Что такое энтропия пароля?
Энтропия пароля — это мера его непредсказуемости, выраженная в битах. Каждый дополнительный бит удваивает количество вариантов, которые злоумышленнику придётся перебрать. Пароль с энтропией 40 бит требует до \(2^{40}\) (около триллиона) попыток для полного перебора, а 80 бит — это уже астрономически более стойкий вариант. Энтропия — это самый полезный объективный показатель для сравнения надёжности паролей.
Как пользоваться калькулятором
Укажите длину пароля и отметьте каждый набор символов, который в нём используется. Калькулятор суммирует размеры наборов — строчные буквы (26), прописные буквы (26), цифры (10) и символы (32) — и получает размер набора N, после чего вычисляет энтропию. И большая длина, и большее разнообразие символов повышают энтропию, но именно длина обычно даёт наибольший прирост.
Разбор формулы
Стандартная формула выглядит так: $$E = L \times \log_{2}(N)$$ где \(L\) — количество символов, а \(N\) — размер набора символов. Поскольку каждая позиция может независимо принимать любой из \(N\) символов, общее число возможных паролей равно \(N^{L}\), а \(\log_{2}\) от этого значения даёт энтропию в битах. Формула справедлива для по-настоящему случайного пароля: словарное слово или предсказуемый шаблон обладают гораздо меньшей реальной энтропией, чем показывает расчёт.
Пример расчёта
Возьмём пароль из 12 символов, в котором есть строчные и прописные буквы, а также цифры. Размер набора составит \(26 + 26 + 10 = 62\). $$E = 12 \times \log_{2}(62) = 12 \times 5{,}954 \approx 71{,}45 \text{ бита}$$ Это соответствует примерно \(2^{71{,}45} \approx 3{,}2 \times 10^{21}\) комбинаций — крайне устойчиво к перебору.
Частые вопросы
Сколько бит считается «надёжным»? 60+ бит вполне достаточно для большинства аккаунтов; 80+ бит рекомендуется для особо важных или мастер-паролей.
Учитывает ли расчёт словарные атаки? Нет. Формула предполагает случайные символы. Реальные слова, имена и замены букв (вроде «о» на «0») резко снижают настоящую энтропию — используйте генератор случайных паролей или парольную фразу.
Почему берётся 10 млрд попыток в секунду? Это разумная оценка для хорошо оснащённой офлайн-атаки на пароли с быстрым хешированием; более медленные алгоритмы хеширования ещё сильнее замедляют злоумышленника.
