Что такое энтропия
Энтропия — это количество возможных вариантов пароля, выраженное в логарифмической шкале по основанию 2 (битах). Например, 40 бит означают около триллиона вариантов, а 60 бит — около квинтиллиона вариантов.
Энтропия рассчитывается примерно как «длина × log2(размер набора символов)». Увеличение длины — самый надёжный способ повысить энтропию.
Перебор против словарной атаки
Перебор — это способ последовательного перебора всех возможных комбинаций, поэтому чем выше энтропия, тем нереально долго он занимает.
Словарная атака сначала пробует распространённые пароли, слова и списки утечек. Поэтому, каким бы длинным ни был пароль, если это распространённое слово или шаблон, он взламывается мгновенно. Вот почему важна случайность.
Хеши и утечки
Хорошо сделанные сайты хранят пароли не в виде открытого текста, а в виде хешей. Но если данные утекают, злоумышленник может делать миллиарды попыток в секунду в офлайне.
В этом случае длинный и случайный пароль делает стоимость взлома неподъёмной, оставаясь фактически безопасным.
Насколько надёжным нужно быть
Практические ориентиры таковы.
- Менее 28 бит: очень слабо (взламывается мгновенно)
- 40–60 бит: средне (для неважных аккаунтов)
- 60–100 бит: надёжно (достаточно для большинства аккаунтов)
- 100 бит и больше: очень надёжно (долгосрочная безопасность)