Почему вам нужен более длинный пароль

Ключевые выводы

Энтропия пароля измеряет случайность, причем для надежного пароля требуются более высокие биты.
Атаки по словарю и взлом методом грубой силы являются распространенными методами. Добавление случайности сбивает с толку злоумышленников.
Энтропия зависит от длины пароля, символов и регистра — лучше всего использовать пароли из 16 символов.

Мы все знаем, как досадно создавать новую учетную запись в Интернете: вы вводите нужный вам пароль, а затем сервис начинает доставать вас по поводу минимальной длины и использования специальных символов. Однако есть причина, по которой вас заставляют это делать, и в этой статье я расскажу, почему вам нужен длинный пароль.

Короткий ответ — энтропия пароля. Этот термин звучит намного сложнее, чем есть на самом деле, если вы не знакомы с криптографией, поэтому давайте рассмотрим, что такое энтропия пароля.

Что такое энтропия пароля?

Энтропия пароля — это мера того, насколько непредсказуем и случаен ваш пароль. Энтропия пароля измеряется в битах, базовой единице измерения информации в вычислениях. Больше бит — лучше, большинство экспертов сходятся во мнении, что энтропия должна быть не менее 64 бит, хотя это число является спорным. Более высокая энтропия означает, что ваш пароль более случаен. Когда дело доходит до защиты вещей, случайность — это хорошо.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Давайте немного объясним это. Когда злоумышленник хочет получить доступ к вашей учетной записи или устройству, он обычно атакует пароль, поскольку зачастую это единственное, что защищает его, если только у вас не включена двухфакторная аутентификация (2FA). Поскольку многие люди не заморачиваются с 2FA, это превращает пароли в то, что называется единой точкой отказа.

ронстик / Shutterstock.com

Лучший способ взломать пароль — это атака по словарю, которая представляет собой программу, которая попытается «угадать» пароль, перебирая общие слова и фразы. Это почти буквально бросание книги в ваш пароль, перебирая весь словарь и также общие вариации. Как только пароль угадывается, злоумышленник получает доступ.

Грубая сила и случайность

Атаки по словарю — это определение грубой силы, бросание цифровой силы на проблему, пока она не будет исправлена. Тем не менее, они эффективны, поскольку большинство атак взламывают простой пароль за считанные секунды (фирма по кибербезопасности Hive Systems ведет несколько таблиц с подробностями по этому вопросу).

Поскольку словарные атаки процветают на предсказуемости (слова, которые уже существуют), само собой разумеется, что единственный хороший способ помешать им — добавить случайности к паролям. Многие люди знают это, поэтому они добавляют несколько символов к своим существующим паролям, чтобы создать что-то вроде «p@ssword» или «password123».

Однако это не работает, поскольку это не случайно. Злоумышленники могут легко учесть такое изменение, и им понадобится, возможно, на наносекунду больше времени, чтобы получить доступ к учетной записи. Чтобы что-то было ближе к действительно случайному, вам нужно полностью убрать людей из уравнения и использовать компьютер для создания случайного пароля. Лучшие менеджеры паролей, программы, которые создают и хранят пароли для вас, имеют встроенную функцию.

Как энтропия влияет на длину пароля

Большая энтропия создает лучшие пароли, но что именно делает энтропию лучше? Следует учитывать четыре фактора:

Длина пароля
Использование специальных символов
Использование заглавных букв
Использование чисел

Все это важно, но длина играет особую роль, и для ее объяснения нам понадобится немного математики.

Как рассчитать энтропию пароля

Как было сказано ранее, энтропию можно измерить, а значит, ее можно и рассчитать. Формула для этого следующая:

E = log2(RL)

E означает энтропию и является результатом, который мы получаем, когда вычисляем его. Чем выше, тем лучше.
L — длина пароля, то есть количество символов, которое он содержит.
R — это диапазон, количество символов, имеющихся в вашем распоряжении, я объясню это немного позже.
log2 — это математическая формула, которая может вычислить необходимые биты. Для наших целей нам не нужно ее понимать.

Если разбить ее на части, то эта формула не будет слишком страшной, но нам нужно выйти за пределы диапазона. При использовании обычной раскладки клавиатуры США у вас будет 26 букв. Если бы вы создали пароль, используя только строчные буквы, ваш диапазон был бы 26. Если мы используем калькулятор энтропии, предполагая длину в восемь символов, это даст нам энтропию 37,60 бит, что ужасно.

Если мы добавим заглавные буквы, мы удвоим ваш диапазон до 52, поскольку заглавные буквы считаются отдельными для наших целей. Это дает вам оценку энтропии 45,60 бит. Это все еще не очень хорошо, но мы к этому приближаемся.

Если мы добавим цифры 0-9, то получим диапазон 62, а затем, как только мы добавим 33 символьных ключа, наш диапазон увеличится до 95. Используя всего 8 символов, мы получим оценку энтропии 52,56 бит, что все еще значительно ниже порогового значения в 64 бита. Единственный другой способ еще больше увеличить энтропию — сделать пароль длиннее.

Какова должна быть минимальная длина пароля?

Остается вопрос, насколько длинным должен быть пароль. Для этого нам нужно решить, сколько бит энтропии нам нужно. Хотя 64 — это общепринятый ответ, учитывая скорость развития технологий взлома, о чем упоминалось в статье Hive Systems, мы можем перестраховаться и стремиться к 100 бит энтропии.

Имея это в виду, мы можем перевернуть формулу и прийти к Длина 16 символовпредполагая, что мы используем все 95 символов. Это дает нам энтропию 105,12 бит. 15 символов также должны работать, поскольку это дает нам 98,55 бит, но меньшее значение приведет вас на опасную территорию. Конечно, если вы работаете с менее чем 95 символами, вам в любом случае придется использовать более длинный пароль.