비밀번호 강도는 어떻게 측정되나요?

엔트로피(무작위성 비트), 패턴 감지(키보드 패턴, 사전 단어, 날짜), 알려진 유출 비밀번호 목록과의 대조, 크래킹 시간 추정을 종합적으로 분석합니다. 단순히 문자 유형 수만으로는 정확한 강도를 알 수 없습니다.

복잡한 규칙보다 길이가 더 중요한가요?

네. 'correct horse battery staple'(44자)은 'Tr0ub4dor&3'(11자)보다 훨씬 강력합니다. 길이가 엔트로피에 지수적으로 기여하기 때문입니다. NIST도 복잡성 규칙보다 길이를 우선시합니다.

크래킹 시간 추정은 정확한가요?

추정치는 현재 하드웨어 기준입니다. 공격 방식(온라인/오프라인), 해싱 알고리즘, 하드웨어 성능에 따라 크게 달라집니다. 참고 지표로 활용하되, 최소 80비트 엔트로피를 목표로 하세요.

l33t 치환(a→@, e→3)이 보안을 높이나요?

거의 효과가 없습니다. 공격자는 일반적인 l33t 치환을 사전에 포함시킵니다. 'p@ssw0rd'는 'password'와 거의 같은 강도입니다. 진정한 무작위성이 예측 가능한 치환보다 항상 우월합니다.

유출된 비밀번호를 어떻게 확인하나요?

Have I Been Pwned(haveibeenpwned.com)에서 이메일이나 비밀번호의 유출 여부를 확인할 수 있습니다. 비밀번호 확인 시 k-anonymity를 사용하여 전체 비밀번호가 전송되지 않으므로 안전합니다.

Claude/Cursor에서 이 도구를 어떻게 사용하나요?

AI 에이전트 설정에 'npx -y @toolypet/mcp-server@latest'로 Toolypet MCP 서버를 추가하세요. 그런 다음 AI에게 password_strength_checker 도구를 password 파라미터와 함께 사용하도록 요청하세요.

MCP란 무엇이며 Toolypet은 왜 지원하나요?

MCP(Model Context Protocol)는 Claude나 Cursor 같은 AI 에이전트가 외부 도구를 사용할 수 있게 하는 개방형 표준입니다. Toolypet은 MCP를 지원하여 65개 이상의 모든 도구를 브라우저와 AI 에이전트 모두에서 사용할 수 있게 하며, 계산과 작업을 AI 워크플로우에 원활하게 통합합니다.

비밀번호 강도 검사기 | Toolypet

무료 온라인 비밀번호 강도 검사기. 비밀번호 보안 수준을 분석하고 MCP로 자동화하세요.

이것은 무엇인가요?

비밀번호의 강도를 분석하고 점수를 매기는 도구입니다. 엔트로피 계산, 일반적인 패턴 감지, 사전 공격 취약성 검사, 무차별 대입 크래킹 예상 시간을 제공하여 비밀번호의 실제 보안 수준을 평가합니다.

입력

비밀번호 입력

비밀번호는 로컬에서만 분석되며 서버로 전송되지 않습니다

미리보기

비밀번호를 입력하여 분석 결과를 확인하세요

사용 방법

비밀번호를 입력 필드에 입력하세요. 도구가 실시간으로 강도를 분석하여 점수(매우 약함~매우 강함), 엔트로피(비트), 크래킹 예상 시간, 발견된 약점을 표시합니다. 개선 제안을 참고하여 더 강력한 비밀번호를 만드세요.

심층 분석

비밀번호 강도 측정은 단순한 규칙 검사를 넘어서야 합니다. 'P@ssw0rd1!'은 대문자, 소문자, 숫자, 특수문자를 모두 포함하지만, 가장 흔한 패턴 중 하나로 사전 공격에 즉시 깨집니다. zxcvbn(Dropbox 개발)은 패턴 기반 강도 추정의 업계 표준입니다. 키보드 패턴(qwerty), 반복(aaa), 시퀀스(123), 사전 단어, 날짜, l33t 치환(a→@, e→3) 등을 감지합니다. 각 패턴의 추측 횟수를 계산하여 현실적인 크래킹 시간을 추정합니다. 크래킹 시간 추정은 공격 시나리오에 따라 크게 다릅니다. 온라인 공격(속도 제한 있음, 초당 100회)에서 10^8 추측이 필요한 비밀번호는 약 30년이 걸리지만, 오프라인 GPU 공격(초당 10^10회)에서는 10초면 충분합니다. 서버 측 해싱 알고리즘이 이 차이를 만듭니다. Have I Been Pwned(HIBP) 데이터베이스에는 80억 개 이상의 유출된 비밀번호가 있습니다. k-anonymity 프로토콜을 사용하면 전체 비밀번호를 전송하지 않고 유출 여부를 확인할 수 있습니다: SHA-1 해시의 처음 5자만 API에 전송하고, 반환된 해시 목록에서 로컬로 비교합니다.

