Narzędzie do tworzenia haseł Powrót do generatora

Poradnik bezpieczeństwa

Entropia hasła wyjaśniona

Zrozum entropię hasła, przestrzeń poszukiwań, rozmiar alfabetu, długość i dlaczego teoretyczne bity są tylko górnym oszacowaniem.

Podsumowanie

Entropia hasła to sposób opisania rozmiaru przestrzeni poszukiwań, którą atakujący musiałby zbadać. Dla jednolicie losowego hasła użyteczny wzór górnego oszacowania to:

bits = length × log2(alphabet size)

Skorzystaj z kalkulatora czasu łamania hasła, aby porównać założenia.

Rozmiar alfabetu

Rozmiar alfabetu to liczba możliwych znaków. Małe litery dają 26 opcji. Duże i małe litery dają 52. Dodanie cyfr daje 62. Symbole mogą zwiększyć pulę, ale tylko jeśli usługa je akceptuje, a generator wybiera je losowo.

Długość

Długość mnoży przestrzeń poszukiwań. Dłuższe losowe hasło zwykle daje większą praktyczną poprawę niż krótkie hasło ozdobione przewidywalnymi symbolami.

Ostrzeżenie o górnym oszacowaniu

Wzór zakłada, że każda pozycja jest wybierana jednolicie z alfabetu. Nie dotyczy to ludzkich fraz, ponownie używanych haseł, słów słownikowych, dat, ścieżek klawiaturowych, wyciekłych danych uwierzytelniających ani edytowanych wyników. Nie modeluje też haszowania po stronie usługi ani limitów szybkości online.

Praktyczne zalecenia

Szczegółowe wskazówki

Ten przewodnik koncentruje się na interpretacji entropii hasła bez przesady. Jest napisany dla czytelników porównujących długość, rozmiar alfabetu i listy słów fraz, więc praktycznym celem nie jest tworzenie dramatycznego twierdzenia o bezpieczeństwie. Celem jest wybór nawyku hasła, który przetrwa codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest użyteczne tylko wtedy, gdy prawdziwa osoba może je konsekwentnie stosować.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzoru klawiatury czy ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło długie, ale używane ponownie, może szybko zawieść po jednym niezwiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do jednego konta, na którym zostało użyte.

W tym temacie praktycznym presetem jest długość pomnożona przez log2 rozmiaru losowego alfabetu dla jednolicie losowych haseł. Możesz zastosować ten preset za pomocą kontrolera siły hasła, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza ekspozycję po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą ujawnić sekret po jego wygenerowaniu.

Najczęstsze problemy, których należy unikać, to stosowanie prostego wzoru do haseł wybranych przez człowieka, ignorowanie ponownego użycia oraz traktowanie oszacowań jako gwarancji. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekłe listy haseł i nadużycia odzyskiwania konta są często bardziej realistyczne niż czyste matematyczne przeszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularny przegląd ustawień e-maila lub telefonu do odzyskiwania.

Skorzystaj z tej listy kontrolnej przy stosowaniu zalecenia:

Jeśli strona internetowa odrzuca idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną na raz. Jeśli symbole są odrzucane, pozostaw włączone duże litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być czytane na głos, drukowane lub wpisywane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która źle przechowuje dane uwierzytelniające. Użyteczny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowaj ją bezpiecznie, chroń ścieżkę odzyskiwania i wymień ją szybko, jeśli podejrzewasz ujawnienie.

Bezpieczny następny krok

Po przeczytaniu tego przewodnika wykonaj jeden mały audyt konta zamiast próbować naprawić wszystko naraz. Wybierz konto, które spowodowałoby najwięcej problemów, gdyby zostało przejęte, potwierdź, że jego hasło jest unikalne, i sprawdź e-mail do odzyskiwania, telefon do odzyskiwania, metodę MFA i przechowywanie kodów zapasowych. Jeśli jakakolwiek część tego łańcucha jest słaba, popraw tę część przed przejściem do kont niższego ryzyka. Ta kolejność utrzymuje pracę w zarządzalnych ramach i chroni konta, które atakujący najprawdopodobniej wykorzystają jako odskocznię. Dla wyjaśnienia entropii hasła najlepszym rezultatem jest powtarzalny nawyk: generuj lokalnie, przechowuj ostrożnie i unikaj ponownego użycia.

Często zadawane pytania

Jaki jest prosty wzór na entropię?

Dla jednolicie losowych znaków powszechny wzór górnego oszacowania to długość pomnożona przez log2 rozmiaru alfabetu.

Dlaczego entropia jest tylko oszacowaniem?

Zakłada jednolity losowy wybór i nie uwzględnia ponownego użycia, wycieków, edycji przez człowieka, zainfekowanych urządzeń ani przechowywania docelowego.

Czy symbole zawsze dodają więcej entropii?

Symbole zwiększają rozmiar alfabetu, gdy są wybierane losowo, ale dodanie długości często daje większą i łatwiejszą w użyciu korzyść.

Źródła