Руководство по безопасности

Объяснение энтропии пароля

Поймите энтропию пароля, пространство поиска, размер алфавита, длину и почему теоретические биты являются лишь верхней границей оценки.

Краткое описание

Энтропия пароля — это способ описания размера пространства поиска, которое атакующему необходимо исследовать. Для равномерно случайного пароля полезная формула верхней границы:

bits = length × log2(alphabet size)

Используйте калькулятор времени взлома пароля для сравнения предположений.

Размер алфавита

Размер алфавита — это количество возможных символов. Строчные буквы дают 26 вариантов. Прописные и строчные вместе — 52. Добавление цифр — 62. Символы могут увеличить пул еще больше, но только если сервис их принимает и генератор выбирает их случайно.

Длина

Длина умножает пространство поиска. Более длинный случайный пароль обычно дает большее практическое улучшение, чем короткий пароль, украшенный предсказуемыми символами.

Предупреждение о верхней границе

Формула предполагает, что каждая позиция выбирается равномерно из алфавита. Она не применима к человеческим фразам, повторно используемым паролям, словарным словам, датам, клавиатурным путям, скомпрометированным учетным данным или отредактированному выводу. Она также не моделирует хеширование на стороне сервиса или онлайн-ограничения скорости.

Практические рекомендации

• Относитесь к энтропии как к инструменту сравнения, а не гарантии.
• Предпочитайте случайно сгенерированные значения.
• Используйте большую длину для ограниченных алфавитов.
• Делайте каждый пароль уникальным.
• Храните результаты безопасно.

Подробное руководство

Это руководство фокусируется на интерпретации энтропии пароля без преувеличений. Оно написано для читателей, сравнивающих длину, размер алфавита и списки слов для парольных фраз, поэтому практическая цель — не создать драматическое заявление о безопасности. Цель — выбрать привычку использования пароля, которая выдержит повседневное использование: формы входа, менеджеры паролей, мобильные клавиатуры, восстановление учетной записи, общие устройства и случайные сервисы со странными правилами валидации. Безопасная рекомендация полезна только в том случае, если реальный человек может последовательно ей следовать.

Самый безопасный отправной пункт — случайность плюс уникальность. Случайность означает, что значение выбирается из большого пространства криптографически подходящим случайным источником, а не придумывается из дня рождения, имени питомца, шаблона клавиатуры или любимой цитаты. Уникальность означает, что один и тот же пароль не используется нигде больше. Пароль, который длинный, но повторно используется, может быстро выйти из строя после одной несвязанной утечки, в то время как уникальный случайный пароль ограничивает ущерб одной учетной записью, где он был использован.

Для этой темы практический пресет — длина, умноженная на log2 размера случайного алфавита для равномерно случайных паролей. Вы можете применить этот пресет с помощью проверки надежности пароля, а затем сохранить конечное значение в доверенном менеджере паролей. PwdGen генерирует значения локально в браузере с помощью Web Crypto; сгенерированный пароль не отправляется на сервер PwdGen. Такая локальная конструкция снижает воздействие на сервер, но не защищает от всех угроз. Вредоносное расширение браузера, скомпрометированное устройство, фишинговая страница или небезопасная обработка буфера обмена могут раскрыть секрет после его генерации.

Самые распространенные проблемы, которых следует избегать: применение простой формулы к паролям, выбранным человеком, игнорирование повторного использования и отношение к оценкам как к гарантиям. Эти проблемы важны, потому что атакующим редко нужно перебирать все возможные пароли, когда человеческие привычки дают им лазейку. Подбор учетных данных (credential stuffing), фишинг, списки утекших паролей и злоупотребление восстановлением учетной записи часто более реалистичны, чем чистый математический поиск. Вот почему лучший совет сочетает качество пароля с контролем на уровне учетной записи, таким как MFA, ключи доступа (passkeys), хранение кодов восстановления и регулярная проверка настроек электронной почты или телефона для восстановления.

Используйте этот контрольный список при применении рекомендации:

• Используйте энтропию только для случайной генерации.
• Используйте проверки типа zxcvbn для ввода человеком.
• Увеличивайте длину, когда применяются ограничения алфавита.
• Помните, что хеши хранилища влияют на скорость атаки.

Если веб-сайт отклоняет идеальные настройки, не пытайтесь вручную втиснуть пароль в более слабый шаблон. Изменяйте одну переменную за раз. Если символы отклонены, оставьте прописные, строчные буквы и цифры включенными и увеличьте длину. Если максимальная длина мала, используйте максимально допустимую длину и убедитесь, что значение уникально. Если пароль нужно читать вслух, печатать или вводить на экране телевизора или маршрутизатора, рассмотрите возможность исключения запутанных символов и увеличьте длину, чтобы компенсировать меньший алфавит.

Наконец, помните о границах советов по паролям. Сильный пароль — это один уровень защиты, а не гарантия. Он не может сделать фишинговую страницу безопасной, исправить вредоносное ПО или компенсировать сервис, который плохо хранит учетные данные. Полезная привычка скучна, но долговечна: сгенерируйте уникальное значение, храните его безопасно, защитите путь восстановления и замените его быстро, если подозреваете раскрытие.

Безопасный следующий шаг

После прочтения этого руководства проведите один небольшой аудит учетной записи вместо попытки исправить все сразу. Выберите учетную запись, которая причинит больше всего проблем в случае захвата, подтвердите, что ее пароль уникален, и проверьте электронную почту для восстановления, телефон для восстановления, метод MFA и хранение резервных кодов. Если какая-либо часть этой цепочки слаба, улучшите эту часть, прежде чем переходить к учетным записям с более низким риском. Такой порядок делает работу управляемой и защищает учетные записи, которые атакующие, скорее всего, используют как трамплин. Для объяснения энтропии пароля лучший результат — это повторяемая привычка: генерировать локально, хранить осторожно и избегать повторного использования.

Часто задаваемые вопросы

Что такое простая формула энтропии?

Для равномерно случайных символов распространенная формула верхней границы: длина, умноженная на log2 размера алфавита.

Почему энтропия — это лишь оценка?

Она предполагает равномерный случайный выбор и не учитывает повторное использование, утечки, человеческие правки, скомпрометированные устройства или хранение на стороне получателя.

Всегда ли символы добавляют больше энтропии?

Символы увеличивают размер алфавита при случайном выборе, но увеличение длины часто дает больший и более простой в использовании выигрыш.