동으로 비밀번호를 찾을 수 있게 해주거나, 임시 비밀번호를 발송해서 한시적으로 로그인 가능 상태로 만든 다음 비밀번호를 수정하도록 해준다.
  • 서비스 제공자가 만드는 방식
특정 집단이나 사이트의 경우 비밀번호를 서비스 측에서 강제로 제공해주기도 한다. 관공서의 고유 프로그램이나 각종 인터넷 접속 서비스들이 그러한데 이유는 역시 보안 문제. 이런 건 보통 사용하는 당사자조차 외우질 못할 정도로 난해한 게 많다. 그래서 사원증이나 스마트카드에 내장된 IC칩에 수백 bit의 비밀번호를 저장해두고 인증하는 경우도 많다. 2차 인증이나 금융거래에서는 비밀번호를 OTP으로만 지급하여 해킹 당해도 상관 없게 한다.

4. 비밀번호 보안 수준을 알려주는 사이트


http://www.passwordmeter.com/
이 사이트는 단어의 길이, 대소문자, 숫자, 특수문자 조합 등에 100점 만점으로 점수를 매겨서 보여 준다. 특히 이 사이트에서는 글자의 반복과 재사용에 큰 감점을 부여한다. 다만, 사전 단어에 대한 처리는 없으며[2], 반복 글자는 감점이지만 알파벳 순서, 숫자 순서에 대한 체크[3]는 없으며 2자 이상 동일 패턴 반복 체크도 허술한 편.[4] 체감상 이 사이트에서 50점 정도 나오는 비밀번호라면 안전한 수준이라고 판단해 볼 수 있다.
https://howsecureismypassword.net/
여기에선 자신의 비밀번호 길이, 숫자, 특문, 알파벳 조합량에 따라 자신의 비밀번호가 언제 뚫릴지 가늠해준다. 정확하지는 않겠지만 스스로 짧거나 허술한 비밀번호를 쓴다 생각된다면, 한번 확인해보자. 영어 단어의 경우 '''바로''' 뚫을 수 있다고 한다.

5. 안전성


당연하지만 노출된 적이 없고 복잡한고 길수록 보안성이 증가한다. 암호화AES문서에도 나와 있듯이 충분히 길고 복잡한 비밀번호를 사용하는 경우 DES같이 취약한 암호화 알고리즘을 사용하는 경우가 아니라면 매우 안전하다. 그러나 이런 비밀번호를 귀찮아 하는 사람이 많기 때문에 짧은 비밀번호로도 비교적 높은 안전성을 보장하기 위해서 Secure cryptoprocessor를 사용하기도 한다. 대표적인 것이 금융IC카드이다. 4자리 IC PIN[5]을 사용하지만 횟수 제한 기능으로 인해 무차별 대입법으로 풀 수 없다. 외부에서 해킹을 시도하면 칩이 잠기고 해커가 저장된 데이터를 현미경으로 들여다 보려고 하는 상황도 있기 때문에 칩이 분해되면 즉시 데이터가 삭제되도록 만들어져 있다. 최신 스마트폰에도 들어가서 비밀번호 인증과 생체 인식, 인증서 저장 등에서 사용된다. 스마트폰에 들어가는 예로는 Knox가 있는데 루팅이나 탈옥 등 변조 발생시 녹스 워런티가 바뀌면 녹스 컨테이너를 제거한다. 그러나 기기가 도난되었을때 긴 비밀번호보다는 안정성이 낮으니[6] 이것을 사용하더라도 긴 비밀번호를 사용하는 것이 좋다.

5.1. 비밀번호를 누설하지 말 것


아무리 강력한 비밀번호를 설정했어도 '''제 입으로 그걸 말해 버리면 소용이 없다.''' "여기 비밀번호 뭐예요?" "XXXX예요"라는 대화를 나누어 본 경험이 적잖게 있을 터인데, 보안을 위해서는 번거로워도 담당자에게 직접 번호를 눌러 주기만 하고 타인에게는 비밀번호를 절대로 노출해서는 안 된다.

