Apa itu entropi
Entropi adalah nilai yang menyatakan jumlah kemungkinan kata sandi dalam skala log2 (bit). Misalnya, 40 bit berarti sekitar 1 triliun kemungkinan, dan 60 bit berarti sekitar satu triliun triliun kemungkinan.
Entropi kira-kira dihitung sebagai 'panjang × log2(ukuran kumpulan karakter)'. Menambah panjang adalah cara paling pasti untuk meningkatkan entropi.
Brute force vs serangan kamus
Brute force mencoba semua kombinasi yang mungkin satu per satu, sehingga semakin tinggi entropi, semakin lama waktu yang dibutuhkan hingga tidak realistis.
Serangan kamus lebih dulu mencoba kata sandi umum, kata-kata, dan daftar bocoran. Karena itu, sepanjang apa pun, kata atau pola yang umum bisa dibobol seketika. Inilah alasan keacakan itu penting.
Hash dan kebocoran
Situs yang dibuat dengan baik menyimpan kata sandi sebagai hash, bukan teks polos. Namun jika data bocor, penyerang dapat mencoba miliaran tebakan per detik secara offline.
Dalam situasi ini, kata sandi yang panjang dan acak membuat biaya pembobolan menjadi tak tertanggungkan sehingga praktis tetap aman.
Seberapa kuat yang dibutuhkan
Berikut patokan praktisnya.
- Di bawah 28 bit: sangat lemah (langsung dibobol)
- 40–60 bit: cukup (akun tidak penting)
- 60–100 bit: kuat (memadai untuk sebagian besar akun)
- 100 bit atau lebih: sangat kuat (keamanan jangka panjang)