KNEU Logo Публікації КНЕУ імені Вадима Гетьмана Publications of KNEU named after Vadym Hetman
Switch to Ukrainian Switch to English
Modeling and Information System in Economics

Modeling and Information System in Economics

ISSN 2708-9746
Позднякович Олександр Євгенович
Oleksandr Pozdniakovych
Каленюк А. Р.
A. Kaleniuk

Кількісна оцінка стійкості паролів у системах автентифікації на основі ентропійних та ймовірнісних моделей

Quantitative evaluation of password strength in authentication systems based on entropy and probabilistic models

DOI:

10.33111/mise.105.12

Анотація: У статті розглядається проблема кількісної оцінки стійкості текстових паролів у сучасних системах автентифікації. Проаналізовано обмеження класичного ентропійного підходу Шеннона при оцінці реальних паролів, створених користувачами. Запропоновано комплексну методологію оцінки, що базується на поєднанні n-грамних моделей Маркова та метрики Guesswork (очікуваної кількості спроб вгадування). Встановлено математичні залежності між імовірністю пароля, «бітами стійкості» та реальним часом зламу з урахуванням сучасних стандартів хешування. Продемонстровано переваги запропонованого підходу в контексті вимог стандарту NIST SP 800-63B-4 щодо динамічного формування політик безпеки.
Abstract: The article discusses the problem of quantitative assessment of text password strength in modern authentication systems. It analyzes the limitations of Shannon's classic entropy approach when evaluating real passwords created by users. It proposes a comprehensive evaluation methodology based on a combination of Markov n-gram models and the Guesswork metric (the expected number of guess attempts). Mathematical dependencies between password probability, «bits of strength», and real-world cracking time are established, taking into account modern hashing standards. The advantages of the proposed approach are demonstrated in the context of the requirements of the NIST SP 800-63B-4 standard for dynamic security policy formation.
Ключові слова: стійкість паролів, ентропія Шеннона, Guesswork, n-грамні моделі Маркова, системи автентифікації, кібербезпека, NIST SP 800-63B-4, біти стійкості.
Key words: password strength, Shannon entropy, guesswork, n-gram Markov models, authentication systems, cybersecurity, NIST SP 800-63B-4, bits of strength.
УДК: 004.056.5:519.2:519.7
UDC: 004.056.5:519.2:519.7
To cite paper
In APA style
Pozdniakovych, O., & Kaleniuk, A. (2025). Quantitative evaluation of password strength in authentication systems based on entropy and probabilistic models. Modeling and Information System in Economics, 105, 149-157. http://doi.org/10.33111/mise.105.12
In MON style
Позднякович О.Є., Каленюк А.Р. Кількісна оцінка стійкості паролів у системах автентифікації на основі ентропійних та ймовірнісних моделей. Моделювання та інформаційні системи в економіці. 2025. № 105. С. 149-157. http://doi.org/10.33111/mise.105.12 (дата звернення: 28.06.2026).
With transliteration
Pozdniakovych, O., Kaleniuk, A. (2025) Kilkisna otsinka stiikosti paroliv u systemakh avtentyfikatsii na osnovi entropiinykh ta ymovirnisnykh modelei [Quantitative evaluation of password strength in authentication systems based on entropy and probabilistic models]. Modeling and Information System in Economics, no. 105. pp. 149-157. http://doi.org/10.33111/mise.105.12 [in Ukrainian] (accessed 28 Jun 2026).
# 105 / 2025 # 105 / 2025
Download Paper
46
Views
7
Downloads
0
Cited by

1. Bonneau J., Herley C., van Oorschot P. C., Stajano F. Passwords and the Evolution of Imperfect Authentication. Communications of the ACM. 2015. Vol. 58, No. 7. P. 78–87.

2. Kelley P. G., Komanduri S., et al. Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms. 2012 IEEE Symposium on Security and Privacy. 2012. P. 523–537.

3. Ma J., Yang W., Luo M., Li N. A Study of Probabilistic Password Models. 2014 IEEE Symposium on Security and Privacy. 2014. P. 689–704.

4. Massey J. L. Guessing and entropy. Proceedings of 1994 IEEE International Symposium on Information Theory. 1994. P. 204. 156

5. DellʼAmico M., Michiardi P., Roudier Y. Password Strength: An Empirical Analysis. INFOCOM, 2010 Proceedings IEEE. 2010. P. 1–9.

6. NIST. Digital Identity Guidelines. SP 800-63B-4 (Draft). 2024/2025. URL: https://pages.nist.gov/800-63-4/

7. Castelluccia C., Dürmuth M., Perito D. Adaptive Password-Strength Meters from Markov Models. Proceedings of the 19th NDSS. 2012.

8. Pliam J. O. The Disparity between Work and Entropy in Cryptology. IACR Cryptology ePrint Archive. 1998. Report 1998/024.

9. Shannon C. E. A Mathematical Theory of Communication. Bell System Technical Journal. 1948. Vol. 27.

10. Reaz K., Wunder G. Expectation Entropy as a Password Strength Metric. arXiv preprint arXiv:2404.16853. 2024.

11. Wheeler D. L. zxcvbn: Low-Budget Password Strength Estimation. 25th USENIX Security Symposium. 2016. P. 157–173.

12. Weir M. et al. Password Cracking Using Probabilistic Context-Free Grammars. 2009 IEEE Symposium on Security and Privacy. 2009. P. 391 405.