Pido disculpas por tal vez el título confuso, intentaré elaborar un poco mejor.
Muchas de las discusiones que veo sobre la entropía de las contraseñas se centran en el contexto específico del rango de opciones disponibles para los datos nominados. En el aislamiento, esto es lo suficientemente justo, pero parece ignorar la posibilidad de elegir ese rango de datos en primer lugar. Quizás un ejemplo ilustraría mejor.
En otra pregunta muy reciente, se consideró que un versículo bíblico tiene inconvenientes para una contraseña, ya que (aparentemente) hay unos 33,000 versículos bíblicos. Esto lleva a una entropía de 16 bits de mi comprensión. Al mirar, digamos, una contraseña del alfabeto latino que no distingue entre mayúsculas y minúsculas, tiene 4.7 bits de entropía por símbolo, por lo que si compara entropías una contraseña de mayúsculas / minúscula de 4 dígitos (4.7 * 4 = 18.8 bit) la contraseña debería ser más difícil de adivinar que Un verso de la Biblia elegido al azar.
¿No sería justo decir que una contraseña es mucho más probable que se realice un ataque de fuerza bruta en lugar de ser verificada como versículos válidos de la Biblia? ¿No es la contraseña de 4 dígitos significativamente más débil que un versículo bíblico? ¿Podemos alguna vez juzgar la entropía de una contraseña ignorando la probabilidad de la selección del rango de datos? Solo siento curiosidad por lo válida que es decir que la contraseña XYZ es mala porque no hay mucha variedad en los conjuntos de datos, dado que es extremadamente improbable que un atacante pueda limitar el conjunto de datos utilizado para la elección de la contraseña tan específicamente. .
Disculpe, novato en seguridad, pero me pareció extraño que alguien pueda usar la entropía para justificar por qué algo como un versículo largo de la Biblia puede ser una contraseña incorrecta.