Энтропия пароля
Что такое Энтропия пароля?
Энтропия пароляМера непредсказуемости пароля в битах: чем выше энтропия, тем больше попыток понадобится злоумышленнику для его подбора.
Энтропия пароля количественно описывает, насколько его сложно угадать. Для равномерно случайной строки длины L из алфавита размера N она равна L * log2(N) бит. Пароли, выбранные людьми, имеют значительно меньшую эффективную энтропию из-за словарных слов, предсказуемых подстановок и повторяющихся шаблонов — это показали Клод Шеннон и последующие исследования в криптографии. Приложение A NIST SP 800-63B отмечает, что подсчёт битов плохо отражает реальность, и рекомендует ставку на длину и сверку со списками утечек, а не на правила состава. На практике достаточный уровень энтропии достигается длинными парольными фразами вроде четырёх случайных слов EFF Diceware (около 51 бит) в связке с менеджером паролей.
● Примеры
- 01
Случайный пароль из 12 символов алфавита в 94 знака даёт около 78 бит энтропии.
- 02
Парольная фраза EFF Diceware из 4 слов содержит около 51 бита, чего достаточно против большинства офлайн-атак.
● Частые вопросы
Что такое Энтропия пароля?
Мера непредсказуемости пароля в битах: чем выше энтропия, тем больше попыток понадобится злоумышленнику для его подбора. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Энтропия пароля?
Мера непредсказуемости пароля в битах: чем выше энтропия, тем больше попыток понадобится злоумышленнику для его подбора.
Как работает Энтропия пароля?
Энтропия пароля количественно описывает, насколько его сложно угадать. Для равномерно случайной строки длины L из алфавита размера N она равна L * log2(N) бит. Пароли, выбранные людьми, имеют значительно меньшую эффективную энтропию из-за словарных слов, предсказуемых подстановок и повторяющихся шаблонов — это показали Клод Шеннон и последующие исследования в криптографии. Приложение A NIST SP 800-63B отмечает, что подсчёт битов плохо отражает реальность, и рекомендует ставку на длину и сверку со списками утечек, а не на правила состава. На практике достаточный уровень энтропии достигается длинными парольными фразами вроде четырёх случайных слов EFF Diceware (около 51 бит) в связке с менеджером паролей.
Как защититься от Энтропия пароля?
Защита от Энтропия пароля обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Энтропия пароля?
Распространённые альтернативные названия: Энтропия пароля, Энтропия угадывания.
● Связанные термины
- identity-access№ 795
Пароль
Секретная строка символов, которую пользователь предъявляет системе для подтверждения своей личности; традиционно — основной механизм однофакторной аутентификации.
- identity-access№ 798
Политика паролей
Документированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства.
- identity-access№ 797
Менеджер паролей
Приложение, которое генерирует, хранит и автоматически подставляет уникальные надёжные учётные данные; защищается мастер-фразой и всё чаще passkey.
- identity-access№ 884
Скомпрометированный пароль (Pwned)
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
- cryptography№ 059
Argon2
Современная memory-hard функция хеширования паролей и KDF, победитель Password Hashing Competition 2015 и стандарт RFC 9106.
- cryptography№ 087
bcrypt
Адаптивная функция хеширования паролей на основе шифра Blowfish с настраиваемым фактором стоимости, разработанная Provos и Mazières в 1999 году.