Entropia hasła w prostych słowach
Entropia to uczciwy sposób mierzenia, jak silny jest sekret. Ta strona wyjaśnia, co oznacza, jak jest obliczana, jak przekłada się na czas złamania i ile bitów naprawdę potrzebujesz.
Co entropia faktycznie mierzy
Entropia to liczba jednakowo prawdopodobnych możliwości, spośród których wybrano sekret, wyrażona w bitach. Jeden bit oznacza dwie możliwości; dziesięć bitów oznacza 1024; każdy kolejny bit podwaja liczbę. Co istotne, entropia opisuje proces, który stworzył sekret, a nie same znaki — sekret ma wysoką entropię tylko wtedy, gdy został naprawdę losowo wybrany z dużej przestrzeni.
Jak obliczana jest entropia
Dla losowo wygenerowanego sekretu wzór jest prosty: entropia w bitach = długość × log2(liczba opcji na pozycję). Hasło o długości L z alfabetu N znaków ma L × log2(N) bitów. Hasło frazowe z W losowych słów z listy P słów ma W × log2(P) bitów. Na przykład sześć słów z listy 7,776 słów daje 6 × log2(7776) ≈ 77 bitów.
Dlaczego sekrety tworzone przez ludzi mają mniej entropii, niż się wydaje
Wzór obowiązuje tylko wtedy, gdy każdy wybór jest niezależny i jednorodnie losowy. Hasło, które sam wymyślasz, takie nie jest — opiera się na wzorcach językowych, kształtach klawiatury i częstych podmianach, które atakujący modelują. Dlatego samodzielnie wybrane „złożone” hasło może być znacznie słabsze, niż sugeruje jego długość, podczas gdy wygenerowane przez komputer o tej samej długości jest dokładnie tak silne, jak mówi matematyka.
Od entropii do czasu złamania
Każdy bit podwaja liczbę prób potrzebnych w najgorszym przypadku, a średnio atakujący znajduje sekret po sprawdzeniu około połowy przestrzeni. Zamiana tego na czas wymaga założenia tempa zgadywania, które ogromnie się różni: logowanie online ograniczone do kilku prób na sekundę kontra atak offline na wyciekły hash działający z prędkością miliardów prób na sekundę. Ponieważ tempo jest założeniem, traktuj wartości czasu złamania jako poglądowe porównania, a nie precyzyjne przewidywania.
Ile bitów potrzebujesz?
Praktyczny przewodnik: około 50 bitów wystarcza dla mało wartościowych logowań z ograniczeniem liczby prób; 70–80 bitów jest silne dla ważnych kont i opiera się łamaniu offline; ponad 100 bitów pasuje do haseł głównych i długowiecznych sekretów. Generator na tej witrynie pokazuje dokładną entropię w miarę zmiany ustawień, dzięki czemu możesz świadomie wybrać cel, zamiast liczyć na to, że sekret „wygląda wystarczająco silnie”.
Często zadawane pytania
Jaka entropia jest dobra dla hasła?
Około 70–80 bitów jest silne dla ważnych kont i opiera się łamaniu offline. Użyj ponad 100 bitów dla haseł głównych i długowiecznych sekretów, a 50 bitów jest akceptowalne dla mało wartościowych logowań z ograniczeniem liczby prób.
Jak obliczana jest entropia?
Dla losowego sekretu to długość × log2(opcje na pozycję): znaki × log2(rozmiar alfabetu) dla hasła lub słowa × log2(rozmiar listy) dla hasła frazowego.
Dlaczego mierniki siły nie zgadzają się z entropią?
Mierniki siły szacują przez dopasowywanie wzorców, co zaniża wartość naprawdę losowych sekretów i zawyża wartość przewidywalnych. Gdy sekret jest generowany losowo, dokładna entropia jest znana i bardziej wiarygodna.
Czy dłuższy sekret zawsze ma więcej entropii?
Tylko jeśli dodana długość jest losowa. Dołączenie przewidywalnego słowa lub „1!” dodaje niewiele realnej entropii; dodanie losowego słowa lub losowych znaków dodaje znaną wartość.
Czy czas złamania to dokładna liczba?
Nie. Zależy od założonego tempa zgadywania, które sięga od kilku prób na sekundę online do miliardów na sekundę offline. Traktuj wartości czasu złamania jako porównania, a nie precyzyjne przewidywania.