A jelszóentrópia magyarázata — és miért gyengébb az "összetett" jelszavad, mint egy hozzászólás
Az entrópia az egyetlen őszinte mérőszáma a jelszó erősségének. Így számítják ki, mennyi ideig kell a támadóknak különböző szinteket feltörniük, és miért gyakran jobban teljesít négy véletlen szó, mint egy 12 karakteres "P@ssw0rd!".
"Készíts összetett jelszót" értelmetlen tanács. Azt mondja, hogy adj hozzá egy szimbólumot és egy számot, mintha ez biztonságossá tenné a jelszót. Nem teszi. Az egyetlen őszinte mérőszáma a jelszó erősségének az entrópia, és a legtöbb "összetett" jelszó ennél rosszabbul teljesít, mint gondolnád.
Mit mér valójában az entrópia
Az entrópia a jelszóban lévő véletlen bitek száma — más szóval, átlagosan hány találgatásra van szüksége egy támadónak, hogy brute force támadással feltörje. Ezt a hossz × log₂(készlet mérete) képlettel számítják ki.
Példa: egy 10 karakteres jelszó, amely csak kisbetűket tartalmaz (készlet = 26) 10 × log₂(26) ≈ 47 bit entrópiával rendelkezik. Egy 10 karakteres jelszó kisbetűkkel, nagybetűkkel, számokkal és szimbólumokkal (készlet = 88) 10 × log₂(88) ≈ 64,6 bit entrópiával rendelkezik. Ugyanez a hossz, de a nagyobb készlet miatt minden karakter keményebben dolgozik.
Hány bit a "biztonságos"?
Durva modern küszöbértékek (feltételezve, hogy egy jól hashelt jelszó, amely megbirkózik egy adatbázis-szivárgással — ha a webhely bcryptet vagy argon2-t használ, amit kellene):
- 40 bit alatt: néhány perc alatt feltörhető egyetlen GPU-val.
- 40–60 bit: néhány óra alatt feltörhető egy komoly támadó GPU farmjával.
- 60–80 bit: biztonságos a mai offline brute force támadások ellen. Jó cél egyedi fiókokhoz.
- 80–100 bit: ellenáll bármely jelenlegi ellenfélnek, beleértve az nemzetállamokat is, a jelenlegi hardver élettartama alatt.
- 100+ bit: túlzott bármely reális fenyegetési modellhez.
Célozz meg 80 bitet bármire, ami pénzt, identitást vagy infrastruktúrát véd. Célozz meg 100+ bitet a jelszókezelőd főjelszavára.
Az "összetett" jelszó csapda
Az olyan felhasználókat, akiket arra kérnek, hogy "összetett" jelszót készítsenek, kiszámítható minták választanak: az első betűt nagybetűvel írják, számot adnak a végéhez, az a-t @-ra cserélik. A Password1! 10 karakter és összetettnek tűnik az ember számára. A cracker számára ez egy találgatás — megjelenik minden kiszivárgott jelszóadatbázisban.
A felhasználó által választott jelszavak valódi entrópiája drámaian alacsonyabb, mint amire a készlet mérete sugallna, mivel az emberek nem jók a véletlenszerűség előállításában. A tanulmányok következetesen körülbelül 20–30 bitet mutatnak függetlenül az igényelt összetettségtől.
Miért nyernek a hozzászólások
A hozzászólás 4–7 véletlen szó, amely kötőjelekkel kapcsolódik: garden-river-pencil-strong-sunset-bridge. Hat véletlen szó egy 512 szavas listából 6 × log₂(512) = 54 bit entrópiával rendelkezik — több, mint amit a legtöbb ember elér az "összetett" jelszavával, és drámaian könnyebben megjegyezhető.
Hét szóra skálázva átlépsz a 63 bitet. Nyolc szó egy 7776 szavas listából (Diceware) 103 bitet ad. Mindez úgy, hogy könnyű beírni, könnyű megjegyezni, és ellenálló a legtöbb szótár támadásnak (mivel a kombináció véletlen, még ha minden szó is közös).
Kiejthetô jelszavak: az arany középút
Olyan helyzetekben, amikor egy jelszót telefonon keresztül kell diktálni, a kiejthetô jelszavak felváltva használnak mássalhangzókat és magánhangzókat: baketomiloguno. Minden szótag (mássalhangzó + magánhangzó) log₂(21 × 5) ≈ 6,7 bit entrópiával rendelkezik, így hat szótag körülbelül 40 bitet ad.
Gyengébb, mint a hozzászólások, de erősebb, mint a jellemző ember által választott jelszavak, és kritikusan könnyebben fel lehet olvasni anélkül, hogy azt kérdezné "az O vagy a nulla volt?".
Biztonságos jelszavak generálása
Ne támaszkodj az emberi véletlenszerűségre. Használj egy eszközt. Az aukimi jelszó generátor három módot kínál — véletlen, hozzászólás és kiejthetô — élő entrópia mérővel, így pontosan láthatod, hogy az eredményed milyen erős. Az crypto.getRandomValues (a böngésző kriptográfiailag biztonságos véletlenszám-forrása) használja, és elutasítási mintavételezést alkalmaz a modulo torzítás kiküszöbölésére.
Kritikus: a generálás teljes egészében a böngészôben történik. Semmi nincs továbbítva, naplózva vagy tárolva. Nyisd meg a devtools hálózat lapját, miközben generálsz — nulla kérést látsz elhagyni az oldalról.
Az egy szabály
Használj jelszókezelőt. Generálj egy hosszú véletlen jelszót minden helyhez (a jelszókezelôd soha nem felejti el, így a hossz nem számít a használhatósághoz). Használj egy hozzászólást a jelszókezelôd főjelszavaként — ez az egyetlen, amit meg kell jegyezned.
Minden más optimalizálás. Szerezd meg ezt az egy mintát, és megelőzöl 95% felhasználót.
Tetszett a cikk?
Kapcsolódó Cikkek
A kreatív stack összeomlott: Egy hét AI eszközök, április vége 2026
2026. április 27. és május 4. között az Adobe, Luma, Novi, fal, Figma, Canva, HeyGen és Anthropic nyolc nap alatt ugyanazt a küszöböt lépte át. Íme, mit adtak ki, mit jelent ez, és hova kerültek a böngészőalapú kreatív suitek, amelyek mindent összpontosítani próbálnak.
AI zene és hangeffektek 2026-ban: Mi működik valójában az indie játékaudio-ban
Három évvel ezelőtt az indie játékaudio két helyről származott: royalty-free könyvtárakból (olcsó, generikus, minden játék egyforma) vagy zeneszerzőtől (jó, drága). 2026-ban az AI generál olyan partitúrákat, amelyeket szállítani lehet. Íme, mely eszközök működnek — és hol nyer még egy emberi zeneszerző.
AI Mesh Generálás 2026-ban: Mi Szállítanak Valóban a Game Pipelineokba
Az Image-to-3D tizennyolc hónap alatt "kísértetiesről" "indie projektek szállítási szintjére" fejlődött. Íme, amit a Tripo, Meshy, Rodin és Hyper3D valóban csinál a produkciós munkafolyamatban — és hol veri meg őket az igazi 3D művész minden alkalommal.