utilbox
목록으로 돌아가기
개발자 도구

비밀번호 강도 측정

Dropbox가 만든 zxcvbn 알고리즘으로 비밀번호의 실제 강도를 측정합니다. 단순 길이·문자 종류가 아니라 사전 단어·키보드 패턴·반복 시퀀스를 분석해 현실적인 크랙 시간을 4가지 공격 시나리오로 보여 줍니다. 입력한 값은 브라우저 밖으로 나가지 않습니다.

비밀번호 입력
샘플:0자 · 0 바이트
분석 엔진 로딩 중...

사용 방법

  1. 검사할 비밀번호를 입력합니다. 입력 즉시 zxcvbn이 분석을 시작하며 결과는 디바운스되어 갱신됩니다.
  2. 강도 등급(0~4)과 색상 게이지로 한눈에 안전성을 확인합니다. 3 이상이면 일반적 사용에 적합합니다.
  3. 크랙 시간 추정을 4가지 시나리오별로 비교합니다. 가장 비관적인 \"오프라인 빠른 해시\"가 \"몇 년\" 이상이면 실용적으로 안전합니다.
  4. 감지된 사전 단어·키보드 패턴·반복이 표시되면 그 부분을 다른 문자로 바꿔 강도를 높입니다.
  5. 리포트 복사로 분석 결과를 마크다운으로 담거나, 워크스페이스에서 \"비밀번호 생성기 → 강도 측정\" 흐름으로 검증할 수 있습니다.

비밀번호 강도 측정 자세히 알아보기

비밀번호 강도 측정은 단순한 길이·대소문자·특수문자 체크로는 알 수 없는 실제 안전성을 추정하는 도구입니다. 예를 들어 "P@ssw0rd!"는 전통적인 검사 기준(8자 이상, 대소문자·숫자·특수문자)을 모두 통과하지만 사전·치환 패턴이라 실제로는 1초 이내에 깨집니다. 본 도구는 Dropbox가 공개한 zxcvbn 알고리즘(@zxcvbn-ts/core)을 사용해 사전 단어, 키보드 인접 패턴(qwerty, asdf), 반복(aaaa), 시퀀스(1234·abcd), 날짜 패턴까지 분석한 뒤, 가장 빠른 공격 경로 기준으로 크랙 시간을 계산합니다. 크랙 시간은 4가지 시나리오로 나누어 보여 줍니다. 일반 웹사이트 로그인(시간당 100회 제한), API/앱(초당 10회), DB 유출 + bcrypt(초당 1만), DB 유출 + 약한 해시(초당 100억). 가장 비관적인 마지막 시나리오 기준으로 "수년" 이상이면 현실적인 보안 기준에서 안전합니다. 입력한 비밀번호는 브라우저 안에서만 분석되며 utilbox 서버를 포함한 어떤 외부로도 전송되지 않습니다.

이럴 때 사용하세요

  • 회사·서비스 로그인용 비밀번호를 새로 만들기 전에 미리 강도를 검증하고 싶을 때
  • 기존 비밀번호가 "진짜로" 안전한지 객관적 점수로 확인하고 싶을 때
  • 비밀번호 생성기로 만든 결과물을 바로 강도 측정해 "3 이상"인지 보고 싶을 때 (워크스페이스 흐름)
  • 팀 보안 가이드를 만들 때 "qwerty123" 같은 흔한 패턴이 얼마나 위험한지 시각화 자료로
  • PIN·간단한 패스워드를 4자리 → 6자리로 늘렸을 때 안전성이 얼마나 올라가는지 비교

비밀번호 강도 측정 자주 묻는 질문

zxcvbn 점수 3이면 정말 안전한가요?
점수 3은 "오프라인 느린 해시"(bcrypt·argon2 같은 보호) 기준 "수년" 이상 버티는 수준으로 일반 웹·앱 로그인에 충분히 안전합니다. 단, 고가치 자산(은행·암호화폐 지갑·관리자 계정)에는 점수 4 + 길이 16자 이상을 권장합니다. "오프라인 빠른 해시"(MD5·SHA-1)에서도 "수십 년" 이상이면 더 안전합니다.
왜 "P@ssw0rd123!"는 점수가 낮게 나오나요?
zxcvbn은 단순 문자 다양성이 아니라 사전 단어 + 흔한 치환(`a` → `@`, `o` → `0`, `s` → `$`)을 인식합니다. "password"는 가장 흔한 사전 단어 1위이고, 거기에 숫자·특수문자를 덧붙인 변형도 패스워드 크래커들이 가장 먼저 시도합니다. 무관한 단어 4~5개를 조합한 "passphrase"가 같은 길이에서도 훨씬 강합니다.
한국어 비밀번호도 분석되나요?
한글 입력 자체는 분석되지만, 본 도구가 사용하는 사전은 영어 기반입니다. 따라서 한글로 된 비밀번호는 사전 매칭이 거의 일어나지 않아 무차별 대입(`bruteforce`) 패턴으로 분류되며, 길이 대비 강도가 비교적 높게 나오는 경향이 있습니다. 다만 한글 키보드에서 흔한 "ㅁㄴㅇㄹ" 같은 패턴은 영문 키 매핑("asdf")으로 변환돼 검출되니 주의해 주세요.
비밀번호가 외부로 전송되나요?
전송되지 않습니다. zxcvbn 라이브러리는 클라이언트 측에서만 동작하며 사전 데이터도 페이지 로드 시점에 한 번 다운로드된 뒤 메모리에서만 사용됩니다. 입력한 비밀번호는 utilbox 서버나 외부 API로 일체 전송되지 않습니다. 네트워크 탭으로 직접 확인하실 수 있습니다.
워크스페이스에서 어떻게 활용하나요?
비밀번호 생성기 → 강도 측정 흐름이 대표적입니다. 생성기에서 만든 패스워드 후보를 강도 측정 노드로 흘려 zxcvbn 점수를 확인하고, 부족하면 옵션을 조정해 다시 흘리는 식으로 반복합니다. 강도 측정 결과 리포트는 마크다운 텍스트로 다음 노드(예: 글자 수 세기·base64)에도 흘릴 수 있어 팀 공유용 자료로 가공하기 좋습니다.