Entropy es un término que se usa a menudo en relación con la seguridad de contraseña y los ataques de fuerza bruta, pero es un tema que puede obtener complicó rápidamente . ¿Cuál es la mejor manera de describir la entropía de la contraseña (qué es y cómo se calcula) en términos que un lego pueda entender?
No estoy seguro de poder ayudarte, pero una vez que logré describir la entropía a un niño.
Después de que dije que la entropía es una medida de caos en el sistema (para un grupo de personas), un niño de 12 (más o menos) años dijo que no me entiende. Respondí con: "Bueno, cuando su habitación está desordenada, la entropía es alta. Pero cuando limpia su habitación, la entropía es baja; entonces todo está en orden. Entonces, cuando un ladrón llega a su habitación tratando de robarle su tarea, cuando el cuarto está limpio y la entropía es baja, él lo encontrará fácilmente, por lo general está en su escritorio o en su mochila escolar. Por otro lado, cuando su cuarto está desordenado y su tarea está en algún lugar por ahí, el ladrón no sabe exactamente donde está y no puede encontrarlo rápidamente. Si la entropía es lo suficientemente alta (digamos que se derrumba el techo), es casi imposible encontrar un pedazo de papel en él.
Alta entropía: encontrar una aguja en un pajar.
En el juego: adivina quién soy, al principio, la entropía es muy alta, pero después de algunas preguntas, la entropía es cada vez más baja hasta que alguien tiene suficiente información para adivinar quién es la persona (o en seguridad, después de los rastros (y errores). ) y pruebas, para adivinar cuál es la contraseña.
La parte del laico viene más tarde, pero primero, seamos científicos.
Luché por entender el concepto de entropía matemática, pero, por suerte para mí, trabajo con un ingeniero. Cuando le pedí que me lo explicara, me dirigió hacia los gráficos de dos leyes: distribución uniforme y < a href="http://en.wikipedia.org/wiki/Normal_distribution"> distribución normal .
Conocer el eje Y describe una medida de la probabilidad de adivinar la contraseña, y el eje X describe el valor de la contraseña ... en una distribución uniforme ( vea el diagrama ), la entropía es alta, porque no importa cuál sea la contraseña, la probabilidad de adivinarla Es el mismo valor (estáticamente la misma posibilidad). En una distribución normal ( ver diagrama ) , la probabilidad de adivinar la contraseña cambia ... por ejemplo, tienes un 70% de probabilidades de poder adivinar la contraseña (más o menos).
Para el lego .... ¿Dónde está Waldo / Wally?
Alta entropía:
∴ Tienes muy pocas posibilidades de identificar a Waldo.
Baja entropía:
∴ Tienes muchas posibilidades de identificar a Waldo.
Me saltearía por completo la idea de la entropía y solo hablaría de lo difícil que sería adivinar la contraseña. Básicamente, dígale que la entropía de la contraseña es una medida de la cantidad de contraseñas que una persona tendría que adivinar antes de llegar a la suya.
Una contraseña como "password" o "123456" sería prácticamente la primera suposición de alguien. Una contraseña como "6love" podría estar en sus primeras miles de conjeturas. Una contraseña como "1974! JhT" tomaría miles de millones de conjeturas.
Para una contraseña, "entropía" está relacionada con "capacidad de respuesta". La baja entropía es más fácil de adivinar, la alta entropía es más difícil de adivinar.
El aspecto principal es la aleatoriedad. Una contraseña no aleatoria, como "secreto", es fácil de adivinar. Una contraseña aleatoria, como "8jh $ # F" es más difícil de adivinar.
La longitud también juega un papel. "El secreto de un hombre de toda la vida" no es mucho más aleatorio que "secreto", pero la extensión adicional significa que es más difícil que se agriete un ataque de fuerza bruta, y por lo tanto tiene una mejor "entropía".
Entonces, para un lego: una buena contraseña tiene una alta entropía, lo que significa que es difícil de adivinar, utiliza varios tipos de caracteres (símbolo de número superior-inferior), y cuanto más tiempo mejor.
Lea otras preguntas en las etiquetas passwords brute-force entropy
