什麼是密碼熵以及如何使用它來獲得自己的利益

多年前，安全專家意識到留給自己的設備，用戶不會選擇強密碼。他們看到我們積極地需要鼓勵人們更好地保護他們的帳戶。這或多或少就是為什麼我們現在幾乎每個註冊表都有密碼強度計 。問題是，工作強度計需要根據某種合理可靠的因素進行評估，而不僅僅是根據任意判斷。一個這樣的因素是密碼的熵。

什麼是密碼熵？

傳統上與熱力學相關，“熵”一詞來自希臘語“entropia”，意思是“轉向”。在密碼的上下文中，它用於衡量密碼的隨機性。密碼的熵越高， 蠻力就越難。它以位為單位進行測量，並且有一個計算它的數學公式。

E = log ₂ （R）* L.

E代表熵。 R是可用字符數。 L是密碼的長度。您還可以通過首先計算可用字符數（R）到密碼（L）中字符數的冪，然後計算結果的二進制對數（log ₂ ）來獲得密碼的熵（E） = log ₂ （R ^L ））。讓我們看看它是如何運作的。

創建具有更高熵的密碼

假設您的密碼長度為六個字符，僅包含小寫字母，例如“拼圖”。可用字符的範圍是26，意味著log ₂ （R）剛好超過4.7。乘以6（密碼的長度），得到28.2位的熵。

讓我們將“拼圖”換成“puzzLe”。這次我們有一個大寫字母，這意味著可用字符數最多為52（26個小寫字母和26個大寫字母）。 52的二進制對數是5.7，並且熵高達34.2比特。

我們現在用一個數字和一個特殊字符替換幾個字母 - “pu> zL3”。如果我們收集英文字母的所有字母（小寫和大寫），添加數字，並包括密碼中最常見的所謂特殊符號，我們最終會有94個可能的字符。 94的二進制對數約為6.6意味著像“pu> zL3”這樣的密碼的熵是39.6比特 。

是什麼讓熵成為估算密碼強度的好方法

您可以看到熵是一種說明性（如果有點怪異）的方式，用於演示如何添加更多種類的字符會影響密碼的強度。然而，它也表明長度同樣重要。

如果你選擇“pu> zL3”，在開頭添加一些符號並在後面放幾個符號，你最終會得到像“）g ^ pu> zL3 / 9”這樣的東西。你仍然有相同種類的可能字符，但密碼現在是11個字符長，這意味著熵位於72.6位 - 這是一個巨大的改進。

熵是判斷強制密碼有多難的好方法。但是，高熵不會（也絕不會）表示無敵密碼。

高熵是不夠的

大多數人會同意“）g ^ pu> zL3 / 9”是一個相當強大的密碼。以同樣的方式，大多數人會同意“P @ ssword123”是一個可怕的密碼。然而，就熵而言，它們是相同的。我們仍然有一個長度為11個字符的密碼，它仍然有大寫字母，符號和一些數字。使用公式，你將得到相同的結果 - 72.6位. 但是，打開任何密碼字典，你會發現“P @ ssword123”非常靠近頂部，如果你去Troy Hunt的HaveIBeenPwned服務，你會發現它至少被破壞了1,022次 。

不應依賴熵本身來告訴我們是否應該使用特定密碼。我們必須記住其他事項，例如密碼是否在其他網站上使用，以及在數據洩露在線服務期間是否可能被盜。

為了幫助您考慮所有這些因素，我們在Cyclonis密碼管理器中添加了一個特殊的密碼分析器。除了使用複雜的算法（基於Dropbox的zxcvbn）來檢查密碼的強度之外，它還會監控其年齡，將其與其他登錄數據進行比較，以確保您沒有重複使用它，並在發出警告時向您發出警告可能已被妥協。根據所有這些信息，密碼分析器會計算您的總強度分數 - 可視化表示您的密碼的整體彈性，不僅可以抵禦暴力攻擊，還可以抵御其他攻擊。使用內置密碼生成器，您還可以通過單擊按鈕為所有帳戶創建唯一的高熵密碼。要了解有關它的工作原理的更多信息，請單擊此處 。