אנטרופיה של סיסמאות הוסברה — והסיסמה "המורכבת" שלך חלשה יותר מסיסמת-ביטוי

"הפוך את הסיסמה שלך למורכבת" היא עצה חסרת תועלת. היא אומרת לך להוסיף סימן וספרה כאילו זה הופך את הסיסמה לבטוחה. זה לא קורה. המדד היחיד והכנה לחוזק סיסמה הוא אנטרופיה, ורוב הסיסמאות "המורכבות" מקבלות בה ניקוד גרוע יותר מממה שאתה חושב.

מה אנטרופיה למעשה מודדת

אנטרופיה היא מספר ביטים של אקראיות בסיסמה שלך — בעברית פשוטה, כמה ניחושים צריך תוקף בממוצע כדי לפרוץ אותה בכוח גס. היא מחושבת כ-length × log₂(pool size).

דוגמה: סיסמה בת 10 תווים המשתמשת רק בעברית קטנה (pool = 26) יש לה אנטרופיה 10 × log₂(26) ≈ 47 bits. סיסמה בת 10 תווים המשתמשת בעברית קטנה, גדולה, ספרות וסימנים (pool = 88) יש 10 × log₂(88) ≈ 64.6 bits. אותו אורך, אבל ה-pool הגדול יותר הופך כל תו לעובד קשה יותר.

כמה ביטים זה "בטוח"?

סף מודרני משוער (בהנחה של סיסמה כשלעצמה מעוברת hash שעומדת בדת מסד נתונים — אם האתר משתמש ב-bcrypt או argon2, כמו שצריך):

• מתחת ל-40 ביטים: ניתן לפרוץ בדקות על ידי GPU יחיד.
• 40–60 ביטים: ניתן לפרוץ בשעות לשבועות על ידי תוקף רציני עם farm של GPUs.
• 60–80 ביטים: בטוח כנגד כוח גס לא מקוון של היום. יעד טוב לחשבונות ממשלתיים.
• 80–100 ביטים: עמיד כנגד כל יריב קיים כיום, כולל מדינות, לאורך חיי החומware הנוכחי.
• 100+ ביטים: יתר על המידה לכל מודל איום ריאליסטי.

כוון ל-80 ביטים בכל דבר שמגן על כסף, זהות או תשתית. כוון ל-100+ בסיסמת הראשית של מנהל הסיסמאות שלך.

מלכודת הסיסמה "המורכבת"

משתמשים שנשאלו ליצור סיסמה "מורכבת" בוחרים דפוסים צפויים: הונכת האות הראשונה, הוספת ספרה בסוף, החלפת a ב-@. Password1! הוא 10 תווים ונראה מורכב לאדם. לפורץ, זה ניחוש אחד — הוא מופיע בכל מילון סיסמאות שנדלף.

האנטרופיה האמיתית של סיסמאות שנבחרו על ידי משתמש נמוכה בהרבה מממה שגודל ה-pool שלהם מצביע, כי אנשים לא טובים בהיות אקראיים. מחקרים עקביים מציבים את זה סביב 20–30 ביטים ללא קשר למורכבות הנטענת.

למה סיסמאות-ביטוי מנצחות

סיסמת-ביטוי היא 4–7 מילים אקראיות מחוברות עם מקפים: garden-river-pencil-strong-sunset-bridge. שש מילים אקראיות מרשימה של 512 מילים יש 6 × log₂(512) = 54 bits אנטרופיה — יותר מממה שרוב האנשים משיגים עם הסיסמה "המורכבת" שלהם, ובעיקר יותר קל לזכור.

קנה מידה לשבע מילים ואתה חוצה 63 ביטים. שמונה מילים מרשימה של 7776 מילים (Diceware) נותנות 103 ביטים. הכל תוך כדי היותו קל להקלדה, קל לזכור, ועמיד כנגד רוב התקפי מילון (כי הצירוף אקראי גם אם כל מילה נפוצה).

סיסמאות בעלות ​​הגייה: הקרקע האמצעית

לתרחישים שבהם צריך להוקלד סיסמה על פני הטלפון, סיסמאות בעלות הגייה מתחלפות בין עיצורים וגלים: baketomiloguno. כל הברה (עיצור + גל) יש log₂(21 × 5) ≈ 6.7 ביטים של אנטרופיה, אז שש הברות נותנות ~40 ביטים.

חלש יותר מסיסמאות-ביטוי אבל חזק יותר מסיסמאות אופייניות שנבחרו על ידי אדם, ובעיקר קל הרבה יותר לקרוא בקול ללא שאלה "היה זה O או אפס?".

יצירת סיסמאות בטוחות

אל תסתמך על אקראיות של אדם. השתמש בכלי. ה-Generator סיסמאות aukimi מציע שלוש מצבים — אקראי, סיסמת-ביטוי, והגייה — עם מד אנטרופיה חי כדי שתוכל לראות בדיוק כמה חזק הפלט שלך הוא. זה משתמש ב-crypto.getRandomValues (מקור אקראי מובטח קריפטוגרפית של הדפדפן) ויישומי דגימה דחייה כדי להסיר הטיה modulo.

קרוב לודאות: היצירה מתרחשת לחלוטין בדפדפן שלך. שום דבר לא מועבר, רשום או מאוחסן. פתח את devtools שלך tab רשת בעת יצירה — תראה אפס בקשות עוזבות את הדף.

הכלל האחד

השתמש במנהל סיסמאות. יצור סיסמה ארוכה אקראית לכל אתר (מנהל הסיסמאות שלך לעולם לא שוכח את זה, אז אורך לא חשוב לשימושיות). השתמש ב-סיסמת-ביטוי כסיסמת הראשית של מנהל הסיסמאות שלך — זה היחיד שעליך לזכור.

הכל אחר הוא אופטימיזציה. תקן את דפוס אחד זה ואתה קדימה של 95% מהמשתמשים.