최고의 무료 패스워드 매니저 Bitwarden – 비밀번호 관리자 강력 추천
Contents
패스워드 매니저 꼭 사용해야하는 이유
무조건 사용하세요. 공짜예요. 안전해요.
여러분 아직 패스워드 매니저를 사용하지 않고 계시다면 이 글을 다 읽고 무조건 설치부터하세요. 오늘 알려드릴 비트워든(Bitwarden)은 무료, 안전함, 기능 거의 모든 부분에서 자신있게 강력 추천드릴 수 있는 비밀번호 관리 서비스 앱 입니다. 제가 진작 포스팅해야지 하면서 시간이 많이 흘러버렸습니다.
아마도 저의 블로그를 방문하시는 분들은 대부분 사용하고 계시겠죠?
뒤늦게 강력한 프라이버시 보호를 위해 비번 관리 앱이 필수인 것을 알게되신 분들은 뭘 사용해야할지 몰라 찾아보실거예요. 이상한 글들도 적지 않죠. 저와 인연이 닿는 분들이 귀중한 시간을 따로 쓰지 않고 한방에 좋은 무료 서비스를 사용할 수 있도록 도와드리겠습니다.
“왜 사용해야하죠?” – 계정 털리는 이유
많은 사람들이 새로운 것에 적용하는게 귀찮아서 미루다 나중에 크게 당한 뒤에 사용하게 됩니다.
여러분의 네이버 계정, 인스타그램 등 은 어떻게 해킹되는 걸까요?
비밀번호 재사용
다양한 경로가 있겠지만 취약한 사이트가 해킹으로 털리게되면 거기서 얻은 로그인 정보를 다른 사이트에도 대입해서 계정을 탈취하는데 이걸 ‘크리덴셜 스터핑 (Credential Stuffing)‘이라고 해요. 어렵게 생각할거없고 비번 하나 알아내면 여기저기 다 갖다 붙여보는 겁니다.
우리 주변만 보더라도 나이대에 상관없이 비밀번호 재사용(User Password Reuse) 하는 사람들이 상당히 많습니다. 무조건 지켜야하는 온라인 보안 철칙 중 하나는 ‘모든 사이트에 다른 비밀번호 사용’ 입니다. 보안 관련 보고서나 통계를 보면 하나의 비밀번호를 여러군데 사용하는 재사용이 1위로 나오는데 전 세계 공통입니다. 국가, 인종, 나이, 성별 등에 상관없이 다들 비슷합니다.
그런데 100개의 사이트에 100가지 비밀번호를 사용하면 인간의 뇌로 기억하기가 어렵겠죠? 그래서 비밀번호 관리 앱을 사용하는거예요.
앱을 정말 사용하기 싫다면 방법은 있습니다.
자기 만의 규칙을 설정해서 패스워드 생성하면 되긴해요. 제가 예전에 그랬거든요. 보통 해외 해커들이 털고 다니기 때문에 한글을 섞어서 사용했습니다.
과거에 사용했던 규칙은 사이트 이름 한글로+자주 사용하는 비번+도메인 주소 글자수+!@#(특수문자 123)
- Naver: spdlqj-password-5!@#
- Google: rnrmf-password-6!@#
이제 해커들이 AI를 사용할테니 패턴 분석도 쉽게 되겠지만 과거에는 저렇게해서 요긴하게 사용했습니다. 연쇄적으로 해킹당한 적이 없었던 것 같아요. 비번 관리 좀 하라고 패스워드 데이라는 것도 생겼어요.
이렇게 웹 브라우저 위에 아이콘 눌러서 각 사이트 별로 멀티 계정까지 전부 쉽게 관리할 수 있고, 아이디와 비밀번호 입력 필드에서 자동 입력도 되기 때문에 사용하지 않을 이유가 전혀없어요.
감염
요즘엔 많이 줄었지만 과거에는 악성코드, 악성 앱으로 인해서 개인정보 피해가 많이 심각했습니다. 특히 자유도가 높은 안드로이드 폰에서 더 극성이었죠. APK 파일만 있으면 앱을 쉽게 설치할 수 있어서 누군가가 속이고 배포, 제공하는 것을 깔았다가 큰 피해를 입게된 사례가 많습니다. 대표적인 케이스가 몸캠 피싱이예요.