5.2. 레인보우 테이블 방지


비밀번호는 데이터베이스가 통째로 유출된 경우나 관리자 권한을 갖고 직접 비밀번호에 접근을 시도하는 경우에도 비밀번호 정보를 유추할 수 없도록 Hash와 같은 단방향 암호화 기법을 이용하여 보관하는 것이 기본적인 개념이다. 하지만 국내의 경우 과거에는 비밀번호 정보를 잊어버렸을 때 기존 비밀번호를 그대로 알려주는 경우가 상당히 많았다. 이건 Key만 알면 복구가 가능하도록 암호화를 했다거나 아예 암호화를 안했다는 소리다. 현재는 임시 비밀번호를 설정해서 알려주거나, 아예 본인인증이 되면 새 비밀번호를 입력하도록 하는 형태로 바뀐 상태이다.
구글에서 검색가능한 비밀번호 안전 측정 사이트의 경우, '''입력한 비밀번호를 특정 서버로 전송해 비밀번호와 해시 값을 같이 저장하여 보관한다. 그리고 다른 사람이 해시값이나 암호화된 키를 이용해 비밀번호를 검색해볼 수도 있다.''' 이런 사이트는 입력받은 비밀번호를 MD5와 같은 해시값이나 SHA-1 등을 통한 암호화키로 변환한 후, 이를 같이 저장하는 방식을 취하고 있다. 간단히 말해 레인보우 테이블일부를 만들어주는 꼴.
이러한 해시값이나 암호화키를 가지고 있기 때문에, 크래킹에 이용될 가능성을 높여주는 꼴이 된다(실제 크래커들이 운영하는 사이트도 일부 존재한다). 따라서 위키니트들은 괜히 남의 비밀번호를 해킹이 가능하라고 입력하거나 진짜 본인의 비밀번호를 입력하지 말고 본인의 비밀번호를 특수문자와 영어 숫자를 구분해서 무작위로 써보자. 실제 본인의 비밀번호와 거의 결과가 비슷하게 나온다.(예를 들어 본인의 진짜 비밀번호가 영어2 숫자7 특수문자2의 패턴이라면 패턴만 같게하고 값은 무작위로 입력)
이 링크에서는 입력한 비밀번호가 유출되어서 돌아다니는 리스트에 존재하는지 확인한다. 위의 이유로 비밀번호를 입력하기 찜찜하다면 해당 웹사이트의 home페이지에서 자신의 이메일이 유출된 리스트에 존재하는 지 먼저 확인하는 게 속편할듯.

5.3. 동일한 비밀번호를 사용하지 않기


사이트마다 비밀번호를 다르게 설정해두는 것이 좋다. 보안이 취약한 사이트가 해킹됐을 때 동일한 비밀번호를 쓰는 계정들도 해킹당하기 쉽기 때문.

