Un argomento che le persone spesso usano a favore dei gestori di password è:
Human-generated passwords have less entropy than randomly generated ones!
C'è qualche ricerca a sostegno di questo? Possiamo quantificarlo?
Ad esempio, se ho scritto 2048 1s e 0s. Quanta entropia ti aspetteresti da un umano medio?
Questo è quello che ho trovato in 30 minuti su Google Scholar.
Un sacco di carte sull'entropia del movimento umano e sull'andatura a piedi. Un sacco di carte su misurare l'entropia delle password (ai fini della visualizzazione di un misuratore di forza). Alcuni documenti parlano della quantità di entropia che un essere umano può memorizzare.
Questo articolo è piuttosto vicino e probabilmente contiene alcune risposte parziali:
Se leggo correttamente la Tabella 1, hanno scoperto che quando è permesso fare password di 8-10 caratteri, le persone tendono a selezionare le password da uno spazio di password approssimativamente 2 40 . Questo è un po 'una misura di entropia, immagino.
Ecco altri documenti che ho trovato che sono vicini allo spirito della tua domanda:
Quindi entro i 30 minuti del mio Google-Fu, dirò Sono state fatte molte ricerche sull'entropia media delle password trovate nelle perdite del database (suggerimento: è reale basso ).
Ma per quanto riguarda "qual è il meglio che può fare un cervello umano?" Sembra: No, questa ricerca non è stata eseguita.
Come menzionato nei commenti, penso che un umano scriva una stringa come questa senza troppi ID o 1 consecutivi. Ho fatto in modo che diverse persone intorno a me scrivessero una lunga stringa e nessuno ha inserito 5 o 1 o 0 consecutivi. Così ho provato a fare un calcolo per trovare un limite superiore alla tua domanda.
La probabilità che la stringa binaria lunga 2048 bit non consista in 5 consecutive 1 o 0: 4.30023800644 * 10 ^ (- 57)
Numero approssimativo di stringhe che non consta di 5 o 1 consecutivi o 0 in tutte le stringhe: 4.30023800644 * 10 ^ (- 57) * 2 ^ 2048 = 2 ^ (1860.754515) ~ 2 ^ 1861
Sulla base di questo, posso dire che il limite superiore per gli umani è pari a quello di una stringa casuale lunga 1861 bit. Se aggiungi altre condizioni, possiamo calcolare con maggiore precisione.