Entropia è un termine usato spesso in relazione alla sicurezza della password e agli attacchi di forza bruta, ma è un argomento che può ottenere complicato rapidamente . Qual è il modo migliore per descrivere l'entropia della password (che cos'è e come viene calcolata) in termini comprensibili per un laico?
Non sono sicuro che ti possa essere d'aiuto, ma una volta sono riuscito a descrivere l'entropia di un bambino.
Dopo aver detto che l'entropia è una misura del caos nel sistema (per un gruppo di persone), un 12 (anno più o meno) ha detto di non capirmi. Ho risposto con "Beh, quando la tua stanza è disordinata, l'entropia è alta, ma quando pulisci la tua stanza, l'entropia è bassa, allora tutto è in ordine." Quindi, quando un ladro arriva nella tua stanza cercando di rubare i compiti, quando la stanza è pulita e l'entropia è bassa, lo troverà facilmente - di solito è sulla scrivania o nella borsa della scuola.Infica, quando la tua stanza è disordinata e i tuoi compiti sono in giro, il ladro non lo sa esattamente dove è e non può trovarlo rapidamente. Se l'entropia è abbastanza alta (diciamo collasso del tetto), è quasi impossibile trovarvi un pezzo di carta.
Alta entropia: trovare un ago in un pagliaio.
Nel gioco - Indovina chi sono, l'entropia dell'accattonaggio è molto alta, ma dopo poche domande entropia è sempre più bassa finché qualcuno non ha abbastanza informazioni per indovinare chi è la persona (o in sicurezza, dopo scie (ed errori ) e prove, per indovinare qual è la password).
La parte del profano viene dopo, ma prima, diventa scientifica.
Ho faticato a capire il concetto di entropia matematica, ma, fortunatamente per me, lavoro con un ingegnere. Quando gli ho chiesto di spiegarlo, mi ha indirizzato verso i grafici di due leggi: distribuzione uniforme e < a href="http://en.wikipedia.org/wiki/Normal_distribution"> distribuzione normale .
Conoscendo l'asse Y si descrive una misurazione della probabilità di indovinare la password, e l'asse X descrive il valore di ciò che la password è ... in una distribuzione uniforme ( vedi diagramma ), l'entropia è alta, perché non importa quale sia la password, la probabilità di indovinarlo è lo stesso valore (staticamente la stessa possibilità). In una distribuzione normale ( vedi schema ) , la probabilità di indovinare la password cambia ... ad esempio, sei ~ 70% probabilmente in grado di indovinare la password (sorta di).
Per il laico .... Dov'è Waldo / Wally?
Alta entropia:
∴ Hai poche possibilità di identificare Waldo.
Entrata bassa:
∴ Hai una possibilità molto alta di identificare Waldo.
Salterei del tutto l'idea di entropia e parlo solo di quanto sarebbe difficile indovinare la password. Fondamentalmente, digli che l'entropia della password è una misura di quante password dovrebbe indovinare una persona prima di colpire la tua.
Una password come "password" o "123456" sarebbe praticamente la prima ipotesi di qualcuno. Una password come "6love" potrebbe essere nelle prime migliaia di ipotesi. Una password come "1974! JhT" richiederebbe miliardi di ipotesi.
Per una password, "entropia" è correlata a "indovinabilità". L'entropia bassa è più facile da indovinare, l'alta entropia è più difficile da indovinare.
L'aspetto principale è la casualità. Una password non casuale, come "secret", è facilmente intuibile. Una password casuale, come "8jh $ # F" è più difficile da indovinare.
Anche la lunghezza ha una parte. "Il segreto di un uomo della vita" non è molto più casuale del "segreto", ma la lunghezza aggiuntiva significa che è più difficile per un attacco di forza bruta spezzarsi, e quindi ha una migliore "entropia".
Quindi, per un laico: una buona password ha un'alta entropia, il che significa che è difficile indovinare, usa più tipi di carattere (simbolo del numero superiore-inferiore), e più a lungo è meglio.
Leggi altre domande sui tag passwords brute-force entropy
