Hay un concepto muy bien definido: se llama entropía informativa. Si bien existe una relación entre la entropía y la compresibilidad, no piense en la entropía como un sinónimo de compresibilidad.
La entropía es el número de decisiones 50/50 (como tirar una moneda justa) necesaria para crear una contraseña y llamamos a cada una de estas decisiones 50-50 un poco de entropía. Si elige una contraseña al azar de una lista de contraseñas comunes de 1024, su contraseña tiene 10 bits de entropía como 2 10 = 1024. Si elige una contraseña seleccionando 12 letras al azar (tomadas a partir de mayúsculas, minúsculas y números (para un total de 62 caracteres), sabemos que hay 62 12 contraseñas que involucraron el registro 2 (62 12 ) ~ 71.450 ~ 71 bits (nota 2 71.450 ~ 62 12 ).
La entropía informativa se relaciona con un límite inferior sobre cuánto tiempo le tomaría al mejor atacante súper sofisticado construir su contraseña. Si conocían el modelo exacto que usó para crear su contraseña (por ejemplo, han visto otras contraseñas que ha generado o ha filtrado su método), pero su método de generación de contraseña requirió ~ 71 decisiones aleatorias 50/50 que significa que Tendré que probar aproximadamente 2 71 ~ 2,361,183,241,434,822,606,848 contraseñas diferentes (por lo tanto, a un billón de contraseñas por segundo les tomaría decenas de miles de años para romperlas). Si no conocen a tu modelo, tendrán que probar muchos más que eso. (Debido a que primero pasaron el tiempo las contraseñas de 6 caracteres de forzamiento brutal, revisaron una lista de contraseñas filtradas de 100 millones de contraseñas comunes y luego intentaron contraseñas de 7 caracteres, etc.
Tenga en cuenta que si un atacante también probó primero las contraseñas de 8,9,10,11 caracteres, esto no hace una gran diferencia en la entropía si finalmente tienen que probar contraseñas de 12 caracteres. Eso es 62 12 ~ 2 71.450 , pero 62 8 + 62 9 + 62 10 + 62 11 + 62 12 ~ 2 71.474 - por lo tanto, si su esfuerzo pudiera descifrar contraseñas de hasta 12 caracteres, también podría rajarse las contraseñas que son más cortas con un esfuerzo que es insignificante en comparación con descifrar la contraseña de 12 caracteres.
Si su contraseña no se basa en cosas aleatorias, pero digamos que en función de los nombres de su cónyuge / hijos / mascota o algún hecho comúnmente disponible con sustituciones leves, será mucho más débil. El cálculo de la entropía podría comenzar con la cantidad de datos sobre usted antes de que alguien encuentre la base de la contraseña más el número de alteraciones aleatorias (similar a enlace ).