예시

비밀번호 평가: 현재 사용 중인 비밀번호의 실제 강도 확인
패턴 감지: 'Summer2024!'같은 패턴이 왜 약한지 확인
개선 추적: 비밀번호를 수정하면서 실시간으로 강도 변화 확인
정책 검증: 조직의 비밀번호 정책에 부합하는지 확인

Toolypet MCP 서버 설치

하나의 명령어로 AI 에이전트에 Toolypet 도구를 추가하세요. Claude Desktop, Claude Code, Cursor 및 모든 MCP 호환 클라이언트에서 사용 가능합니다.

빠른 시작

npx -y @toolypet/mcp-server@latest

MCP 클라이언트 설정

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

도구 이름:mcp__toolypet__password_strength_checker

프롬프트 예시

Check the strength of the password 'MyP@ssw0rd2025!'

입력 예시

{
  "password": "MyP@ssw0rd2025!"
}

출력 예시

{
  "score": 4,
  "strength": "strong",
  "entropy": 82.5,
  "crackTime": "centuries",
  "suggestions": [],
  "hasUppercase": true,
  "hasLowercase": true,
  "hasNumbers": true,
  "hasSymbols": true
}

자주 묻는 질문

비밀번호 강도는 어떻게 측정되나요?: 엔트로피(무작위성 비트), 패턴 감지(키보드 패턴, 사전 단어, 날짜), 알려진 유출 비밀번호 목록과의 대조, 크래킹 시간 추정을 종합적으로 분석합니다. 단순히 문자 유형 수만으로는 정확한 강도를 알 수 없습니다.
복잡한 규칙보다 길이가 더 중요한가요?: 네. 'correct horse battery staple'(44자)은 'Tr0ub4dor&3'(11자)보다 훨씬 강력합니다. 길이가 엔트로피에 지수적으로 기여하기 때문입니다. NIST도 복잡성 규칙보다 길이를 우선시합니다.
크래킹 시간 추정은 정확한가요?: 추정치는 현재 하드웨어 기준입니다. 공격 방식(온라인/오프라인), 해싱 알고리즘, 하드웨어 성능에 따라 크게 달라집니다. 참고 지표로 활용하되, 최소 80비트 엔트로피를 목표로 하세요.
l33t 치환(a→@, e→3)이 보안을 높이나요?: 거의 효과가 없습니다. 공격자는 일반적인 l33t 치환을 사전에 포함시킵니다. 'p@ssw0rd'는 'password'와 거의 같은 강도입니다. 진정한 무작위성이 예측 가능한 치환보다 항상 우월합니다.
유출된 비밀번호를 어떻게 확인하나요?: Have I Been Pwned(haveibeenpwned.com)에서 이메일이나 비밀번호의 유출 여부를 확인할 수 있습니다. 비밀번호 확인 시 k-anonymity를 사용하여 전체 비밀번호가 전송되지 않으므로 안전합니다.
Claude/Cursor에서 이 도구를 어떻게 사용하나요?: AI 에이전트 설정에 'npx -y @toolypet/mcp-server@latest'로 Toolypet MCP 서버를 추가하세요. 그런 다음 AI에게 password_strength_checker 도구를 password 파라미터와 함께 사용하도록 요청하세요.
MCP란 무엇이며 Toolypet은 왜 지원하나요?: MCP(Model Context Protocol)는 Claude나 Cursor 같은 AI 에이전트가 외부 도구를 사용할 수 있게 하는 개방형 표준입니다. Toolypet은 MCP를 지원하여 65개 이상의 모든 도구를 브라우저와 AI 에이전트 모두에서 사용할 수 있게 하며, 계산과 작업을 AI 워크플로우에 원활하게 통합합니다.