피싱
인증 요구, 공식 사이트 주소인것처럼 속여서 아이디와 비밀번호를 탈취하는 케이스도 과거에 많았어요. 요즘은 많이 줄어든 것 같아요.
유출 사고
기업에서 데이터베이스가 털려 사용자들의 개인정보, 로그인 정보가 유출되는 사례도 상당히 많죠. 국가 인프라나 다름없는 통신사들도 당해버리니 우리 정보가 안전하기 쉽지 않습니다. 그래서 모든 사이트의 비번을 다르게 관리해야하는거예요.
비보안 네트워크 사용
암호 제대로 걸려있는 공유기는 괜찮습니다. 네트워크 소유자가 제대로 관리안하면 다른 누군가(?)가 관리하게 되겠죠. 그래서 저는 외부에서 제가 잘 모르는 와이파이 망을 사용할때는 VPN을 무조건 사용합니다. 이는 유료 VPN을 사용하지 않아도 괜찮으며 집 공유기에 VPN 설정 후 외부에서 접속하는 용도로 쓰셔도 됩니다.
[공용 와이파이] – [집 VPN] – [인터넷] 이 경로로 통신하게 되는데 사용하지 않는 것 보다 훨씬 안전해집니다. 외부에선 DNS도 1.1.1.1 같은 것으로 바꿔주면 더 좋아요. – 공유기에 VPN 설정하기 보고 따라해보세요. OpenVPN 보다는 Wireguard가 더 좋습니다.
Bitwarden
비트워든은 우리나라에서도 꽤 유명하고, 해외에서도 가장 많이 추천받는 비밀번호 관리 앱이기도 합니다. 아래 조건을 충족하는 서비스는 거의 유일하다고 볼 수 있습니다.
- 오픈소스
- 완전 무료
- 충분한 기능
- 호환성
- 안전한 온라인 동기화
- 본인 서버에서 서비스 돌릴 수 있음
비트워든 무료 유료 차이
원래 $1 달러였는데 꽤 올라버렸네요; 리뷰 작성하다가 좀 당황.. 1년 플랜 $10여서 진짜 혜자였는데 Annual Plan이 보이지 않네요.
실사용에서 차이나는 가장 핵심적인 기능은 2차 인증(TOTP) 내장입니다. 사용이 훨씬 편리해지긴한데, 따로 사용하는게 보안에 더 유리하긴해요.
TOTP가 뭐냐면 위 이미지에 보이는 2차 인증으로 사용하는 6자리 일회용 패스워드를 말해요.
무료 버전도 기기 접속 제한 없고, 패스키 관리, 동기화 등등 충분합니다.
| 무료 | 프리미엄 | |
|---|---|---|
| 핵심 기능 | ✅ | ✅ |
| 암호화된 파일 공유 | 텍스트 전용 | 텍스트 및 파일 |
| 2단계 로그인 | 최대 5개의 하드웨어 보안 키, 이메일, 인증 앱 | 최대 10개의 하드웨어 보안 키, Yubico OTP, Duo, 이메일, 인증 앱 |
| 이메일 별칭 통합 | ✅ | ✅ |
| 암호화된 파일 첨부 | ⛔ | 5GB(확장 가능) |
| 통합 인증기(TOTP) | ⛔ | ✅ |
| 상태 보고서 | 데이터 유출 보고서만 | ✅ |
| 비상 접근 | ⛔ | ✅ |
| 우선 지원 | ⛔ | ✅ |
이렇게 글로만 봐선 어려워요. 가입하고 앱, 웹 브라우저 확장프로그램 설치 후 사용해보면 쉽습니다.
확장프로그램
- 크롬: https://chromewebstore.google.com/detail/bitwarden-password-manage/nngceckbapebfimnlniiiahkandclblb
- 파이어폭스: https://addons.mozilla.org/en-US/firefox/addon/bitwarden-password-manager/
- 데스크탑(윈도우, 맥, 리눅스): https://bitwarden.com/download/#downloads-desktop
- 모바일 앱
Self-Hosting
비트워든 또 하나의 큰 장점은 내 나스, 서버에 직접 올려서 사용할 수 있다는 거예요.(데이터 주권) – https://github.com/dani-garcia/vaultwarden
- 장점
- 유료 기능 다 무료로 사용 가능
- 모든 데이터가 내 서버에 저장되므로 더 안전
- 단점
- 귀찮음. (도메인 구매, 연결, 업데이트 유지관리까지..)
