Sikkerhedsguide

Hvor langt skal en adgangskode være?

Lær, hvornår du skal vælge 12, 16, 20 eller 32 tegn, og hvorfor længde, unikhed og opbevaring betyder mere end visuel kompleksitet.

Resumé

For de fleste moderne konti er 16 tilfældige tegn en stærk praktisk baseline. Brug 20 eller flere til vigtige personlige konti, e-mail, bank, arbejde eller admin. Brug 32 tegn, når adgangskoden opbevares i en password manager og beskytter højværdi-adgang.

Prøv 16 tegn, 20 tegn eller 32 tegn generatorerne.

Længdebånd

Korte adgangskoder er lettere at gætte, fordi der er færre mulige kombinationer. Seks til ni tegn er normalt for kort til kontosikkerhed. Ti til fjorten tegn kan accepteres af mange tjenester, men bør ikke behandles som det foretrukne valg for vigtige konti.

Seksten tilfældige tegn er en god standard, når en password manager opbevarer værdien. Tyve tegn giver ekstra margin, mens de forbliver kompatible med mange websteder. Toogtredive tegn er nyttige til adminpaneler, krypterede filer, databaselegitimationsoplysninger og lokale hemmeligheder.

Tilfældig længde versus menneskelig længde

En tilfældig adgangskode på 16 tegn er meget forskellig fra en menneskeskabt sætning på 16 tegn. Menneskelige valg inkluderer ofte ord, datoer, navne og forudsigelige afslutninger. Angribere tester disse mønstre, før de forsøger blind brute force.

Praktiske anbefalinger

• Brug 16 tegn som normal baseline.
• Brug 20–32 tegn til højværdi-konti.
• Brug en passphrase, hvis huskbarhed er vigtig.
• Brug forudindstillinger uden symboler eller tvetydige tegn kun, når kompatibilitet kræver det.
• Genbrug aldrig en adgangskode, bare fordi den er lang.

Detaljeret vejledning

Denne guide fokuserer på at vælge adgangskodelængde til forskellige kontorisici. Den er skrevet til læsere, der sammenligner valg på 12, 16, 20, 24 og 32 tegn, så det praktiske mål er ikke at skabe et dramatisk sikkerhedskrav. Målet er at vælge en adgangskodevane, der kan overleve daglig brug: login-formularer, password managers, mobile tastaturer, kontogendannelse, delte enheder og den lejlighedsvise tjeneste med mærkelige valideringsregler. En sikker anbefaling er kun nyttig, hvis en rigtig person kan følge den konsekvent.

Det sikreste udgangspunkt er tilfældighed plus unikhed. Tilfældighed betyder, at værdien er valgt fra et stort rum af en kryptografisk egnet tilfældig kilde, ikke opfundet fra en fødselsdag, et kæledyrsnavn, et tastaturmønster eller et yndlingscitat. Unikhed betyder, at den samme adgangskode ikke bruges andre steder. En adgangskode, der er lang, men genbrugt, kan fejle hurtigt efter ét uafhængigt databrud, mens en unik tilfældig adgangskode begrænser skaden til den enkelte konto, hvor den blev brugt.

For dette emne er en praktisk forudindstilling 16 tegn til almindelige konti, 20 eller flere til vigtige konti og 32 til hemmeligheder, der opbevares frem for at blive tastet. Du kan anvende denne forudindstilling med 32 tegns adgangskodegenerator og derefter opbevare den endelige værdi i en betroet password manager. PwdGen genererer værdier lokalt i browseren med Web Crypto; den genererede adgangskode sendes ikke til en PwdGen-server. Det lokale design reducerer servereksponering, men beskytter ikke mod alle trusler. En ondsindet browserudvidelse, en kompromitteret enhed, en phishing-side eller usikker håndtering af udklipsholderen kan stadig afsløre en hemmelighed efter den er genereret.

De mest almindelige problemer at undgå er korte tilfældige værdier, maksimale længdebegrænsninger, ældre formularer og antagelsen om, at et fast antal er sikkert for alle systemer. Disse problemer betyder noget, fordi angribere sjældent behøver at brute-force alle mulige adgangskoder, når menneskelige vaner giver dem en genvej. Credential stuffing, phishing, lækkede adgangskodelister og misbrug af kontogendannelse er ofte mere realistiske end en ren matematisk søgning. Derfor kombinerer det bedste råd adgangskodekvalitet med kontoniveau-kontroller som MFA, passkeys, opbevaring af gendannelseskoder og regelmæssig gennemgang af gendannelses-e-mail eller telefonindstillinger.

Brug denne tjekliste, når du anvender anbefalingen:

• Brug mere længde, når symboler ikke er tilladt.
• Tjek destinations maksimale længde, før du gemmer.
• Undgå at forkorte adgangskoder for bekvemmelighed.
• Brug passphrases, når memorering er vigtig.

Hvis et websted afviser den ideelle indstilling, skal du ikke tvinge adgangskoden ind i et svagere mønster manuelt. Juster én variabel ad gangen. Hvis symboler afvises, behold store bogstaver, små bogstaver og tal aktiveret og øg længden. Hvis en maksimal længde er lav, brug den største accepterede længde og sørg for, at værdien er unik. Hvis en adgangskode skal læses højt, udskrives eller tastes på en tv- eller routerskærm, overvej at udelade forvirrende tegn og øge længden for at kompensere for det mindre alfabet.

Endelig, husk grænsen for adgangskoderåd. En stærk adgangskode er ét lag af forsvar, ikke en garanti. Den kan ikke gøre en phishing-side sikker, fjerne malware eller kompensere for en tjeneste, der opbevarer legitimationsoplysninger dårligt. Den nyttige vane er kedelig, men holdbar: generer en unik værdi, opbevar den sikkert, beskyt gendannelsesvejen, og udskift den hurtigt, hvis du har mistanke om eksponering.

Ofte stillede spørgsmål

Er 12 tegn nok?

En tilfældig adgangskode på 12 tegn kan være nyttig til kompatibilitet, men 16 eller flere er en bedre standard, når tjenesten accepterer det.

Hvornår skal jeg bruge 20 eller 32 tegn?

Brug 20 eller flere til vigtige konti og 32 til admin-, krypteret-fil- eller udvikler-hemmeligheds-workflows, der opbevares i en password manager.

Kan en adgangskode være for lang?

Nogle tjenester pålægger maksimale længder eller afviser symboler. Brug den længste unikke tilfældige værdi, destinationen accepterer.