什么是密码熵以及如何使用它来获得自己的利益

多年前，安全专家意识到留给自己的设备，用户不会选择强密码。他们看到我们积极地需要鼓励人们更好地保护他们的帐户。这或多或少就是为什么我们现在几乎每个注册表都有密码强度计 。问题是，工作强度计需要根据某种合理可靠的因素进行评估，而不仅仅是根据任意判断。一个这样的因素是密码的熵。

什么是密码熵？

传统上与热力学相关，“熵”一词来自希腊语“entropia”，意思是“转向”。在密码的上下文中，它用于衡量密码的随机性。密码的熵越高， 蛮力就越难。它以位为单位进行测量，并且有一个计算它的数学公式。

E = log ₂ （R）* L.

E代表熵。 R是可用字符数。 L是密码的长度。您还可以通过首先计算可用字符数（R）到密码（L）中字符数的幂，然后计算结果的二进制对数（log ₂ ）来获得密码的熵（E） = log ₂ （R ^L ））。让我们看看它是如何运作的。

创建具有更高熵的密码

假设您的密码长度为六个字符，仅包含小写字母，例如“拼图”。可用字符的范围是26，意味着log ₂ （R）刚好超过4.7。乘以6（密码的长度），得到28.2位的熵。

让我们将“拼图”换成“puzzLe”。这次我们有一个大写字母，这意味着可用字符数最多为52（26个小写字母和26个大写字母）。 52的二进制对数是5.7，并且熵高达34.2比特。

我们现在用一个数字和一个特殊字符替换几个字母 - “pu> zL3”。如果我们收集英文字母的所有字母（小写和大写），添加数字，并包括密码中最常见的所谓特殊符号，我们最终会有94个可能的字符。 94的二进制对数约为6.6意味着像“pu> zL3”这样的密码的熵是39.6比特 。

是什么让熵成为估算密码强度的好方法

您可以看到熵是一种说明性（如果有点怪异）的方式，用于演示如何添加更多种类的字符会影响密码的强度。然而，它也表明长度同样重要。

如果你选择“pu> zL3”，在开头添加一些符号并在后面放几个符号，你最终会得到像“）g ^ pu> zL3 / 9”这样的东西。你仍然有相同种类的可能字符，但密码现在是11个字符长，这意味着熵位于72.6位 - 这是一个巨大的改进。

熵是判断强制密码有多难的好方法。但是，高熵不会（也绝不会）表示无敌密码。

高熵是不够的

大多数人会同意“）g ^ pu> zL3 / 9”是一个相当强大的密码。以同样的方式，大多数人会同意“P @ ssword123”是一个可怕的密码。然而，就熵而言，它们是相同的。我们仍然有一个长度为11个字符的密码，它仍然有大写字母，符号和一些数字。使用公式，你将得到相同的结果 - 72.6位. 但是，打开任何密码字典，你会发现“P @ ssword123”非常靠近顶部，如果你去Troy Hunt的HaveIBeenPwned服务，你会发现它至少被破坏了1,022次 。

不应依赖熵本身来告诉我们是否应该使用特定密码。我们必须记住其他事项，例如密码是否在其他网站上使用，以及在数据泄露在线服务期间是否可能被盗。

为了帮助您考虑所有这些因素，我们在Cyclonis密码管理器中添加了一个特殊的密码分析器。除了使用复杂的算法（基于Dropbox的zxcvbn）来检查密码的强度之外，它还会监控其年龄，将其与其他登录数据进行比较，以确保您没有重复使用它，并在发出警告时向您发出警告可能已被妥协。根据所有这些信息，密码分析器会计算您的总强度分数 - 可视化表示您的密码的整体弹性，不仅可以抵御暴力攻击，还可以抵御其他攻击。使用内置密码生成器，您还可以通过单击按钮为所有帐户创建唯一的高熵密码。要了解有关它的工作原理的更多信息，请单击此处 。