L'entropia delle password è una misura di quanto sia imprevedibile una password.
L'entropia della password si basa sul set di caratteri utilizzato (che è espandibile utilizzando lettere minuscole, maiuscole, numeri e simboli) e sulla lunghezza della password. L'entropia delle password predice quanto sarebbe difficile una determinata password da decifrare attraverso supposizioni, cracking con forza bruta, attacchi al dizionario o altri metodi comuni.
L'entropia delle password è solitamente espressa in termini di bit: una password già nota ha zero bit di entropia; uno che sarebbe indovinato al primo tentativo la metà delle volte avrebbe 1 bit di entropia. L'entropia di una password può essere calcolata trovando l'entropia per carattere, che è una base logaritmica 2 del numero di caratteri nel set di caratteri utilizzato, moltiplicata per il numero di caratteri
nella password stessa.
Il NIST fornisce le seguenti linee guida per le password selezionate dall'utente con 30 bit di entropia:
- Utilizza un minimo di 8 caratteri selezionati da un set di 94 caratteri.
- Includere almeno una lettera maiuscola, una lettera minuscola, un numero e un carattere speciale.
- Utilizza un dizionario di parole comuni che gli utenti dovrebbero evitare, come una lista nera di password.
- Non utilizzare alcuna permutazione del tuo nome utente come password.
Ovviamente l'entropia delle password non può essere l'unica cosa da considerare o le password sarebbero troppo lunghe, complesse e non memorizzabili. Le migliori pratiche prevedono l'utilizzo di qualcosa di memorabile per l'utente ma non facilmente intuibile da nessun altro. Poiché la lunghezza della password è uno dei fattori più importanti che influenzano l'entropia e la forza complessiva della password, una password più lunga può essere più semplice di una più corta ed essere comunque efficace.
Vedi anche: misuratore di sicurezza della password