Las personas usan reglas básicas y una comprensión de las contraseñas para responder a esta pregunta. Los cálculos de entropía de contraseñas requieren la comprensión del proceso aleatorio utilizado para generar las contraseñas.
Reglas-de-Thumb
La sugerencia en estos días es tener una contraseña de 8 a 10 caracteres con una combinación de mayúsculas, minúsculas y números. Los caracteres deben elegirse al azar y no incluir palabras o las primeras letras de una frase. Si está realmente preocupado por la seguridad, es posible que tenga una contraseña de 20 caracteres. Si la contraseña contiene palabras, es vulnerable a una piratería del diccionario, ya que las palabras aparecen con probabilidades muy diferentes a los caracteres elegidos al azar. Incluso las primeras letras de las palabras en una frase aparecen en patrones más predecibles que las contraseñas realmente aleatorias.
Comprensión de contraseñas
Forzar una contraseña de forma bruta requiere probar repetidamente las combinaciones de caracteres. Como la pregunta usa el término entropía, asumo que este es un concepto familiar. Una contraseña de k caracteres requeriría 62 ^ k intentos de encontrar una contraseña desconocida (donde 56 caracteres son mayúsculas, minúsculas y números). Lo ideal sería que la contraseña fuera una contraseña elegida al azar del total de 62 ^ k de contraseñas posibles donde todos los caracteres aparecen con la misma posibilidad. Sin embargo, muchos generadores de contraseñas generan contraseñas predecibles. No utilice palabras, las primeras letras de las palabras en una frase, o variaciones comunes en temas predecibles.
Entropía de contraseña
Entropy se refiere a la imprevisibilidad de una contraseña. Para poder calcular la entropía, se debe conocer la contraseña y la distribución mediante la cual se generan los caracteres en la contraseña. La entropía es un cálculo directo una vez que se conoce. Le sugiero que utilice un generador de contraseñas que genere caracteres de manera uniforme y aleatoria (es decir, con igual probabilidad) a partir del conjunto de caracteres (los 62 caracteres que incluyen el alfabeto en mayúsculas y minúsculas y los números). Esto te dará la mejor entropía.
Si, por otro lado, desea generar sus contraseñas con una distribución que favorezca la letra minúscula 'a' sobre todos los demás caracteres, entonces su entropía será drásticamente menor que si la contraseña se genera con igual probabilidad. Esto significa que las contraseñas formadas solo por palabras tienen una entropía muy baja y son muy predecibles.
Podría considerar establecer una política de selección de contraseña que requiera que las contraseñas parezcan generadas de forma aleatoria. Esto ayudará a la entropía de su contraseña y le ahorrará bits en su sistema integrado.