Wachtwoord entropie

Wachtwoord entropie is een meting van hoe onvoorspelbaar een wachtwoord is.

Wachtwoord entropie is gebaseerd op de gebruikte tekenset (die uitbreidbaar is door het gebruik van kleine letters, hoofdletters, cijfers en symbolen) evenals de lengte van het wachtwoord. Wachtwoord entropie voorspelt hoe moeilijk een bepaald wachtwoord te kraken zou zijn door middel van raden, brute kracht kraken, woordenboek aanvallen of andere veelgebruikte methoden.

Wachtwoord entropie wordt meestal uitgedrukt in termen van bits: Een wachtwoord dat al bekend is, heeft nul bits entropie; een wachtwoord dat de helft van de tijd bij de eerste poging wordt geraden, heeft 1 bit entropie. De entropie van een wachtwoord kan worden berekend door de entropie per teken te vinden, die een logbasis 2 is van het aantal tekens in de gebruikte tekenset, vermenigvuldigd met het aantal tekens
in het wachtwoord zelf.

NIST geeft de volgende richtlijnen voor door de gebruiker geselecteerde wachtwoorden met 30 bits entropie:

  • Gebruik minimaal 8 tekens geselecteerd uit  een set van 94 tekens.
  • Bevat ten minste één hoofdletter, één kleine letter, één cijfer en één speciaal teken.
  • Gebruik een woordenboek met veelvoorkomende woorden die gebruikers moeten vermijden, zoals een zwarte lijst met wachtwoorden.
  • Gebruik geen permutaties van uw gebruikersnaam als wachtwoord.

Natuurlijk kan de entropie van wachtwoorden niet het enige zijn waarnaar wordt gekeken, anders zouden wachtwoorden te lang, te complex en te onherinnerlijk zijn. De beste aanpak is om iets te gebruiken dat de gebruiker onthoudt, maar dat niet gemakkelijk door iemand anders kan worden geraden. Omdat de lengte van een wachtwoord een van de belangrijkste factoren is die van invloed is op de entropie en algehele sterkte van een wachtwoord, kan een langer wachtwoord eenvoudiger zijn dan een korter en toch effectief zijn.

Zie ook: wachtwoordsterktemeter