5.4. 흔한 번호나 단어를 사용하지 않기


'''password'''
123456[7]
12345678
qwerty
abc123
monkey
1234567
letmein
trustno1
dragon
baseball
111111
iloveyou
master
sunshine
ashley
bailey
passwOrd
shadow
123123
654321
superman
qazwsx
michael
football
2011년 11월 17일 AOL에서는 인터넷 보안업체인 스플래시데이터(SplashData)의 자료를 인용해 최악의 비밀번호 25가지를 발표했다. 스플래시데이터는 "해커들은 다양한 첨단 해킹기술을 이용할 수 있지만 그들이 방어벽을 깨고 들어갈 때는 낮게 매달려 있는 과일(the low-hanging fruit)처럼 쉬운 비밀번호부터 사용해본다"고 밝혔다.
아예 이런 '쉬운 비밀번호 목록'이 거래되기까지 한다! 20mb~50mb쯤 하는 비밀번호로 가장 많이 쓰이는 단어들이 기록되어있는 텍스트 파일인데, 먼저 이 단어들을 넣고 돌려보는 것. 비밀번호에 대한 공격이 비밀번호를 사용하지 않는 관리자 권한 탈취나 키로거 같은 방식이 아니라면 주로 브루트 포스로 되어있는데,저런 쉬운 단어를 등록해서 사전 공격을 하는 것이라고 생각하면 된다. 물론 관리자 권한 대다수는 단순하게 뚫릴 리 없으니 결국은 브루트 포스로 귀결되는 경우가 많다.
심지어는 미국의 핵 미사일중 미국 본토에 배치된 핵미사일 50기의 발사암호가 무려 15년동안 단지 '0'을 8번 치면 되는 '00000000' 이라는 간단한 암호였다고 한다. 발사 절차가 복잡하게 나뉘어져 있는 핵무기의 특성 상 어차피 비밀번호를 안다 해도 핵무기 격발장치에 접근할 수 없어서 사실상 무의미한 부분이지만, 그렇다고 해도 핵무기의 특성이 특성인 만큼 보안 불감증적인 면모를 보여주는 부분이다. 사실 핵무기 뿐만이 아니라 국가시설에서 쓰이는 암호 중 일부는 귀차니즘과 보안 불감증이 겹쳐서 제작시 세팅된 기본 암호 설정을 변경할 필요성을 느끼지 못하고 기본 암호를 변경하지 않고 유지하는 경우가 많은데, 상술한 핵무기 역시 그에 해당하는 케이스이다.
사실 이러한 나쁜 비밀번호의 사례를 목록화하는 시도는 인터넷 사용이 활성화된 이래 꾸준히 있었기 때문에 딱히 새삼스러울 것은 없다. 2005년에도 최악의 비밀번호 500개의 목록이 발표된 적이 있었다. 아래는 2011년에 선정된 상위 25개의 최악의 비밀번호의 목록이다.
Ph'nglui Mglw'nafh Cthulhu R'lyeh Wgah'nagl Fhtagn도 뚫렸다. 링크
2020년에는 인텔도 intel123을 사용하여 뚫렸다.

5.5. 주기적인 교체


이제는 대형 포털 사이트들은 주기적으로 비밀번호를 바꿔줄 것을 사용자들에게 요청하고 있다. 대형 포털을 자주 이용하는 사람이라면 일정 기간마다 비밀번호 변경을 요구하는 메시지는 누구나 다 받아봤을 것이다. 사실 이게 제일 확실한 보안 방법이다. 물론 역효과로 잊어버리는 일이 증가한다는 게 문제. 거기다 귀찮기까지 한다.

5.6. 사용자가 외우지 못할 정도로 복잡해선 안됨


통념과 달리 쓸데없이 복잡한 비밀번호를 만들어봤자 '''보안에 별 도움이 안 된다'''. 이러한 비밀번호 방식을 제안한 인물은 바로 미국의 빌 버라는 사람인데, 2003년에 이 방식을 주장해서 사실상 표준화시킨 본인이 나중에는 '''이걸 후회한다'''며 자신의 주장을 철회했다. 뉴스링크 대소문자, 숫자, 특수문자 등을 섞은 복잡한 비밀번호를 만들고 이걸 수시로 바꾸다 보면 혼란을 피할 수 없게 되어, 결국에는 비밀번호 관리에 있어서 최악인 '''다른 곳에 적어놓는''' 방법으로 빠지기 쉽다.
최근에는 대부분의 브라우저가 비밀번호 저장 기능을 지원하므로, 아예 복잡한 비밀번호로 설정하고 외우는 건 브라우저에게 맡기는 방법도 있다. 이러면 컴퓨터가 물리적으로 탈취당하지 않는 한 털릴 일이 없어지며, 다른 곳에 적어둘 필요도 없으므로 부담 역시 줄어든다.

5.7. 사용자와 관련 있는 숫자, 단어 등을 사용하지 말 것


자신과 관련된 이름이나 생년월일, 기념일, 전화번호, 주소 등은 피해야 한다. 가족, 친구, 연인과 관련된 것들도 피해야 한다. 보안에 좀 신경쓰는 사이트는 아예 이런 문자열을 넣으면 못 넣게 경고로 띄워버린다.

5.8. 자신과 큰 관련은 없지만 기억에 잘 남는 단어들을 엮기


외부인이 알아낼 수 있는 객관적인 신변 정보가 아니라, 주변 사람들은 모르지만 자신은 잘 아는 것들을 길게 이으면 좋은 비밀번호가 완성된다. 사전을 아무 페이지나 펴서 나오는 단어들을 엮어도 된다.

