エントロピーとは
この記事は約 2 分で読めます
エントロピーとは、情報理論における不確実性の尺度であり、パスワードの文脈では その予測困難さをビット数で表す指標です。エントロピーの値が大きいほど、 パスワードの推測が困難であることを意味します。パスワードのエントロピーは 使用する文字種の数と文字数から計算され、ブルートフォース攻撃に対する 耐性を定量的に評価できます。
計算方法
パスワードのエントロピーは「log2 (文字種の数) × 文字数」で算出されます。 たとえば、英小文字 (26 種) のみの 8 文字パスワードのエントロピーは log2(26) × 8 ≒ 37.6 ビットです。英大文字・英小文字・数字・記号を含む 95 種の文字で 16 文字のパスワードを生成すると、log2(95) × 16 ≒ 105 ビットの エントロピーが得られます。パスつく.com の強度メーターはこの計算に基づいて パスワードの強度をリアルタイムで表示しています。
情報理論とエントロピーの概念は、情報理論の入門書 (Amazon)で基礎から学べます。
推奨されるエントロピー
一般的なウェブサービスでは 60 ビット以上、金融サービスや重要なアカウントでは 80 ビット以上のエントロピーが推奨されます。120 ビット以上あれば、 現在のコンピュータ技術では事実上解読不可能です。パスつく.com では、 英大文字・英小文字・数字・記号の 4 種類を使い 16 文字で生成すると 約 105 ビットのエントロピーが得られ、ほとんどの用途に十分な強度です。 エントロピーを高めるには、文字数を増やすことが最も効果的です。 文字種を増やすよりも文字数を増やす方が、エントロピーへの寄与が大きくなります。暗号解読と数学の書籍 (Amazon)も理論的な背景の理解に役立ちます。