Não existe uma entropia "mínima" universalmente acordada para uma senha segura. A segurança é sempre uma troca entre usabilidade e proteção, e a resposta "certa" depende muito do contexto e do modelo de ameaça.

No entanto, aqui está um colapso de recomendações e considerações comuns:

Diretrizes gerais:

* 80 bits de entropia é uma linha de base amplamente recomendada para uma forte segurança de senha. Este é um bom ponto de partida para a maioria dos aplicativos e serviços. Por que? Porque faz com que a forçar a senha proibitivamente caro para a maioria dos atacantes.

* pelo menos 11 caracteres com forte aleatoriedade: Isso geralmente se traduz em aproximadamente 50 bits de entropia usando um gerador de senha forte com um grande conjunto de caracteres (maiúsculas, minúsculas, dígitos, símbolos). Embora melhor do que nada, é considerado limítrofe adequado por muitos especialistas em segurança e pode ser vulnerável a ataques mais sofisticados, especialmente se o processo de criação de senha for falha ou os usuários fazem escolhas previsíveis.

fatores que afetam os requisitos de entropia:

* O valor dos dados protegidos: Se você estiver protegendo informações altamente sensíveis (por exemplo, contas bancárias, segredos do governo), você deseja uma entropia significativamente mais alta. Pense na faixa de 100 bits ou mais.

* Os recursos do invasor: Os atores do Estado-nação ou grandes organizações criminosas têm os recursos para quebrar senhas que seriam consideradas "fortes" para usuários médios.

* o algoritmo de hash usado: Um algoritmo moderno e forte de hash (como Argon2, BCRYPT ou SCRYPT) é crucial. Se você estiver usando um algoritmo mais antigo e mais fraco (como MD5 ou SHA1), mesmo as senhas de entropia alta podem ser vulneráveis. O algoritmo de hash aumenta o custo de um ataque, tornando -o uma camada vital de defesa.

* sal: Um sal exclusivo e gerado aleatoriamente deve * sempre * ser usado quando hash de senhas. Os sais impedem que os atacantes usem mesas pré-computadas de hashes de senha (mesas de arco-íris).

* Requisitos de complexidade de senha: Embora os requisitos de complexidade (por exemplo, "devam conter uma letra em maiúsculas, um número e um símbolo") são frequentemente implementados, eles podem sair pela culatra. Os usuários tendem a criar senhas previsíveis que atendam aos requisitos, que realmente * reduzem * a entropia. É melhor incentivar *comprimento *e *aleatoriedade *.

* reutilização de senha: A reutilização de senha em vários sites é um * principal risco de segurança. Se um serviço estiver comprometido, todas as contas usando a mesma senha se tornam vulneráveis.

* gerentes de senha: O uso de um gerenciador de senhas respeitável para gerar e armazenar senhas fortes e exclusivas para cada site é altamente recomendado. Os gerentes de senha podem criar e gerenciar facilmente senhas com 128 bits de entropia ou mais.

* Autenticação multifatorial (MFA): A ativação do MFA adiciona uma segunda camada de segurança, mesmo que a senha seja fraca ou comprometida. Isso aumenta significativamente a dificuldade para um invasor.

Estimativa de entropia:

A entropia é geralmente medida em *bits *. Cada bit representa uma redução de 50% na incerteza. Quanto maior a entropia, mais difícil é adivinhar ou quebrar a senha.

* Tamanho do conjunto de caracteres: O número de caracteres possíveis que você pode usar em sua senha (maiúsculas, minúsculas, dígitos, símbolos).

* Comprimento da senha: O número de caracteres em sua senha.

A fórmula para aproximar a entropia é:

`Entropia (bits) ≈ comprimento * log2 (tamanho do conjunto de caracteres)`

`log2 (x)` é o logaritmo base-2 de `x`. Você pode se aproximar com `log10 (x) / log10 (2) ≈ log10 (x) / 0,301`.

Exemplo:

Digamos que você tenha uma senha com 12 caracteres e usa letras maiúsculas, letras minúsculas, dígitos e símbolos comuns (cerca de 95 caracteres no total).

* Comprimento =12
* Tamanho do conjunto de caracteres =95

Entropia ≈ 12 * log2 (95) ≈ 12 * (log10 (95) / 0,301) ≈ 12 * (1,978 / 0,301) ≈ 12 * 6,57 ≈ 78,84 bits

Recomendações:

* busca pelo menos 80 bits de entropia. Este é um bom equilíbrio entre segurança e usabilidade para muitas aplicações.
* Priorize o comprimento da senha sobre os requisitos de complexidade. Uma senha longa e aleatória é muito mais difícil de quebrar do que uma curta e complexa.
* Use um algoritmo de hash de senha forte com um sal único.
* Habilite a autenticação de vários fatores sempre que possível.
* Incentive (ou mesmo aplicar) o uso de gerentes de senha.
* Revise e atualize regularmente as políticas de senha.
* Eduque os usuários sobre as melhores práticas de segurança de senha.

Em resumo, 80 bits é um bom ponto de partida, mas a entropia mínima ideal depende do contexto específico. Sempre considere o valor dos dados protegidos, os possíveis invasores e as medidas de segurança disponíveis.