5.9. 장문일수록 보안성능이 올라간다


비밀번호가 20글자 정도 되면, aaaaa...a 같은 단순 조합이 아닌 이상 웬만한 사전 단어로 조합해도 안전하다. [8] xkcd에서는 어지간히 용써서 이상한 조합으로 만들어내 봐야 외우기만 복잡하고 프로그램에 의해 뚫릴 확률은 그리 낮아지지 않으며, 차라리 사전을 펼쳐서 아무 단어나 네 개 정도 뽑아내기만 해도 오히려 훨씬 외우기도 쉽고 뚫리기도 어렵다고 했다. # 번역본
보안 전문가들 사이에서도 이론이 있는 논제이지만, '무작위 문자의 조합'과 '무작위 단어의 조합'을 비교했을 때 후자의 보안 성능이 크게 떨어지지는 않는다는 점은 믿을 만하다. 다만 Iloveyou 같이 일상적으로 사용하는 문장은 사전 공격에 취약하므로 금물. 서로 관련없는 단어들을 이어붙이는 게 가장 효과적이다. 드롭박스에는 위의 만화에서 예시로 든 비밀번호를 그대로 입력했을 때 별도의 메시지가 뜨는 이스터에그가 있다.

5.9.1. 비밀번호 길이 제한이 있는 경우


'''비밀번호의 길이 제한'''을 걸어놓고 있는 곳이 많다. 비밀번호가 최대 몇 자리나 되는지 미리 알 수 있다는 것은 보안상 큰 허점인데도 그렇다. 15~16자는 양반이고[9] '''8자'''에 불과한 경우도 심심찮게 있다. 비밀번호는 해시로 저장하기 때문에 몇글자든 같은 용량을 차지한다. 제한을 둘 필요가 전혀 없다.
16자 이하 제한만 기재할 것.
길이 제한을 17글자 이상으로 늘리거나 제한이 풀리면 [제한없음] 처리.
  • 네이버 - 2019년 04월 10일 확인 - 16글자 제한
  • 알바천국 - 2020년 04월 15일 확인 - 16글자 제한
  • 반디앤루니스(서울문고) - 2019년 04월 10일 확인 - 15글자 제한, 특수문자 제한
  • 정부24 - 2019년 04월 14일 확인 - 12글자 제한
  • 대한적십자사 혈액관리본부 - 2019년 04월 15일 확인 - 15글자 제한
  • 컬쳐랜드 - 2019년 7월 28일 확인 - 12글자 제한
  • 알바몬 - 2020년 1월 19일 확인 - 16글자 제한
  • 인터넷우체국 - 2020년 2월 26일 확인 - 15글자 제한
  • 삼성생명 - 2020년 4월 3일 확인 - 12글자 제한[제한없음]
  • 해피머니 - 2020년 4월 4일 확인 - 12글자 제한
  • EBS - 2020년 4월 10일 확인 - 12글자 제한
  • 뷰티포인트(아모레퍼시픽 멤버십) - 2020년 4월 10일 확인 - 16글자 제한
  • 아프리카TV - 2020년 4월 10일 확인 - 15글자 제한
  • 위메프 - 2020년 4월 10일 확인 - 15글자 제한
  • TEPS - 2020년 4월 12일 확인 - 12글자 제한
  • 메가박스 - 2020년 4월 12일 확인 - 16글자 제한
  • 유니클로 - 2020년 4월 12일 확인 - 12글자 제한
  • 이랜드리테일 - 2020년 4월 12일 확인 - 15글자 제한
  • 하나투어 - 2020년 4월 12일 확인 - 16글자 제한
  • 교보문고 - 2020년 4월 12일 확인 - 15글자 제한
  • 옥션 - 2020년 4월 12일 확인 - 15글자 제한
  • KBS - 2020년 4월 12일 확인 - 16글자 제한
  • 한국장학재단 - 2020년 4월 14일 확인 - 15글자 제한
  • KT - 2020년 4월 14일 확인 - 16글자 제한
  • 사람인 - 2020년 4월 15일 확인 - 16글자 제한
  • 다락원 - 2020년 4월 30일 확인 - 16글자 제한
  • CJ ONE - 2021년 1월 13일 확인 - 12글자 제한
  • 안드로이드 잠금 비빌번호 - 16글자 제한[10]
길이 제한 외에도, 연속된 알파벳, 숫자나 거꾸로 연속되는 알파벳과 숫자, 그리고 반복된 알파벳, 숫자 3자리 이상을 쓰지 못 하게 하는 곳도 있다. 예를 들어 "qp8941239jartckw!@"과 같은 복잡한 비밀번호임에도, 단지 비밀번호 안에 "qp894'''123'''9jartckw!@"이라는 연속된 숫자 3자리가 들어갔다는 이유로 사용이 불가능한 것. 이런 경우 또 다른 새로운 암호를 설정해야 하므로 굉장히 난감해진다.

