P@ssw0rd!weak · 0s to crackaB7$jq2Wp1!medium · ~weekscorrect horse battery staple spongestrong · centurieslength beats complexity

Adgangskodestyrke

10 min læstSikkerhed

Regler for adgangskodestyrke - "mindst én stor bogstav, ét tal, ét symbol" - blev designet til en æra, hvor offline cracking var usædvanligt. I dag prøver GPU-farme milliarder af gæt i sekundet, og de regler, der passerer de fleste websteders kontrol, falder på få minutter. At forstå, hvad der faktisk gør en adgangskode stærk, er en af ​​de mest nyttige stykker sikkerhedsviden, der findes.

Hele artiklens krop findes på engelsk nedenfor.

Password-styrke er et mål for, hvor modstandsdygtigt et kodeord er over for at blive opdaget ved at gætte. Den relevante angriber er ikke et menneske, der skriver gæt – det er et automatiseret system, der kører milliarder af kandidater i sekundet mod en lækket password-hash. De klassiske regler for "komplekse adgangskoder" hjælper for det meste ikke mod denne trussel; længde og tilfældighed gør.

Hvor adgangskoder bliver angrebet

Tto forskellige scenarier:

  • Onlineangreb. Angriberen indsender gæt til selve login-formularen. Satsbegrænset af tjenesten; normalt besejret af grundlæggende konto lockout efter et par fejl. Langsomt, let at opdage.
  • Offlineangreb. Angriberen har stjålet adgangskodehashen fra en brudt database og kører gæt lokalt. Kun begrænset af hardware. En moderne GPU-rig kan gætte 10-100 milliarder bcrypt-hashes pr. sekund; billioner i sekundet mod usaltede SHA-256.

Stærke adgangskoder betyder primært mod offlineangreb. Selv en svag adgangskode er svær at knække online; mod offline cracking er det kun længden, der sparer dig.

Entropy: den relevante metriske

Password-styrke måles bedst i entropy — antallet af bits af tilfældighed. Et kodeord med 60 bits entropi har 2^60 mulige værdier, som med en billion gæt i sekundet tager omkring 36 år at brute-force. Hver ekstra bit fordobler krakningstiden.

For 2026-tærskelværdier:

  • ≥ 40 bit — tilstrækkeligt til lavværdikonti med rimelig hastighedsbegrænsning

    • 5XXPLZ 36 egnet til bitXXPLZ 364 bit ≥XXPLZ 36 konti (e-mail, sociale medier, arbejde)
  • ≥ 80 bit — højværdikonti (finansiel, adgangskodeadministrator, krypteringsnøgler)
  • ≥ 100 bit — langsigtede sikkerhedskopiering, efterkrypterede ekstreme tilfælde, efterkrypterede data trusler)

Hvordan entropi ser ud i praksis

Hvert tegn tegnet ensartet fra et tegnsæt tilføjer log2(sætstørrelse) bit:

  • LSmå bogstaver:4,7 bits hver. "abcdef" har 28 bits.
  • Blandet store og små bogstaver + cifre: 5,95 bit hver. "Abc123" har 36 bit.
  • Fuldt tastatur (≈94 tegn): 6,55 bit hver. "P@s5w0rd!" har 59 bit, hvis hvert tegn er uafhængigt.
  • Diceware (ord fra en 7776-ords liste): 12,92 bit pr. ord. 5-ords sætning: 65 bit.

Fangsten: matematikken antager, at tegn er uafhængige og tilfældige. Menneskevalgte adgangskoder er det ikke. "P@s5w0rd!" ser komplekst ud, men er med i hver eneste ordbog; effektiv entropi er i det væsentlige nul.

Længde slår kompleksitet

Den vigtigste enkelt regel: længde betyder mere end karaktervariation. Et tilfældigt kodeord med små bogstaver på 16 tegn (75 bit) er dramatisk stærkere end et smart kodeord på 8 tegn med blandede bogstaver (i bedste fald ~50 bit faktisk entropi). Rækkeværktøjer optimerer til mønstre, mennesker vælger; de bekymrer sig lidt om karakterklasse.

Grunden til, at traditionelle regler øger kompleksiteten: menneskelige brugere vil ikke vælge tilfældige tegn, så at tvinge nogle store bogstaver/symboler forhindrer de værste standardindstillinger. Moderne råd er skiftet i retning af passphrase-længde over sammensætningsregler.

