O que é entropia
A entropia expressa o número de senhas possíveis em escala logarítmica de base 2 (bits). Por exemplo, 40 bits equivalem a cerca de 1 trilhão de possibilidades, e 60 bits, a cerca de 1 quintilhão.
A entropia é calculada aproximadamente por 'comprimento × log2(tamanho do conjunto de caracteres)'. Aumentar o comprimento é a forma mais certeira de elevar a entropia.
Força bruta vs. ataque de dicionário
A força bruta tenta todas as combinações possíveis, uma a uma, então, quanto maior a entropia, mais irrealisticamente demorado ela se torna.
O ataque de dicionário tenta primeiro senhas comuns, palavras e listas de vazamentos. Por isso, mesmo uma senha longa cai num instante se for uma palavra ou padrão comum. É por isso que a aleatoriedade importa.
Hash e vazamentos
Sites bem feitos armazenam senhas como hash, e não em texto puro. Mas, se os dados vazarem, o invasor pode fazer bilhões de tentativas por segundo, offline.
Nessa situação, uma senha longa e aleatória torna o custo de quebra inviável e, na prática, ela permanece segura.
Quão forte é preciso ser
Um critério prático é o seguinte.
- Menos de 28 bits: muito fraca (quebrada na hora)
- 40–60 bits: razoável (contas sem importância)
- 60–100 bits: forte (suficiente para a maioria das contas)
- Mais de 100 bits: muito forte (segurança de longo prazo)