비밀번호 크랙 시간 계산기란?

이 도구는 공격자가 가능한 모든 조합을 하나씩 시도하는 무차별 대입(brute-force) 방식으로 비밀번호를 뚫는 데 걸리는 시간을 추정합니다. 계산은 비밀번호의 길이, 사용된 문자 집합의 크기, 그리고 공격자가 1초에 몇 번 추측할 수 있는지를 바탕으로 이루어집니다. 결과는 어디까지나 수학 모델에 기반한 대략적인 추정치입니다. 실제 공격은 사전 단어나 흔한 패턴을 활용하기 때문에, 취약한 비밀번호는 이보다 훨씬 빠르게 뚫릴 수 있습니다.

사용 방법

비밀번호 길이를 입력하고, 사용 중인 문자 종류(소문자, 대문자, 숫자, 특수문자)를 모두 체크한 뒤 공격자의 추측 속도를 설정하세요. 최신 GPU 장비는 빠른 해시에 대해 1초에 100억(10,000,000,000) 번까지 추측할 수 있는 반면, bcrypt 같은 느린 해시는 공격자를 초당 수천 번 수준으로 묶어둘 수 있습니다.

공식 설명

전체 조합 수는 문자 집합 크기 $C$를 길이 $L$만큼 거듭제곱한 값, 즉 $C^{L}$입니다. 이를 추측 속도 $g$로 나누면 최악의 경우 소요 시간이 나옵니다. 그런데 평균적으로 올바른 비밀번호는 전체 경우의 수의 절반쯤에서 발견되므로 2로 나눠 줍니다: $$t = \frac{C^{L}}{2g}$$ 비트 단위 엔트로피는 $L \times \log_{2} C$이며, 엔트로피가 1비트 늘어날 때마다 공격에 필요한 탐색량은 두 배가 됩니다.

가능한 비밀번호 수가 길이 L과 문자 집합 크기 C에 따라 기하급수적으로 증가하는 방식을 보여주는 다이어그램 — 가능한 조합 수 $C^{L}$은 비밀번호 길이에 따라 기하급수적으로 증가합니다.

계산 예시

소문자로만 이루어진 8자리 비밀번호는 26개 문자 집합을 사용하므로 조합은 $26^{8} = 208{,}827{,}064{,}576$가지입니다. 초당 10억 번 추측하는 공격자에 대해 평균 크랙 시간은 $$\frac{208{,}827{,}064{,}576}{2 \times 1{,}000{,}000{,}000} \approx 104.4\ \text{초}$$ 입니다. 여기에 대문자, 숫자, 특수문자를 추가하면 문자 집합이 94개로 늘어나 소요 시간이 극적으로 증가합니다.

문자 집합 C, 길이 L, 초당 추측 횟수 g를 예상 해독 시간 t와 연결한 플랫 인포그래픽 — 해독 시간은 문자 집합, 길이, 공격자의 추측 속도에 따라 달라집니다.

문자 집합 크기

공식의 기본값 $C$는 공격자가 한 위치에서 고려해야 할 서로 다른 문자의 개수입니다. 비밀번호가 사용할 수 있는 모든 문자 클래스 크기의 합입니다. 일반적인 조합:

문자 집합	기호	크기
소문자 (a–z)	[a-z]	26
대문자 (A–Z)	[A-Z]	26
숫자 (0–9)	[0-9]	10
일반적인 ASCII 기호	[sym]	32
소문자 + 숫자	[a-z0-9]	36
소문자 + 대문자	[a-zA-Z]	52
문자 + 숫자 (영숫자)	[a-zA-Z0-9]	62
네 가지 클래스 모두	[a-zA-Z0-9 sym]	94

32개의 "일반적인 기호"는 인쇄 가능한 ASCII 문장 부호 집합 !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~과 공백을 반영하며, 이들과 함께 62개의 영숫자는 표준 94자 인쇄 가능 ASCII 풀을 제공합니다.

크래킹 시간 해석

크래킹 시간과 비밀번호 엔트로피는 두 가지 관점에서 같은 것을 측정합니다. 무작위 비밀번호의 엔트로피(비트)는 $H = L\log_2 C$입니다. 추가된 각 비트는 필요한 추측 횟수를 두 배로 늘리므로 고정 추측 속도에서 평균 크래킹 시간도 두 배로 늘립니다. 비트 수를 대략적으로 읽는 방법:

40비트 미만 — 약함. 이 범위(예: 8자 소문자 비밀번호로 약 $\approx 37.6$ 비트)는 빠른 오프라인 하드웨어에 대해 수초에서 수일 내에 깨지므로 민감한 정보를 보호하는 데 사용하면 안 됩니다.
약 60–70비트 — 중간 정도. 우연한 오프라인 공격에는 저항하지만 잘 지원받는 GPU 클러스터로는 시간이 지나면서 도달 가능합니다.
80비트 이상 — 강함. 현재 및 예상되는 기술로 무차별 대입 공격이 불가능한 것으로 간주됩니다. 12자 전체 클래스 비밀번호는 약 78비트에 도달하고 16자는 약 105비트에 도달합니다.

NIST의 디지털 신원 지침(SP 800-63B)은 강제 복잡성 규칙보다 길이를 강조하고 긴 암호 구문 허용을 권장하며 혼합 문자 클래스 의무화보다는 위반 및 사전 목록에 대해 비밀번호를 검사하도록 권고합니다. 이는 정확히 아래의 무차별 대입 시간이 진정한 무작위 비밀번호를 가정하기 때문입니다.

중요한 주의: 이 수치는 상한입니다. 공식은 모든 문자가 전체 집합에서 균등하게 무작위로 선택된다고 가정합니다. 실제 공격자는 "aaaaaaaa"에서 시작하지 않습니다. 사전, 유출된 비밀번호 목록, 키보드 패턴, 이름, 날짜 및 예측 가능한 대체를 먼저 실행합니다. P@ssw0rd123과 같은 비밀번호는 명목상 큰 문자 집합과 길이를 가지지만 단어 목록에 나타나기 때문에 거의 즉시 크래킹됩니다. 계산된 시간은 인간이 선택한 것이 아니라 무작위 프로세스로 생성된 비밀번호에만 의미가 있는 것으로 처리하세요.

이것은 특정 계정의 안전을 보장하지 않는 일반적인 보안 정보입니다. 강력하고 고유한 비밀번호와 다중 인증을 함께 사용하세요.

자주 묻는 질문

왜 2로 나누나요? 무차별 대입은 전체 키 공간 어딘가에서 비밀번호를 찾아냅니다. 평균적으로는 절반 지점에서 발견되므로, 예상 소요 시간은 최대 시간의 절반이 됩니다.

이 결과가 보장된 수치인가요? 아닙니다. 이 계산기는 비밀번호가 완전히 무작위라고 가정합니다. 재사용된 비밀번호, 사전 단어, 패턴 기반 비밀번호는 길이와 상관없이 훨씬 빠르게 뚫립니다.

문자 집합 크기는 어떻게 골라야 하나요? 실제로 사용하는 문자 종류만 체크하세요. 여기서 특수문자는 흔히 쓰이는 구두점 32개 집합으로 가정합니다.

비밀번호 크랙 시간 계산기

계산 입력

공식

Password Entropy (bits)

결과