私のパスワードは何ビットのエントロピーを狙う必要がありますか？

パスワードメーターはダメです。まあ、それは少し単純化しているので、もう少し詳しく説明します。使用したような「パスワードメーター」アプリケーションは無意味で汎用的です。それが測定するのは、パスワードメーターの作者が考えた無知で一般的な戦略を使用して、パスワードを破る努力です。特に、そのパスワードメーターシステムは、短いリストからランダムに取得された単語を組み合わせることによってパスワードが生成されたことを認識していません。ただし、yourパスワードを解読しようとする攻撃者は、それを知って適応します。公開フォーラムに書き込んだだけなので、公開情報になりました。

修正エントロピー計算は、実際のパスワード値では機能しませんが、パスワードが生成されたプロセスでは機能します。攻撃者がプロセスを認識し、実際のランダムな選択を除いてすべてを知っていると単純に仮定します。 5000のリストから4ワードを使用すると、5000のセットで1つのパスワードを取得します⁴ 均一な選択確率（これは重要な仮定です）なので、ここでのエントロピーは49.15ビットです（2^49.15 ほぼ5000に等しい⁴）。 3ワードで36.86ビットを取得します。エントロピー計算の詳細については、 この答え を参照してください。

（Webベースの「パスワードメーター」にパスワードを入力する知恵にも疑問があります。リンクするものclaims JavaScriptですべての計算を実行し、パスワードがブラウザーを離れないこと、しかしあなたは本当にそれを確かめるためにJavascriptソースをチェックしましたか？）

パスワードに関する限り、36.86ビットのエントロピーはかなり良いです。平均的なユーザーが選択したパスワードからのエントロピーは、それよりもはるかに低くなります。このようなパスワードwillハッシュが適切に実行されなかった場合（たとえば、いくつかのSHA-1呼び出しを使用した自家製の構造）、対応するハッシュを取得した攻撃者によって破られますが、それでも可能性は他にありますユーザーが最初に落ちます。

ただし、あなたは何か本当に悪いことをしています。それはあなたの最初の文にあります：

私は主に2つのパスワードを使用します。1つは18文字の長さの4ワードの完全な小文字のパスフレーズです可能な限り使用します。

強調は私のものです。それは問題を示しています。パスワードを再利用しています。それは悪いです。パスワードを再利用しないでください。 [〜＃〜] n [〜＃〜]サイトで同じパスワードを使用すると、allサイトでのアカウントのセキュリティが、最悪[〜＃〜] n [〜＃〜]。さらに、そのサイトがハッキングされてパスワードが盗まれ、P2Pネットワークを介して交換されたログイン+パスワードのリストにパスワードが表示された場合、どのサイトが間違っていたかはわかりません。多くのサイトにはまだプレーンテキストのパスワード（銃乱射）が保存されているため、広く再利用されているパスワードはすべてすでに漏えいしていると想定する必要があります。

サイト固有のパスワードを使用すると、特定の犯人に損害が及ぶことになります。もちろん、これはあなたの側にあるストレージシステムを意味します。 KeePass 、またはローテクの「passwords.txt」ファイル（保存して使用する場所に注意する必要がありますが、適切な物理的セキュリティで管理できます）、または印刷されたもの財布に入れておくリスト。 実際には、損傷を封じ込めるためのパスワードの分離は、パスワードエントロピーよりもセキュリティにとって非常に重要です。