Entropia Parolei Explicată — Și De Ce Parola Ta "Complexă" Este Mai Slabă Decât o Expresie de Acces
Entropia este singura măsură onestă a puterii unei parole. Iată cum se calculează, cât timp au nevoie atacatorii pentru a sparge diferite niveluri și de ce patru cuvinte aleatoare învinge adesea o parolă "P@ssw0rd!" de 12 caractere.
"Fă parola ta complexă" este sfat inutil. Îți spune să adaugi un simbol și o cifră ca și cum asta ar asigura parola. Nu face asta. Singura măsură onestă a puterii unei parole este entropia, și majoritatea parolelor "complexe" scad mai rău la ea decât crezi.
Ce Măsoară De Fapt Entropia
Entropia este numărul de biți de aleatorie în parola ta — cu alte cuvinte, câte încercări are nevoie în medie un atacator pentru a o sparge prin forță brută. Se calculează ca lungime × log₂(dimensiune set).
Exemplu: o parolă de 10 caractere folosind doar litere mici (set = 26) are entropia 10 × log₂(26) ≈ 47 biți. O parolă de 10 caractere folosind litere mici, litere mari, cifre și simboluri (set = 88) are 10 × log₂(88) ≈ 64,6 biți. Aceeași lungime, dar setul mai mare face ca fiecare caracter să lucreze mai greu.
Câți Biți Sunt "Siguri"?
Praguri aproximative moderne (presupunând o parolă bine hash-uită care rezistă unei scurgeri de bază de date — dacă site-ul folosește bcrypt sau argon2, ceea ce ar trebui să facă):
- Sub 40 biți: poate fi spartă în minute de un singur GPU.
- 40–60 biți: poate fi spartă în ore până la săptămâni de un atacator serios cu o fermă de GPU-uri.
- 60–80 biți: sigură împotriva forței brute offline de azi. Obiectiv bun pentru conturi individuale.
- 80–100 biți: rezistentă la orice adversar curent, inclusiv state-nații, pentru durata de viață a hardware-ului actual.
- 100+ biți: excesivă pentru orice model de amenințare realist.
Urmărește 80 biți pentru orice care protejează bani, identitate sau infrastructură. Urmărește 100+ pentru parola principală a managerului tău de parole.
Capcana Parolei "Complexe"
Utilizatorii rugați să creeze o parolă "complexă" aleg modele previzibile: capitalizează prima literă, adaugă o cifră la final, înlocuiește a cu @. Password1! are 10 caractere și arată complex unui om. Pentru un cracker, este o singură încercare — apare în fiecare dicționar de parole scurse.
Entropia reală a parolelor alese de utilizatori este dramatic mai mică decât sugereaza dimensiunea setului lor, deoarece oamenii nu sunt buni la a fi aleatori. Studiile o plasează constant în jurul a 20–30 biți indiferent de complexitatea revendicată.
De Ce Expresiile de Acces Câștigă
O expresie de acces este 4–7 cuvinte aleatoare unite cu cratimă: garden-river-pencil-strong-sunset-bridge. Șase cuvinte aleatoare dintr-o listă de 512 cuvinte au 6 × log₂(512) = 54 biți de entropie — mai mult decât reușesc majoritatea oamenilor cu parola lor "complexă", și dramatic mai ușor de reținut.
Scală la șapte cuvinte și treci 63 biți. Opt cuvinte dintr-o listă Diceware de 7776 cuvinte dau 103 biți. Toate în timp ce sunt ușor de tastat, ușor de reținut și imune la majoritatea atacurilor de dicționar (deoarece combinația este aleatoare chiar dacă fiecare cuvânt este comun).
Parole Pronunțabile: Poziția de Mijloc
Pentru scenarii în care o parolă trebuie dictatăpeste telefon, parolele pronunțabile alternează consoane și vocale: baketomiloguno. Fiecare silabă (consoană + vocală) are log₂(21 × 5) ≈ 6,7 biți de entropie, deci șase silabe dau ~40 biți.
Mai slabă decât expresiile de acces dar mai puternică decât parolele tipice alese de oameni, și critic mai ușor de citit cu voce tare fără a întreba "era asta un O sau un zero?".
Generarea Parolelor Sigure
Nu te baza pe aleatoria umană. Folosește un instrument. aukimi Password Generator oferă trei moduri — aleator, expresie de acces și pronunțabil — cu o metru de entropie în timp real pentru a vedea exact cât de puternică este ieșirea ta. Folosește crypto.getRandomValues (sursa aleatoare criptografic sigură a browserului) și aplică rejection sampling pentru a elimina modulo bias.
Critic: generarea se întâmplă în întregime în browserul tău. Nimic nu este transmis, înregistrat sau stocat. Deschide tab-ul network din devtools-urile tale în timp ce generezi — vei vedea zero cereri ieșind din pagină.
Singura Regulă
Folosește un manager de parole. Generează o parolă lungă și aleatoare pentru fiecare site (managerul tău de parole nu o uită niciodată, deci lungimea nu contează pentru utilizabilitate). Folosește o expresie de acces ca parola principală a managerului tău de parole — asta este cea pe care trebuie s-o reții.
Totul altceva este optimizare. Obține acest model bine și ești înainte a 95% dintre utilizatori.
Ți-a plăcut acest articol?
Articole Similare
Stack-ul creativ s-a prăbușit tocmai: O săptămână de AI tooling, sfârșitul aprilie 2026
Între 27 aprilie și 4 mai 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen și Anthropic au depășit aceeași limită în opt zile. Iată ce s-a lansat, ce înseamnă și unde lasă asta suita de design creativă bazată pe browser care încearcă să consolideze totul.
AI Music și SFX în 2026: Ce Funcționează Într-Adevăr în Audio pentru Jocuri Indie
Acum trei ani, audio pentru jocuri indie însemna fie licențierea bibliotecilor royalty-free (ieftin, generic, fiecare joc sună la fel) fie angajarea unui compozitor (excelent, scump). În 2026, AI generează muzică care ajunge în produs. Iată care instrumente funcționează — și unde compozitorul uman încă câștigă.
Generarea Mesh-urilor AI în 2026: Ce Se Lansează de Fapt în Pipeline-urile de Jocuri
Image-to-3D a evoluat de la "demo ciudată" la "lansare în proiecte indie" în optsprezece luni. Iată ce fac de fapt Tripo, Meshy, Rodin și Hyper3D în producție — și unde artistul 3D încă bate modelul în fiecare dată.