En esta página en el sitio web de OWASP, hay una frase sobre la entropía de identificación de sesión que encuentro bastante extraño:
El valor del ID de sesión debe proporcionar al menos 64 bits de entropía (si se utiliza un buen PRNG, se estima que este valor tiene la mitad de la longitud del ID de sesión ).
Lo que entiendo es que si tu ID de sesión está formada por 128 bits aleatorios (dados por un buen PNRG), lo que obtienes es solo 64 bits de entropía .
Pensé que si obtienes 128 bits aleatorios de un buen PNRG, podrías esperar obtener algo muy cercano a los 128 bits de entropía. ¿Entendí algo mal?