L'entropia dei dati dipende dall'osservatore: non esiste una misurazione assoluta dell'entropia. È persino discutibile se qualcosa nell'universo sia o meno casuale, e la "casualità" (o, più precisamente, legata all'entropia, l'imprevedibilità ) è la fonte o l'entropia.
L'imprevedibilità è il termine operativo: difficile da prevedere per qualcuno.
Se si usa il Mersenne Twister, ad esempio, conoscere il seme della sequenza casuale predice perfettamente l'intera sequenza - quindi la password "casuale" è composta da 64 bit di entropia (se si utilizza la versione a 64 bit, cioè ).
Se usi i dadi, l'entropia deriva dal numero di volte in cui hai tirato i dadi e il gioco è fatto.
Sfortunatamente, quando diventa una "password", la fonte di entropia è oscurata.
Ad esempio: un codice sicuro a tre valori in cui ogni valore è nell'intervallo [0,99]
ha 3*log2(100)
bit di entropia. Fino a quando non avrai appreso che hanno selezionato una parola di 6 caratteri e utilizzato una tastiera del telefono per trasformarla in numeri, e ora l'entropia è log2(numberOfSixLetterWords)
.
In breve, le ipotesi utilizzate per creare una password sono così fondamentali per la sua entropia e così oscurate dall'aspetto immediato della password che in realtà non puoi stimarla ; puoi sempre ottenere un limite superiore dell'entropia della password.