저는 Vaultwarden(셀프 호스팅 버전)을 메인으로 사용하다 지금은 1password를 사용중이지만 지금도 세컨으로 쓰고있습니다.
비트워든 사용법은 워낙 간단하고 설명이 필요없어서 따로 내용을 넣지 않을게요.
마스터 패스워드
가장 중요한 것!!!!!
소중한 정보를 모두 담아놓는 앱이기 때문에 이 패스워드 관리 앱을 잠그는 마스터 패스워드는 30-40자 이상 길게 만드세요!! 그리고 절대 잊지 않아야 합니다. 제가 추천하는 방식은 특수문자, 숫자, 대문자, 소문자 이렇게 섞어서 하는 것 보다는 본인이 타이핑 하기도 편하고 잊지 않을 단어 조합으로 하시는 것을 추천해요.
예를 들면
- djacjdrkdfurgks-qlxmdnjems-qlalfqjsgh-goaqjrj-vlwk (*엄청강력한-비트워든-비밀번호-햄버거-피자)
- rkddkwl-qhaqkfka-skemfdl-dkapflzksh 강아지-봄바람-나들이-아메리카노
긴게 제일 중요해요. 꼭 특문 섞어서 복잡하게 하지 않아도 됩니다.
각 사이트를 가입할 땐 패스워드 앱이 알아서 내가 원하는 조합으로 복잡하게 만들어주니 딸깍 한번이면 됩니다.
<주의!> 모든 데이터는 종단간 암호화로 저장되기 때문에 마스터 비번을 잊어버리면 Bitwarden 회사에서도 내용을 찾아줄 수 없습니다.
다른 비밀번호 관리 앱
종류가 굉장히 많지만 이쪽 시장은 무료=Bitwarden, 유료=1Password, Bitwarden 거의 이게 가장 좋은 선택지로 보입니다.
그 외에 오프라인 전용 앱도 하나 알아두면 좋아서 소개해드립니다.
1Password
이게 1Password 화면인데 이쁘죠? 세부적인 기능 때문에 메인으로 사용하고 있습니다. 1년 결제시 월 2.99달러로 비트워든에 비해서 비싼 편이긴 하지만 저에겐 다른 대안이 없어서 절대 못 떠나고 있습니다. – 1password 리뷰 한번 읽어보세요. 90% 이상의 유저에게는 Bitwarden으로 차고 넘친다고 생각합니다.
Keepass
난 온라인에 저장된거 절대 못 믿는다. 오프라인에서만 사용할거야. 하시는 분들에게 적합합니다.
원조 KeePass – https://keepass.info/
조금 올드한 인터페이스지만 질리지 않고 오히려 더 신뢰감 느껴지는? 기분 ㅎㅎ 로컬 중심으로 관리하시려면 키패스가 가장 유명하고 추천해드릴만 합니다. 2003년에 만들어졌다고해요.
- 윈도우 전용
- 모든 비밀번호는 .kdbx라는 단일 암호화 파일에 모두 저장
- 암호화
- AES-256 / ChaCha20
- Argon2 / AES-KDF
- 메모리 하드닝 지원
- 필드: 아이디, 비밀번호, URL, 메모, 커스텀 필드
- 포터블 버전 지원
- 자동 입력, 단축키 지원
- 오픈소스!
그런데 요즘에는 KeePassXC를 더 많이 사용합니다.
KeePassXC는 동일하게 kdbx 파일 호환되면서 더 현대적으로 재탄생되었고 윈도우, 맥, 리눅스 모두 지원합니다.
물론 키패스도 나스, Syncthing 등으로 여러대의 기기에서 사용이 가능합니다. 다만 모바일 사용이 불편하죠. 안드로이드 유저는 KeePassDX를 사용하시면 됩니다. 아이폰 유저는 Strongbox를 사용한다는데 제가 직접 써보진 않았어요.
로컬 전용은 불편함이 따를 수 밖에 없기 때문에 결국 안전성을 검증받은 클라우드 서비스로 가게됩니다. 저도 로컬은 사용하다가 포기했어요. 만약에 나중에 Bitwarden, 1Password같은 탑티어 서비스가 불안해진다면 다시 키패스를 사용할지도 모르겠네요.
아직 댓글이 없습니다