En muchas de las respuestas y comentarios sobre el conocido XKCD # 936: ¿Contraseña corta y compleja o frase de contraseña larga del diccionario? pregunta, se recalcó la importancia de generar la contraseña de forma aleatoria, y no solo de crear una. En particular, la segunda respuesta más votada actual sobre esa pregunta dice:
Lasopciones aleatorias son aleatorias y uniformes . Esto es difícil de lograr con los usuarios humanos. Debe convencerlos de que utilicen un dispositivo para una buena aleatoriedad (una moneda, no un cerebro), y para aceptar el resultado. Esta es la esencia de mi respuesta original (reproducida a continuación). Si los usuarios modifican las opciones, si solo generan otra contraseña si la que obtuvieron "no les agrada", se desvían de la uniformidad aleatoria, y la entropía solo puede reducirse (la entropía máxima se logra con una aleatoriedad uniforme; no puede mejora, pero puedes empeorar mucho más.
Esto me hizo preguntarme: ¿qué sucede si no acepto el resultado y, en cambio, genero una nueva contraseña aleatoria? ¿Qué impacto tendría eso en la entropía de la contraseña final generada?
Presumiblemente, cuantas más veces me permita rechazar una contraseña, mayor será la posibilidad de reducir la entropía de la contraseña final, así que digamos, por ejemplo, que genero 8 contraseñas y elijo la que más me gusta. ¿Cuánto podría reducir potencialmente la entropía efectiva de la contraseña que selecciono? (¿Tal vez log_2(8) = 3 bits
como el peor de los casos?)