Руководство по безопасности

Энтропия паролей и принципы взлома

Энтропия — это мера того, насколько пароль непредсказуем, позволяющая оценить сложность его взлома.

Что такое энтропия

Энтропия — это количество возможных вариантов пароля, выраженное в логарифмической шкале по основанию 2 (битах). Например, 40 бит означают около триллиона вариантов, а 60 бит — около квинтиллиона вариантов.

Энтропия рассчитывается примерно как «длина × log2(размер набора символов)». Увеличение длины — самый надёжный способ повысить энтропию.

Перебор против словарной атаки

Перебор — это способ последовательного перебора всех возможных комбинаций, поэтому чем выше энтропия, тем нереально долго он занимает.

Словарная атака сначала пробует распространённые пароли, слова и списки утечек. Поэтому, каким бы длинным ни был пароль, если это распространённое слово или шаблон, он взламывается мгновенно. Вот почему важна случайность.

Хеши и утечки

Хорошо сделанные сайты хранят пароли не в виде открытого текста, а в виде хешей. Но если данные утекают, злоумышленник может делать миллиарды попыток в секунду в офлайне.

В этом случае длинный и случайный пароль делает стоимость взлома неподъёмной, оставаясь фактически безопасным.

Насколько надёжным нужно быть

Практические ориентиры таковы.

  • Менее 28 бит: очень слабо (взламывается мгновенно)
  • 40–60 бит: средне (для неважных аккаунтов)
  • 60–100 бит: надёжно (достаточно для большинства аккаунтов)
  • 100 бит и больше: очень надёжно (долгосрочная безопасность)
К списку руководств