Entropia de senha é uma medida da imprevisibilidade de uma senha.
Entropia de senha é baseada no conjunto de caracteres utilizados (que é expansível usando letras minúsculas, maiúsculas, números assim como símbolos), assim como o comprimento da senha. A entropia de senha prevê o quão difícil uma dada senha seria decifrar através de adivinhação, quebra de força bruta, ataques de dicionário ou outros métodos comuns.
A entropia de senha é normalmente expressa em termos de bits: Uma senha que já é conhecida tem zero bits de entropia; uma que seria adivinhada na primeira tentativa na metade do tempo teria 1 bit de entropia. A entropia de uma senha pode ser calculada encontrando a entropia por caractere, que é uma base log 2 do número de caracteres no conjunto de caracteres usado, multiplicado pelo número de caracteres
na própria senha.
NIST fornece as seguintes diretrizes para senhas selecionadas pelo usuário com 30 bits de entropia:
- Utilizar um mínimo de 8 caracteres selecionados de um conjunto de 94 caracteres.
- Inclua pelo menos uma letra maiúscula, uma letra minúscula, um número e um caracter especial.
- Utilize um dicionário de palavras comuns que os usuários devem evitar, como uma lista negra de senhas.
- Não use nenhuma permutação do seu nome de usuário como sua senha.
A entropia de senhas não pode ser a única coisa considerada ou senhas seriam muito longas, complexas e imemoráveis. As melhores práticas envolvem o emprego de algo memorável para o usuário, mas não facilmente adivinhado por ninguém. Como o comprimento da senha é um dos fatores mais importantes que afetam a entropia e a força geral da senha, uma senha mais longa pode ser mais simples do que uma mais curta e ainda ser eficaz.
p>b>Ver também: medidor de força da senha