5.10. 수천자 단위의 비밀번호가 적히는 보안 인증서


Amazon Web Services는 더 나아가서 SSH/SFTP 로그인 시 비밀번호 대신 '''인증서'''를 요구한다. 인증서가 '''수천 자 단위'''의 비밀번호가 적힌 파일이니 더 안전하다. 지원하는 프로그램이 그다지 많지 않을 뿐. 물론 서버에서 설정을 바꾸면 비밀번호 로그인도 가능하다.

5.11. 먹는 비밀번호(?)


먹을 수 있는 비밀번호 알약이 나왔다. # 먹으면 위에서 분해되면서 18비트 신호를 생성한다는 듯. 몸속에 잔류하는 동안은 계속 신호를 발신하므로 일종의 사이보그라고 볼 수 있을지도. 심지어 FDA도 통과했다고 하며, 시판 예정은 아직 없다고 한다.

5.12. 비밀번호 찾기의 질문과 답변


잊어버린 비밀번호를 찾을 때 이용하는 것이 비밀번호 질문과 답변이다. 비밀번호 찾기를 하면 질문이 나오고 정해진 답을 맞게 입력하면 비밀번호 리셋 절차가 들어가는 것. 이 역시 해킹에 악용된 사례가 의외로 많다. 이럴 땐 질문과 답변을 본인만 알 수 있는 것으로 쓰거나 페이크로 작성하면 거의 막을 수 있다. 예시로 질문을 "우리 어머니 성함은?"으로 해놓고 답변으로 "안알랴줌"이라고 한다거나.
단, 후자의 경우 본인이 페이크 답을 까먹었으면 망했어요.
이와 관련된 개그로 "비밀번호 질문을 "애초에 비밀번호를 잊어버리는 게 멍청한 거 아닌가?"라고 설정한 과거의 나를 때려죽이고 싶다......."라는 것이 있다.
비밀번호를 잊어버렸을 때 '비밀번호 찾기'를 하면 도움을 받을 수 있는데, '비밀번호 찾기'라는 이름과는 달리 잊어버린 비밀번호를 찾아주는 게 아니라 아예 비밀번호를 '''초기화'''시키고 다시 설정할 수 있게 하는 기능이다. 그래서 정확히는 '비밀번호 찾기'가 아니라 '비밀번호 복원' 정도가 맞다. 또한 비밀번호를 복원한 후에 재설정하게 되므로 일부 사이트에서 '비밀번호 재설정'이 쓰이기도 한다.
그런데 사실 2000년대 초반에는 비밀번호 찾기를 하면 '''정말로 기존 비밀번호를 찾을 수 있었다'''. 이것이 가능했던 것은, 그 당시 비밀번호를 평문으로 저장하는 가장 원시적인 방식을 택하고 있었기 때문이다.[11] 그래서 비밀번호 찾기를 하면 그냥 평문으로 저장된 비밀번호를 알려 주기만 하면 되었다. 이 방식이 보안이 매우 취약하다는 점이 드러나면서,[12] 당연하게도 비밀번호를 평문이 아닌 암호문으로 저장하는 방식을 쓰게 되었다. 여기에 랜덤 암호화 알고리즘의 사용으로 암호화된 비밀번호의 평문 복원(복호화)이 불가능하기 때문에 아예 비밀번호를 초기화시키는 것. 그럼에도 불구하고, 여전히 '비밀번호 찾기'라는 용어를 쓰고 있는 건 정말로 기존 비밀번호를 찾을 수 있었던 그 시절의 잔재인 셈.[13] 아주 가끔 가다가 비밀번호 찾기를 해 봤을 때 기존 비밀번호가 그대로 찾아지는 사이트가 있다면 그 사이트는 옛날 방식으로 저장해서 암호 보안이 매우 허술하다고 보면 된다.
그리고, 옛날 방식처럼 기존 비밀번호를 그대로 찾는 방식보다 오늘날 방식처럼 비밀번호를 아예 초기화해서 복원하는 방식이 더 안전한 것이, 일단 기존 비밀번호를 메일로 받으면 귀찮아서 안 바꾸는 경우가 많기도 해서 혹여 메일이 털릴 경우 메일로 기존 비밀번호를 받은 그 사이트의 계정까지 같이 털리는 사태가 일어날 수도 있으나, 비밀번호 리셋 방식이라면 아예 비밀번호를 그 사이트 화면에서 새로 바꿀 것을 강요하는 거라서 설혹 비밀번호 복원을 받은 메일이 털리더라도 그 사이트의 계정은 보호할 수 있다. 설령 이전과 같은 비밀번호로 설정했다 하더라도 근래의 암호 알고리즘난수생성+salt#s-3+눈사태 효과 콤보로 결과가 완전하게 달라져서 매우 안전해진다.
영어권 사이트에서는 'Find Password'(비밀번호 찾기)라는 용어 대신 'Forgot Password'(비밀번호를 잊어버렸어요)나 'Recover Password'(비밀번호 복원) 등의 용어를 쓰는 추세로 점차 가고 있다.

