El punto de aleatoriedad es reunir entropía.
Tomemos un ejemplo:
¡Elijo mi contraseña de los 4 primeros dígitos del sitio web más el carácter! y un número que consta del número ASCII de la primera letra.
Ejemplo: PayPal - > payp! 70; amazon - > amaz! 65
La entropía de esta contraseña es 0. Debido a que se supone que el método siempre es conocido, y no hay nada aleatorio en este esquema.
Si utiliza alternativamente dos contraseñas, la entropía es de 1 bit. (2 opciones posibles)
Por el contrario, si utilizo una contraseña de 7 letras generadas con una selección aleatoria, la entropía aumenta para registrar 2 (26 7 ) ≃ 32.9
(26 caracteres posibles para cada posición luego reportados en términos de bits)
Cuanto más agregue posibles caracteres (que son aleatorios), más aumentará la entropía. Cada selección de letras "basada en reglas" no agrega entropía (por lo tanto, para contraseñas de la misma longitud, la entropía es más baja).
En teoría, esta segunda contraseña tiene más fuerza que la anterior con caracteres no alfanuméricos. El problema de la contraseña es siempre el mismo: recordar la contraseña. Esto significa que necesitas bajar la entropía por ti mismo. Un algoritmo como el primero presentado anteriormente le permite recordar una contraseña compleja. La "seguridad" dada por este enfoque es una apuesta por el conocimiento de este algoritmo (también llamado "seguridad por oscuridad"). Esto se considera una mala práctica de seguridad: un ataque dirigido a usted mismo (con conocimiento de su esquema) tendrá éxito. Pero generalmente es una concesión que haces para uso práctico.
Asegurarse de que la contraseña use caracteres alfanuméricos + cambios de casos + caracteres no alfanuméricos + ... es una práctica impulsada por el objetivo de crear una contraseña con gran entropía para ataques de fuerzas brutas, es decir, ataques que no consideran un esquema particular en la generación de contraseñas. Pero para cada tipo de ataque, su contraseña tendrá una entropía diferente, posiblemente 0.
Para concluir, la entropía sigue siendo una medida teórica de la fortaleza de la contraseña, en la vida real los crackers utilizarán un método determinado basado en suposiciones. Por lo tanto, incluso si una contraseña de 6 caracteres realmente aleatoria se considera igual de segura si contiene solo letras minúsculas o ambas, en la práctica, los crackers pueden elegir un método que la reduzca.