La entropía de la contraseña es una medida de cuán impredecible es una contraseña.
La entropía de la contraseña se basa en el juego de caracteres utilizado (que se puede expandir mediante el uso de minúsculas, mayúsculas, números y símbolos), así como la longitud de la contraseña. La entropía de la contraseña predice lo difícil que sería descifrar una contraseña determinada mediante adivinanzas, descifrado por fuerza bruta, ataques de diccionario u otros métodos comunes.
La entropía de la contraseña generalmente se expresa en términos de bits: una contraseña que ya se conoce tiene cero bits de entropía; uno que se adivinaría en el primer intento la mitad del tiempo tendría 1 bit de entropía. La entropía de una contraseña se puede calcular encontrando la entropía por carácter, que es una base logarítmica 2 del número de caracteres del conjunto de caracteres utilizado, multiplicado por el número de caracteres.
en la propia contraseña.
NIST proporciona las siguientes pautas para contraseñas seleccionadas por el usuario con 30 bits de entropía:
- Utilice un mínimo de 8 caracteres seleccionados de un conjunto de 94 caracteres.
- Incluya al menos una letra mayúscula, una letra minúscula, un número y un carácter especial.
- Utilice un diccionario de palabras comunes que los usuarios deben evitar, como una lista negra de contraseñas.
- No utilice ninguna permutaciones de su nombre de usuario como contraseña.
Por supuesto, la entropía de contraseñas no puede ser lo único que se considere o las contraseñas serían demasiado largas, complejas y poco memorables. Las mejores prácticas implican emplear algo memorable para el usuario pero que nadie más adivine fácilmente. Debido a que la longitud de la contraseña es uno de los factores más importantes que afectan la entropía de la contraseña y la solidez general, una contraseña más larga puede ser más simple que una más corta y aún así ser efectiva.
Ver también: medidor de seguridad de contraseña