6. 관련 문서


[1] ''''P'''ersonal '''I'''dentification '''N'''umber'의 약자. PIN하면 당연히 숫자만 포함되는 경우가 많아 해킹에 취약하다. 그래서 금융 IC카드나 휴대전화 같이 보안성이 높은 기기가 아닌 이상 잘 쓰지 않는다.[2] 그래서, password가 무려 8점, password1은 무려 28점이나 된다. P@ssw0rd는 72점까지 찍어댄다.[3] 그래서 abcd1234는 38점으로 꽤 높은 점수가 나온다.[4] asdasdasd처럼 알파벳만 있으면 0점이지만 a1a1a1a1는 38점, a+a+a+a+은 46점 등 숫자나 기호가 있으면 못 잡는다.[5] 현재 4자리 비밀번호의 경우 컴퓨터 등을 이용하면 금방 해제할 수 았다. 컴퓨터가 아니라 사람 손으로도 가능한 정도.[6] IC카드나 스마트폰 암호화가 해킹된 사례도 찾아보면 많다.[7] 미국에서 생산된 일부 소규모 영업용 ATM 기기의 '''관리자 모드'''를 활성화시키는 디폴트 번호였다. 매뉴얼에는 처음 가동시 번호를 변경하라고 명시되어있었으나 이를 지킨 점주는 거의 없었다.[8] 예를들어 보스턴 레드삭스의 비밀번호인 655887888888687446522422747는 해석하는데 70 sextillon년 즉 '''700해년'''이 걸린다. 보스턴 레드삭스 팬들은 기억하기 쉬우면서도 엄청나게 강력한 비밀번호를 얻게 되는 것이다. [9] 보안에 조금이라도 신경 쓰는 다른 사이트라면 이 길이는 '''최소 제한''' 글자이다.[제한없음] A B 길이 제한이 17자 이상이거나 풀렸다.[10] 16자 제한을 준수할 필요는 없기 때문에 제조사마다 다를 수 있다.[11] 심지어 Facebook최근까지 일부 사용자들의 비밀전호를 평문으로 저장한 사실이 드러났다.[12] 해킹당해 관리자 계정으로도 비밀번호를 볼 수 있기 때문이다.[13] '비밀번호 찾기'보다는 '비밀번호 재설정'이 더 적절해 보인다.