L'entropia della password significa solo che è lunga e appare / o casuale, o c'è qualcos'altro, se la password 50 numeri casuali avrà un'alta entropia o meno
L'entropia di una password è definita come il logaritmo in base 2 del numero di tentativi che un utente malintenzionato deve effettuare per essere sicuro di indovinare correttamente la password.
È un'idea della scienza della teoria dell'informazione e nel campo della sicurezza delle informazioni viene normalmente utilizzata come misura della resistenza di una password a un "attacco di forza bruta", che è dove un utente malintenzionato tenta ogni possibile password dopo l'altro.
Se è possibile un attacco di forza bruta, alla fine sempre funziona. La presa è nella parola "alla fine". Se un utente malintenzionato può forzare una password in 20 secondi, non è molto buono. Se ci vogliono due settimane, è meglio. Se occorrono due anni, la maggior parte degli attaccanti non si preoccuperà.
Una password con maggiore entropia richiederà in media più tempo alla forza bruta.
Puoi aumentare l'entropia di una password con
Una password numerica a 50 cifre ha un'entropia di circa 166. Questo sarebbe considerato davvero molto alto. Personalmente uso le password con entropia di circa 100, che è piuttosto alta. Si tratta della stessa entropia di una password numerica a 32 cifre.
Non puoi dire quanto alta sia l'entropia "abbastanza alta" senza sapere di più sul sistema specifico a cui è associata la password - dipende dalla velocità con cui l'hacker può fare supposizioni.
Supponiamo che tu usi la password per proteggere un file crittografato con 7zip e che l'attaccante abbia risorse sufficienti e usi un supercomputer Cray XE6 che può fare 55 trilioni di tentativi al secondo. Se sei un maschio americano bianco di 12 anni, hai 63 anni di aspettativa di vita. Alcuni semplici calcoli matematici ci permettono di capire che hai bisogno di un'entropia di circa 77.5 per una password, in cui Cray non si rompe, in media, nella tua vita.
Se si utilizza una password numerica, allora dovrà essere lunga almeno 24 cifre (ad es. 687374947891238403277394 ); oppure se si utilizza un caso alfanumerico misto con punteggiatura, dovrà essere lungo almeno 12 caratteri. (ad es. ! cV ~ # $ Liit4F ).
È importante ricordare, tuttavia, che gli attacchi di forza bruta non sono l'unico modo per infrangere una password e che solo l'entropia rileva se una password è buona o cattiva.
Un possibile modo di pensare all'entropia è il numero di password diverse della stessa lunghezza della tua. Quindi se la tua password è "1234", puoi calcolare il numero di "possibili" password a 4 cifre che contengono solo cifre:
10 ^ 4
Usiamo 10, perché ci sono 10 opzioni per le cifre. In generale
{Numero di opzioni} ^ {Dimensioni della password}
Quindi se il sito che stai utilizzando richiede password alfanumeriche e usi una password di 50 cifre, hai:
entropia = 36 ^ 50 = 6.53318624 × 10 ^ 77
Quindi sì. È più che abbastanza strong.
Leggi altre domande sui tag encryption