Tenga en cuenta que FIPS 181 es de 1993, que es antiguo, en términos de seguridad informática.
El documento no dice cuánta entropía tienen las contraseñas. Sí dice:
El programa puede crear aproximadamente 18 millones de contraseñas de 6 caracteres, 5.7 mil millones de 8 caracteres y 1.6 billones de 10 caracteres.
La pregunta es si esas contraseñas son todas igualmente probables. Y de hecho
La respuesta es no, de acuerdo con Un nuevo ataque contra pronunciables al azar Generadores de contraseñas .
Pero lo que eso nos da es un límite superior en la entropía. log2 (1.6e12) es 40.5, por lo que lo mejor que puede esperar es alrededor de 40 bits de entropía con una contraseña FIPS 181 de 10 caracteres. El cálculo de Stephen de 64 bits para 16 caracteres parece correcto, ya que esta estimación equivale a aproximadamente 4 bits de posible entropía por carácter, aunque nuevamente eso sería un límite superior. 20 caracteres darían un máximo de 80 bits de entropía.
Sería mejor usar algo como el programa apg , que incluye mayúsculas, dígitos y caracteres especiales de forma predeterminada y puede solicitar contraseñas pronunciables o no.
Miré Pauta de autenticación electrónica NIST SP 800-63-2 (agosto de 2013) y no vi nada como " NIST recomienda 80 bits para las contraseñas más seguras ". Establece muchos escenarios y condiciones. Sugiero leerlo y aplicarlo a su modelo de amenaza .
RFC 4086 - Requisitos de aleatoriedad para la seguridad presenta algunos ejemplos de modelos de amenazas y cómo calcular la entropía deseada para cada uno. Las respuestas varían entre 29 bits y 128 bits de entropía necesarios.
Ver también
¿Qué tan segura es una contraseña pronunciable? En medios de entropía - Cryptography Stack Exchange