Pashword - 암호 관리자를 사용하지 않아도 안전한 암호 만들기
(pashword.app)- 웹사이트, 사용자명, 개인 암호키를 이용하여 만드는 암호
- 해커가 깨기 힘든 복잡한 암호를 만들어줌
- 생성기는 오픈소스이고, 오프라인으로 동작
- 크롬앱으로 로컬 설치 가능
결국은 랜덤생성된 암호 사용하면서
2fa 같은 방식으로 관리하는 암호 관리자를 사용하는게 현실적일것 같습니다.
홈랩 서버에 voltwarden 사용중입니다.
이런 식으로 유도(derivation)를 통해 암호를 결정하는 방식은 회의적으로 보게 되더라고요. 암호 관리자를 쓰는 가장 중요한 배경이 내가 아무리 잘 해도 어떤 서비스에서 유출 사고가 날 지 모른다는 데에 있을텐데, 그러면 유출 사고가 났을 때 기존 암호를 폐기하고 완전히 새로운 암호로 재생성할 수 있어야 할 것 같거든요. 유도하는 방식으로는 그런 게 힘든 것 같습니다.
이게 몇 번째로 유도 생성한 암호인지 회수를 기억해서, 그 회수까지 포함해서 유도할 수는 있겠지만 그러면 각 서비스에서 몇 번 암호를 바꿨는지 사람이 기억해야 할 테고요.
그래서 저는 임시방편으로 년도 또는 해당월 값을 개인적으로 사용하는 패스워드 유도 규칙에 넣어서 씁니다.
업무용 시스템에서 로그인 패스워드를 1개월마다 바꾸어야 하는 규칙이 있어서, 패스워드 유도 방식을 안 쓰면 매번 바꾸는 걸 기억을 못 하겠더라고요. 그렇다고 예전에 사용한 패스워드를 돌려쓸 수도 없어서, 어차피 매월 바꿀 거니까 아예 년월 정보가 포함된 유도 규칙을 대충 만들어 쓰고 있습니다.
저도 예전에 근무하던 곳의 출입문 규칙이 매달 바꿔야 해서 비슷하게 년월로 규칙을 만들었었죠. 그런데 4자리...
년 뒷 2자리 월 2자리 의 곱의 뒷 2자리와 합의 뒷 두자리
ex) 2023년 03월 : 곱 69, 합 26 -> 6926
좋아보였는데 암호를 바꾸려면 사용자이름(보통은 아이디일 듯…) 을 바꿔야 한다는 말이 있어서 놀랐어요. 방식을 생각하면 당연한 일이긴 하지만요.