Wachtwoordentropie uitgelegd
Entropie is de eerlijke manier om te meten hoe sterk een geheim is. Deze pagina legt uit wat het betekent, hoe het wordt berekend, hoe het zich verhoudt tot kraaktijd, en hoeveel bits je werkelijk nodig hebt.
Wat entropie eigenlijk meet
Entropie is het aantal even waarschijnlijke mogelijkheden waaruit een geheim is gekozen, uitgedrukt in bits. Eén bit betekent twee mogelijkheden; tien bits betekent 1.024; elke extra bit verdubbelt het aantal. Cruciaal is dat entropie het proces beschrijft dat het geheim heeft gemaakt, niet de tekens zelf — een geheim heeft alleen hoge entropie als het echt willekeurig is gekozen uit een grote ruimte.
Hoe entropie wordt berekend
Voor een willekeurig gegenereerd geheim is de formule eenvoudig: entropie in bits = lengte × log2(aantal opties per positie). Een wachtwoord van lengte L uit een alfabet van N tekens heeft L × log2(N) bits. Een wachtwoordzin van W willekeurige woorden uit een lijst van P woorden heeft W × log2(P) bits. Bijvoorbeeld: zes woorden uit een lijst van 7,776 woorden geven 6 × log2(7776) ≈ 77 bits.
Waarom door mensen gemaakte geheimen minder entropie hebben dan ze lijken
De formule geldt alleen wanneer elke keuze onafhankelijk en uniform willekeurig is. Een wachtwoord dat je zelf bedenkt is dat niet — het volgt taalpatronen, toetsenbordvormen en veelvoorkomende vervangingen die aanvallers modelleren. Daarom kan een zelfgekozen “complex” wachtwoord veel zwakker zijn dan zijn lengte doet vermoeden, terwijl een door de computer gegenereerd wachtwoord van dezelfde lengte precies zo sterk is als de wiskunde zegt.
Van entropie naar kraaktijd
Elke bit verdubbelt het aantal benodigde raadpogingen in het ergste geval, en gemiddeld vindt een aanvaller het geheim na ongeveer de helft van de ruimte te hebben geprobeerd. Om dat in tijd om te zetten moet je een raadsnelheid aannemen, die enorm varieert: een online login die tot een paar pogingen per seconde is beperkt versus een offline aanval op een gelekte hash die miljarden per seconde draait. Omdat de snelheid een aanname is, moet je kraaktijdcijfers behandelen als illustratieve vergelijkingen, niet als precieze voorspellingen.
Hoeveel bits heb je nodig?
Als praktische leidraad: rond de 50 bits is prima voor logins met lage waarde en snelheidsbeperking; 70–80 bits is sterk voor belangrijke accounts en weerstaat offline kraken; 100+ bits past bij hoofdwachtwoorden en langlevende geheimen. De generator op deze site toont de exacte entropie terwijl je instellingen aanpast, zodat je bewust een doel kunt kiezen in plaats van te hopen dat een geheim er “sterk genoeg uitziet”.
Veelgestelde vragen
Wat is een goede entropie voor een wachtwoord?
Rond de 70–80 bits is sterk voor belangrijke accounts en weerstaat offline kraken. Gebruik 100+ bits voor hoofdwachtwoorden en langlevende geheimen, en 50 bits is acceptabel voor logins met lage waarde en snelheidsbeperking.
Hoe wordt entropie berekend?
Voor een willekeurig geheim is het lengte × log2(opties per positie): tekens × log2(omvang alfabet) voor een wachtwoord, of woorden × log2(lijstomvang) voor een wachtwoordzin.
Waarom zijn sterktemeters het oneens met entropie?
Sterktemeters schatten door patroonherkenning, wat echt willekeurige geheimen onderschat en voorspelbare overschat. Wanneer een geheim willekeurig wordt gegenereerd, is de exacte entropie bekend en betrouwbaarder.
Heeft een langer geheim altijd meer entropie?
Alleen als de toegevoegde lengte willekeurig is. Een voorspelbaar woord of “1!” toevoegen voegt weinig echte entropie toe; een willekeurig woord of willekeurige tekens toevoegen voegt een bekende hoeveelheid toe.
Is kraaktijd een exact getal?
Nee. Het hangt af van een aangenomen raadsnelheid die varieert van een paar per seconde online tot miljarden per seconde offline. Gebruik kraaktijdcijfers als vergelijkingen, niet als precieze voorspellingen.