Det finns ingen enda, universellt överenskomna "minimum" entropi för ett säkert lösenord. Säkerhet är alltid en avvägning mellan användbarhet och skydd, och det "rätta" svaret beror starkt på sammanhanget och hotmodellen.
Här är dock en uppdelning av vanliga rekommendationer och överväganden:
Allmänna riktlinjer:
* 80 bitar av entropi är en allmänt rekommenderad baslinje för stark lösenordssäkerhet. Detta är en bra utgångspunkt för de flesta applikationer och tjänster. Varför? Eftersom det gör brute-forcing av lösenordet oöverkomligt dyrt för de flesta angripare.
* Minst 11 tecken med stark slumpmässighet: Detta översätter ofta till ungefär 50 bitar av entropi med hjälp av en stark lösenordsgenerator med en stor teckenuppsättning (versaler, små bokstäver, siffror, symboler). Även om det är bättre än ingenting betraktas det som gränsöverskridande av många säkerhetsexperter och kan vara sårbara för mer sofistikerade attacker, särskilt om processen för skapande av lösenord är felaktig eller användare gör förutsägbara val.
Faktorer som påverkar entropikraven:
* Värdet på de skyddade uppgifterna: Om du skyddar mycket känslig information (t.ex. bankkonton, regeringshemligheter) vill du ha betydligt högre entropi. Tänk i intervallet 100 bitar eller mer.
* Anglarens resurser: Nationstatliga aktörer eller stora kriminella organisationer har resurser för att knäcka lösenord som skulle betraktas som "starka" för genomsnittliga användare.
* Hashing -algoritmen som används: En modern, stark hash -algoritm (som Argon2, Bcrypt eller Scrypt) är avgörande. Om du använder en äldre, svagare algoritm (som MD5 eller SHA1) kan till och med höga entropilösenord vara sårbara. Hashing -algoritmen bidrar till kostnaden för en attack, vilket gör det till ett viktigt försvarsskikt.
* Salt: Ett unikt, slumpmässigt genererat salt bör * alltid * användas när hash -lösenord. Salter hindrar angripare från att använda förputerade tabeller med lösenordshash (regnbågtabeller).
* Lösenordskomplexitetskrav: Medan komplexitetskraven (t.ex. "måste innehålla en versaler, ett nummer och en symbol") ofta implementeras, kan de slå tillbaka. Användare tenderar att skapa förutsägbara lösenord som uppfyller kraven, vilket faktiskt * minskar * entropi. Det är bättre att uppmuntra *längd *och *slumpmässighet *.
* Återanvändning av lösenord: Återanvändning av lösenord på flera webbplatser är en * stor * säkerhetsrisk. Om en tjänst komprometteras blir alla konton med samma lösenord sårbara.
* Lösenordschefer: Att använda en ansedd lösenordshanterare för att generera och lagra starka, unika lösenord för varje webbplats rekommenderas starkt. Lösenordshanterare kan enkelt skapa och hantera lösenord med 128 bitar av entropi eller högre.
* Multi-Factor Authentication (MFA): Att aktivera MFA lägger till ett andra lager av säkerhet, även om lösenordet är svagt eller komprometterat. Detta ökar svårigheten för en angripare.
Uppskattning av entropi:
Entropi mäts vanligtvis i *bitar *. Varje bit representerar en 50% minskning av osäkerheten. Ju högre entropi, desto svårare är det att gissa eller knäcka lösenordet.
* Teckenuppsättning Storlek: Antalet möjliga tecken du kan använda i ditt lösenord (versaler, små bokstäver, siffror, symboler).
* Lösenordslängd: Antalet tecken i ditt lösenord.
Formeln för att tillnärma entropin är:
`Entropi (bitar) ≈ längd * log2 (teckenuppsättning)`
`Log2 (x)` är bas-2-logaritmen för `x`. Du kan ungefärliga det med `log10 (x) / log10 (2) ≈ log10 (x) / 0,301`.
Exempel:
Låt oss säga att du har ett lösenord som är 12 tecken långt och använder stora bokstäver, små bokstäver, siffror och vanliga symboler (cirka 95 tecken totalt).
* Längd =12
* Karaktärsuppsättningsstorlek =95
Entropi ≈ 12 * log2 (95) ≈ 12 * (Log10 (95) / 0,301) ≈ 12 * (1.978 / 0,301) ≈ 12 * 6,57 ≈ 78,84 bitar
Rekommendationer:
* Sikta för minst 80 bitar av entropi. Detta är en bra balans mellan säkerhet och användbarhet för många applikationer.
* Prioritera lösenordslängd över komplexitetskrav. Ett långt, slumpmässigt lösenord är mycket svårare att spricka än en kort, komplex.
* Använd en stark lösenordshash -algoritm med ett unikt salt.
* Aktivera multifaktorautentisering när det är möjligt.
* Uppmuntra (eller till och med verkställa) användningen av lösenordschefer.
* Granska och uppdatera lösenordspolicyer regelbundet.
* Utbilda användare om bästa praxis för lösenordssäkerhet.
Sammanfattningsvis är 80 bitar en bra utgångspunkt, men den perfekta minsta entropin beror på det specifika sammanhanget. Tänk alltid på värdet på de skyddade uppgifterna, de potentiella angriparna och de tillgängliga säkerhetsåtgärderna.
