La dificultad de descifrar una contraseña se mide por la entropía en el proceso utilizado para generarla. Esto se puede medir para la mayoría de las contraseñas tomando el logaritmo en base-2 del número de símbolos elevado a la potencia del número de símbolos utilizados. Por ejemplo, una contraseña elegida al azar que consta de 8 letras minúsculas tiene log2(26 ^ 8) ~ 38
bits de entropía.
Este método se puede extender a las contraseñas de estilo "grapa la batería del caballo". En este caso, cada palabra es en sí misma un símbolo, elegido de un diccionario de las 10,000 palabras más comunes. Una contraseña generada aleatoriamente de esta manera tendría log2(10,000 ^ 4) ~ 53
bits de entropía y sería mucho más difícil de romper.
Esperemos que al ver estos dos ejemplos, puedes ver que el aumento dramático de la base tiene un efecto mucho más pequeño en la entropía de la contraseña que el aumento moderado del exponente. Esto es importante, porque al agregar símbolos adicionales para elegir (letras mayúsculas, dígitos, símbolos y, en el extremo, puntos de código no latinos de Unicode como emoji, marcadores RTL, kanji, etc.), está aumentando la base y No el exponente. Este generalmente hará que su contraseña sea más difícil de descifrar, e incluso puede hacer que sea más memorable para usted, pero aumentar la longitud (y por lo tanto el exponente) ayudará aún más.
Por ejemplo, al incluir letras en minúscula (26), letras en mayúscula (26), dígitos (10), símbolos comunes (32) y un puñado de emoji (por ejemplo, 200, por ejemplo), un carácter aleatorio de ocho caracteres La contraseña tendrá log2(26 + 26 + 10 + 32 + 200) ^ 8) ~ 66
bits de entropía. Por otro lado, simplemente duplicar la longitud de una contraseña que consiste solo en letras minúsculas resultaría en una contraseña con log2((26 ^ 16) ~ 75
bits de entropía, que es más de quinientas veces más difícil de descifrar.
Al agregar emoji can para hacer más segura la contraseña, no es tan efectivo como simplemente aumentar la longitud. No convertirá una contraseña terrible como Password15068
en algo significativamente más difícil de descifrar. Y simplemente no funcionará en muchos campos de entrada de contraseñas del mundo real (algunos lo rechazarán directamente y, lo que es peor, muchos otros ignorarán al personaje en silencio). Además, una contraseña de dos caracteres como