¿La contraseña de entropía solo significa que es larga y parece aleatoria, o hay algo más, si la contraseña de 50 números aleatorios tendrá alta entropía o no?
La entropía de una contraseña se define como el logaritmo de base 2 del número de conjeturas que un atacante tendría que hacer para estar seguro de adivinar correctamente su contraseña.
Es una idea de la ciencia de la teoría de la información, y en el campo de la seguridad de la información se usa normalmente como una medida de cuán resistente es una contraseña a un "ataque de fuerza bruta", que es donde un atacante intenta todas las contraseñas posibles. tras otro.
Si es posible un ataque de fuerza bruta, siempre funciona con el tiempo. La captura está en la palabra "eventualmente". Si un atacante puede forzar una contraseña en forma bruta en 20 segundos, no es muy bueno. Si les toma dos semanas, es mejor. Si demora dos años, la mayoría de los atacantes no se molestarán.
Una contraseña con una entropía más alta tomará, en promedio, más tiempo que la fuerza bruta.
Puede aumentar la entropía de una contraseña por cualquiera de las dos
Una contraseña numérica de 50 dígitos tiene una entropía de aproximadamente 166. Eso se consideraría muy alto. Personalmente uso contraseñas con una entropía de alrededor de 100, lo cual es bastante alto. Eso es aproximadamente la misma entropía que una contraseña numérica de 32 dígitos.
No puede decir qué tan alta es la entropía "lo suficientemente alta" sin saber más sobre el sistema específico con el que está asociada la contraseña; depende de qué tan rápido el atacante puede hacer conjeturas.
Supongamos que utiliza la contraseña para proteger un archivo cifrado de 7zip, y su atacante cuenta con los recursos necesarios y utiliza una supercomputadora Cray XE6 que puede hacer 55 billones de adivinanzas por segundo. Si usted es un hombre blanco estadounidense de 12 años, tiene 63 años de esperanza de vida restante. Algunas matemáticas simples nos permiten saber que necesita una entropía de aproximadamente 77.5 para una contraseña que Cray no interrumpa, en promedio, en su vida.
Si usa una contraseña numérica, tendrá que tener al menos 24 dígitos (por ejemplo, 687374947891238403277394 ); o si usa mayúsculas y minúsculas alfanuméricas con puntuación, tendrá que tener al menos 12 caracteres de largo. (por ejemplo, ! cV ~ # $ Liit4F ).
Es importante recordar, sin embargo, que los ataques de fuerza bruta no son la única forma de romper una contraseña, y que solo la entropía determina si una contraseña es buena o mala.
Una forma posible de pensar en la entropía es el número de contraseñas diferentes de la misma longitud que la suya. Por lo tanto, si su contraseña es "1234", puede calcular la cantidad de "posibles" contraseñas de 4 dígitos que solo contienen dígitos:
10 ^ 4
Usamos 10, porque hay 10 opciones para los dígitos. En general
{Número de opciones} ^ {Tamaño de la contraseña}
Entonces, si el sitio que está utilizando espera contraseñas alfanuméricas y usa una contraseña de 50 dígitos, tiene:
entropía = 36 ^ 50 = 6.53318624 × 10 ^ 77
Así que sí. Es más que lo suficientemente fuerte.
Lea otras preguntas en las etiquetas encryption