Parola entropisi açıklandı
Entropi, bir sırrın ne kadar güçlü olduğunu ölçmenin dürüst yoludur. Bu sayfa, ne anlama geldiğini, nasıl hesaplandığını, kırılma süresiyle nasıl eşleştiğini ve gerçekte kaç bite ihtiyacınız olduğunu açıklar.
Entropi gerçekte neyi ölçer
Entropi, bir sırrın eşit olasılıklı kaç olasılık arasından seçildiğidir; bit cinsinden ifade edilir. Bir bit iki olasılık demektir; on bit 1.024 demektir; her ek bit sayıyı ikiye katlar. En önemlisi, entropi sırrı oluşturan süreci tanımlar, karakterlerin kendisini değil — bir sır yalnızca büyük bir uzaydan gerçekten rastgele seçildiyse yüksek entropiye sahiptir.
Entropi nasıl hesaplanır
Rastgele oluşturulmuş bir sır için formül basittir: bit cinsinden entropi = uzunluk × log2(konum başına seçenek sayısı). N karakterlik bir alfabeden L uzunluğunda bir parolanın L × log2(N) biti vardır. P kelimelik bir listeden W rastgele kelimelik bir parola cümlesinin W × log2(P) biti vardır. Örneğin, 7,776 kelimelik bir listeden altı kelime 6 × log2(7776) ≈ 77 bit verir.
İnsan yapımı sırlar neden göründüklerinden daha az entropiye sahip
Formül yalnızca her seçim bağımsız ve düzgün dağılımlı rastgele olduğunda geçerlidir. Kendinizin uydurduğu bir parola öyle değildir — saldırganların modellediği dil desenlerini, klavye şekillerini ve yaygın değişimleri izler. Bu yüzden kendi seçtiğiniz bir “karmaşık” parola, uzunluğunun düşündürdüğünden çok daha zayıf olabilirken, aynı uzunlukta bilgisayar tarafından oluşturulmuş biri tam olarak matematiğin söylediği kadar güçlüdür.
Entropiden kırılma süresine
Her bit, en kötü durumda gereken tahmin sayısını ikiye katlar ve ortalama olarak bir saldırgan, uzayın yaklaşık yarısını denedikten sonra sırrı bulur. Bunu süreye dönüştürmek bir tahmin hızı varsaymayı gerektirir ki bu da muazzam ölçüde değişir: saniyede birkaç denemeyle sınırlandırılmış çevrimiçi bir girişe karşı, saniyede milyarlarca çalışan, sızdırılmış bir özete yönelik çevrimdışı bir saldırı. Hız bir varsayım olduğundan, kırılma süresi rakamlarını kesin tahminler değil, açıklayıcı karşılaştırmalar olarak değerlendirin.
Kaç bite ihtiyacınız var?
Pratik bir rehber olarak: yaklaşık 50 bit, düşük değerli, hız sınırlı girişler için yeterlidir; 70–80 bit, önemli hesaplar için güçlüdür ve çevrimdışı kırmaya direnir; 100+ bit, ana parolalara ve uzun ömürlü sırlara uyar. Bu sitedeki oluşturucu, ayarları değiştirdikçe tam entropiyi gösterir; böylece bir sırrın “yeterince güçlü görünmesini” ummak yerine bilinçli olarak bir hedef seçebilirsiniz.
Sıkça sorulan sorular
Bir parola için iyi bir entropi nedir?
Yaklaşık 70–80 bit, önemli hesaplar için güçlüdür ve çevrimdışı kırmaya direnir. Ana parolalar ve uzun ömürlü sırlar için 100+ bit kullanın; 50 bit ise düşük değerli, hız sınırlı girişler için kabul edilebilir.
Entropi nasıl hesaplanır?
Rastgele bir sır için uzunluk × log2(konum başına seçenek): bir parola için karakter sayısı × log2(alfabe boyutu) ya da bir parola cümlesi için kelime sayısı × log2(liste boyutu).
Güç ölçerler entropiyle neden çelişir?
Güç ölçerler, gerçekten rastgele sırları olduğundan düşük, tahmin edilebilir olanları olduğundan yüksek değerlendiren desen eşleştirmesiyle tahmin eder. Bir sır rastgele oluşturulduğunda, tam entropi bilinir ve daha güvenilirdir.
Daha uzun bir sırrın her zaman daha fazla entropisi var mı?
Yalnızca eklenen uzunluk rastgeleyse. Tahmin edilebilir bir kelime veya “1!” eklemek çok az gerçek entropi katar; rastgele bir kelime veya rastgele karakter eklemek ise bilinen bir miktar katar.
Kırılma süresi kesin bir sayı mı?
Hayır. Çevrimiçi saniyede birkaçtan çevrimdışı saniyede milyarlara kadar değişen, varsayılan bir tahmin hızına bağlıdır. Kırılma süresi rakamlarını kesin tahminler değil, karşılaştırmalar olarak kullanın.