강력한 비밀번호만으로 부족할 때 2단계 인증(2FA)을 쓴다. 근데 종류가 여러 개라 뭘 써야 할지 모르겠어서 비교해봤다.
SMS 인증
가장 흔한 방식. 로그인하면 휴대폰으로 숫자 6자리가 온다. 편하긴 한데, SIM 스와핑 공격(해커가 통신사에서 내 번호로 유심 재발급받는 것)에 취약하다. 보안 전문가들은 비추천한다.
인증 앱(TOTP)
Google Authenticator, Authy 같은 앱이 30초마다 새 코드를 생성한다. SMS보다 안전하고 인터넷 없어도 된다. 단점은 폰 분실하면 계정 접근이 어려워질 수 있다는 것. 백업 코드 잘 보관해야 한다.
하드웨어 키(FIDO2)
YubiKey 같은 물리적 장치를 USB에 꽂아서 인증한다. 피싱에도 안전하고 가장 강력한 방식이다. 근데 키를 사야 하고(5만원 정도), 항상 들고 다녀야 한다.
내 선택
금융, 이메일 같은 중요 계정은 인증 앱, 그 외에는 SMS로 쓰고 있다. 복잡한 비밀번호 + 2단계 인증 조합이면 웬만한 해킹은 막을 수 있다.
인증 앱 추천
Google Authenticator는 단순하고, Authy는 클라우드 백업 지원, Microsoft Authenticator는 MS 계정에 최적화. 본인 상황에 맞게 선택하면 된다. 복잡한 비밀번호와 인증 앱의 조합이 현재로서는 가장 현실적이고 강력한 보안 방식이다.
백업 코드 잊지 말기
인증 앱 설정할 때 주는 백업 코드를 안전한 곳에 저장해두자. 폰 분실하면 이게 없으면 계정 접근이 어려워진다.
마무리 정리
비밀번호 생성기로 복잡하게 만들고, 관리 앱에 저장하고, 2단계 인증 걸어두는 것. 이 세 가지가 개인 보안의 기본이다. 귀찮아도 지금 시작하면 나중에 편하다. 한 번 털리면 그 수습이 훨씬 힘들다.