Primeiro, entropia não é uma porcentagem, é um número dado pela fórmula abaixo ( · kht

Em resposta a Senhas aleatórias são realmente tão seguras?

Primeiro, entropia não é uma porcentagem, é um número dado pela fórmula abaixo (assumindo que a escolha dos caracteres foi aleatória):

E = \log_2(R^L)

Sendo que R é a quantidade de caracteres possíveis (por exemplo, se a senha só pode ter letras minúsculas sem acentos, o valor seria 26), e L é o tamanho da senha.

Outro detalhe é que a entropia leva em conta o processo de geração da senha, e não a senha em si (por exemplo, obrigar pelo menos uma letra maiúscula e uma minúscula muda o cálculo). Por isso não dá pra afirmar muita coisa sobre as senhas que vc usou de exemplo, porque não sabemos o valor de R e nem o processo que as gerou.

Tem também uma série de outras coisas pra levar em conta, sugiro que leia aqui para mais detalhes.

Dito isso...

Segurança é um assunto bem complexo, e tem muito achismo Internet afora. Eu não me atrevo a dar uma explicação mais detalhada, sob o risco de falar bobagem.

Por isso é melhor ler o que profissionais da área tem a dizer a respeito:

Um detalhe interessante citado nos links acima é que temos que levar em conta dois fatores: o computacional e o humano. Muitas vezes a gente cria senhas tecnicamente complexas, difíceis de adivinhar (ou seja, consideramos o fator computacional), mas que também são difíceis de lembrar (ou seja, desconsideramos o fator humano). O resultado é que o tiro pode sair pela culatra: a senha é tão difícil que os usuários começam a deixar ela anotada em post-it e colado no monitor, ou em arquivo texto no desktop, pra ficar mais fácil dar copy-paste.

Tem também muitos outros detalhes, leia os links indicados (e siga outros citados nas respostas) para mais informações. É muita coisa, até hoje não consegui absorver tudo, pois o assunto é extenso, profundo e complexo.

Obs: como bônus, um dos links citados discute o XKCD obrigatório sobre o assunto: