Когда говорят о надёжности пароля, часто упоминают «энтропию». Это не абстрактное понятие — энтропия измеряется в битах и показывает, насколько сложно взломать ваш пароль. Разберёмся, что это значит на практике.
Энтропия простыми словами
Энтропия — это мера неопределённости или «хаоса» в пароле. Чем выше энтропия, тем больше попыток нужно хакеру, чтобы угадать пароль.
Представьте замок с кодом:
- Код из 1 цифры (0-9) — 10 вариантов, угадать легко
- Код из 4 цифр — 10 000 вариантов, сложнее
- Код из 8 цифр — 100 000 000 вариантов, очень сложно
Энтропия измеряет количество этих вариантов в битах (степенях двойки).
Формула расчёта
Энтропия пароля рассчитывается по формуле:
E = L × log₂(N)Где:
- E — энтропия в битах
- L — длина пароля
- N — размер алфавита (количество возможных символов)
Размеры алфавитов
| Набор символов | Размер (N) | Бит на символ |
|---|---|---|
| Только цифры (0-9) | 10 | 3.32 |
| Только строчные буквы | 26 | 4.70 |
| Строчные + заглавные | 52 | 5.70 |
| Буквы + цифры | 62 | 5.95 |
| Все печатные символы | 95 | 6.57 |
Пример расчёта
Пароль: K9#mPx$2 (8 символов, все типы символов)
E = 8 × log₂(95) = 8 × 6.57 = 52.6 битПароль: correcthorsebattery (19 строчных букв)
E = 19 × log₂(26) = 19 × 4.70 = 89.3 битИнтересно, что длинный пароль из простых букв может быть надёжнее короткого со спецсимволами!
Сколько бит достаточно?
| Энтропия | Надёжность | Время взлома* |
|---|---|---|
| Менее 28 бит | Очень слабый | Мгновенно |
| 28-35 бит | Слабый | Минуты-часы |
| 36-59 бит | Средний | Дни-месяцы |
| 60-79 бит | Хороший | Годы-века |
| 80-127 бит | Отличный | Тысячи лет |
| 128+ бит | Максимальный | Вечность |
*При скорости 10 миллиардов попыток в секунду
Для важных аккаунтов (банк, почта) стремитесь к энтропии 80+ бит. Для обычных сайтов достаточно 60+ бит.
Почему длина важнее сложности
Сравним два пароля:
Пароль A: Xy#9 (4 символа, все типы)
- Энтропия: 4 × 6.57 = 26.3 бит
- Взлом: секунды
Пароль B: sunflowermeadow (15 строчных букв)
- Энтропия: 15 × 4.70 = 70.5 бит
- Взлом: столетия
Длинный простой пароль в 2.7 раза надёжнее короткого сложного!
Ловушки при расчёте энтропии
Словарные слова
Формула предполагает, что каждый символ выбран случайно. Если вы используете слово из словаря, реальная энтропия намного ниже.
Пароль password:
- Теоретически: 8 × 4.70 = 37.6 бит
- Реально: ~0 бит (первое слово в любом словаре)
Предсказуемые замены
p@ssw0rd кажется сложнее, но хакеры знают про замену a→@, o→0. Реальная энтропия почти не увеличивается.
Шаблоны
Abcd1234! содержит все типы символов, но следует очевидному шаблону. Реальная энтропия — несколько бит.
Как получить высокую энтропию
Способ 1: Генератор случайных паролей
Генератор паролей использует криптографически стойкий генератор случайных чисел. Каждый символ действительно случаен, и формула энтропии работает точно.
Пример: K9#mPx$2vL@nQ5wB (16 символов)
- Энтропия: 16 × 6.57 = 105 бит
Способ 2: Парольная фраза (Diceware)
Выберите 5-6 случайных слов из словаря:
correct horse battery staple zoom piano
При словаре в 7776 слов:
- Энтропия: 6 × log₂(7776) = 6 × 12.9 = 77 бит
Способ 3: Комбинация
Объедините случайные слова со спецсимволами:
Correct#Horse$Battery!2024
Такой пароль и надёжен, и запоминаем.
Проверьте свой пароль
Наш генератор паролей показывает энтропию в реальном времени. Попробуйте ввести свой текущий пароль и посмотрите его реальную надёжность.
Помните: хороший пароль — это не тот, который сложно запомнить человеку. Это тот, который сложно подобрать компьютеру. А для этого нужна высокая энтропия.