Diceware: den praktiske opskrift

For adgangskoder, som mennesker faktisk skriver, er Diceware guldstandarden:

  1. Rul terninger (eller vælg et ord, 7-7) liste.
  2. Hvert ord giver 12,92 bit entropi.
  3. 5 ord = 65 bit; 6 ord = 78 bit; 7 ord = 90 bits.

Eksempel: korrekt hestebatterihæftesvamp — 65 bits, mindeværdig, hurtig at skrive. Sammenlign med en adgangskode med tilfældige tegn af tilsvarende styrke: q9!Lf@k3RvN. Diceware-lignende adgangssætninger vinder på brugervenligheden, mens de matcher styrken.

Workflowet for adgangskodehåndtering

Den realistiske 2026-opsætning:

  • Én hovedadgangskode — en stærk Diceware-adgangssætning huske
  • Everything else — lange tilfældige adgangskoder pr. websted genereret af en adgangskodeadministrator (16-32 tilfældige tegn). Du lærer dem ikke udenad; manageren udfylder automatisk.
  • 2FA på vigtige konti — stærk adgangskode + anden faktor = realistisk forsvar

Diceware-hovedadgangskoden er den eneste, hvis længde du rent faktisk føler; for alt andet håndterer manageren 32-tegns tilfældige strenge ubesværet.

Hvad hjælper ikke

  • Substitutionsmønstre ("@ for a, $ for s"). Cracking-værktøjer håndterer disse indbygget. "P@ssw0rd" er i det væsentlige lige så svag som "adgangskode."
  • Tilføjelse af et ciffer i slutningen. Encifrede suffikser er i hver ordliste.
  • Personlige oplysninger (fødselsdage, kæledyrsnavne). disse.
  • Tvungen periodisk rotation. Tilskynder til svage, men lette at opdatere varianter ("Adgangskode1" → "Adgangskode2"). NIST-vejledning fraråder nu rutinerotation til fordel for stærke unikke adgangskoder + overvågning af brud.
  • Strenge kompleksitetsregler. Producerer ofte svagere adgangskoder end krav til kun længde, fordi brugerne rammer minimum med den mindst fantasifulde mulige streng.
  • WhXXPLZs2 server-side

    Selv stærke adgangskoder er prisgivet tjenestens hashing. En tilfældig adgangskode på 16 tegn, der er beskyttet af saltet bcrypt til en pris på 12, kan ikke knækkes; den samme adgangskode som usaltet MD5 falder på sekunder. Se vores -adgangskode-hash-artikel. Brugere kan ikke kontrollere dette; det bedste, de kan gøre, er at aktivere 2FA, så adgangskoden ikke er den eneste linje.

Ofte stillede spørgsmål

Hvor lang skal en adgangskode være?
For adgangskoder du indtaster manuelt: mindst 16 tegn tilfældigt materiale eller en 5+ ord tilfældig-fra-liste-adgangssætning. For adgangskoder håndterer en leder: 24+ tegn af tilfældigt materiale. Længde er det eneste rigtige forsvar mod offline cracking.
Er adgangskodestyrkemålere nøjagtige?
De fleste er ubrugelige - de belønner sammensætning (tilstedeværelse af store bogstaver, cifre, symboler) snarere end entropi. zxcvbn-biblioteket fra Dropbox er et af få, der faktisk estimerer crackability mod almindelige angreb; websteder, der bruger det, giver realistisk styrkefeedback.
Skal jeg ændre mine adgangskoder med jævne mellemrum?
NIST-vejledning siden 2017 siger nej - rotér kun, når der er beviser for kompromis. Rutinemæssig rotation tilskynder til svage forudsigelige mønstre. Stærke unikke adgangskoder + 2FA + overvågning af brud slår tvungen rotation med bred margin.
Er en sætning et stærkt kodeord?
Afhænger af sætningen. Et berømt citat du har set før er i cracking ordbøger; en sætning, du selv har skrevet, har uforudsigelig entropi. Diceware (tilfældige ord fra en kendt liste) er mere målbare. Uanset hvad skal sætninger være lange - 6+ ord fra en liste med tusindvis.
Hvad hvis min password manager bliver brudt?
Dine lagrede poster bliver til krypterede klatter, som angriberen skal knække. Med en stærk hovedadgangskode (Diceware, hardware-nøgle 2FA på manageren) og en angriber-resistent hashing-ordning (bcrypt, Argon2 med høje omkostninger), er blobsene i praksis uncrackable. LastPass 2022-bruddet viste, at brugere med stærke hovedadgangskoder var upåvirkede; brugere med svage mistede alt.
Adgangskodestyrke forklaret: Hvad der faktisk gør en adgangskode svær at knække