Parola Entropisi Nedir?
Parola entropisi, bir parolanın ne kadar tahmin edilemez olduğunu gösteren bir ölçüdür ve bit cinsinden ifade edilir. Eklenen her bit, bir saldırganın yapması gereken tahmin sayısını ikiye katlar. 40 bit entropiye sahip bir parolanın kaba kuvvetle kırılması için \(2^{40}\) (yaklaşık bir trilyon) denemeye kadar ihtiyaç duyulurken, 80 bit bunun astronomik ölçüde daha güçlü bir hâlidir. Entropi, parola gücünü karşılaştırmak için elinizdeki en kullanışlı nesnel sayıdır.
Bu Hesaplayıcı Nasıl Kullanılır?
Parolanızın uzunluğunu girin ve parolanızda kullandığınız her karakter setini işaretleyin. Araç, havuz boyutlarını toplar — küçük harfler (26), büyük harfler (26), rakamlar (10) ve semboller (32) — böylece karakter seti boyutu N'yi elde eder ve entropiyi hesaplar. Hem uzunluğun artması hem de daha fazla karakter türü kullanmak entropiyi yükseltir; ancak en büyük katkıyı genellikle uzunluk sağlar.
Formülün Açıklaması
Standart formül $$E = L \times \log_{2}(N)$$ şeklindedir; burada L karakter sayısı, N ise karakter havuzunun boyutudur. Her karakter pozisyonu, N sembolden herhangi biri olabileceği için olası parolaların toplam sayısı \(N^{L}\) olur ve bunun \(\log_{2}\)'si bize bit cinsinden entropiyi verir. Bu hesaplama, parolanın gerçekten rastgele olduğunu varsayar; sözlükte yer alan bir kelimenin ya da tahmin edilebilir bir kalıbın gerçek entropisi, formülün gösterdiğinden çok daha düşüktür.
Örnek Hesaplama
Küçük harf, büyük harf ve rakamlardan oluşan 12 karakterlik bir parola düşünün. Karakter havuzu \(26 + 26 + 10 = 62\)'dir. Entropi:
$$E = 12 \times \log_{2}(62) = 12 \times 5{,}954 \approx 71{,}45 \text{ bit}$$Bu da yaklaşık \(2^{71{,}45} \approx 3{,}2 \times 10^{21}\) kombinasyona karşılık gelir — kaba kuvvet saldırılarına karşı son derece dayanıklıdır.
Sıkça Sorulan Sorular
Kaç bit "güçlü" sayılır? 60 bit ve üzeri, çoğu hesap için yeterlidir; yüksek değerli veya ana parolalar için 80 bit ve üzeri önerilir.
Bu hesaplama sözlük saldırılarını da dikkate alıyor mu? Hayır. Formül, karakterlerin rastgele olduğunu varsayar. Gerçek kelimeler, isimler ve harf değiştirmeleri (örneğin "a" yerine "@") gerçek entropiyi önemli ölçüde düşürür — rastgele bir parola üreteci ya da parola cümlesi (passphrase) kullanın.
Neden saniyede 10 milyar tahmin? Bu, hızlı algoritmalarla şifrelenmiş parolalara yönelik, kaynakları geniş bir çevrimdışı saldırı için makul bir tahmindir; daha yavaş şifreleme yöntemleri saldırganları daha da yavaşlatır.
