Adgangskodeværktøj Tilbage til generator

Sikkerhedsguide

Password Entropy Forklaret

Forstå password-entropi, søgerum, alfabetstørrelse, længde, og hvorfor teoretiske bits kun er et øvre estimat.

Resumé

Password-entropi er en måde at beskrive størrelsen af det søgerum, en angriber skal udforske. For et ensartet tilfældigt password er en nyttig øvre grænseformel:

bits = length × log2(alphabet size)

Brug password crack time-beregneren til at sammenligne antagelser.

Alfabetstørrelse

Alfabetstørrelse er antallet af mulige tegn. Små bogstaver giver 26 muligheder. Store og små bogstaver giver 52. Tilføjelse af cifre giver 62. Symboler kan øge puljen yderligere, men kun hvis tjenesten accepterer dem, og generatoren vælger dem tilfældigt.

Længde

Længde multiplicerer søgerummet. Et længere tilfældigt password giver normalt en større praktisk forbedring end et kort password dekoreret med forudsigelige symboler.

Advarsel om øvre grænse

Formlen antager, at hver position er valgt ensartet fra alfabetet. Den gælder ikke for menneskelige sætninger, genbrugte passwords, ordbogsord, datoer, tastaturmønstre, lækkede legitimationsoplysninger eller redigeret output. Den modellerer heller ikke server-side hashing eller online rate limits.

Praktiske anbefalinger

Detaljeret vejledning

Denne guide fokuserer på at fortolke password-entropi uden overdrivelse. Den er skrevet til læsere, der sammenligner længde, alfabetstørrelse og passphrase-ordlister, så det praktiske mål er ikke at skabe et dramatisk sikkerhedskrav. Målet er at vælge en password-vane, der kan overleve daglig brug: login-formularer, password-managere, mobile tastaturer, kontogendannelse, delte enheder og lejlighedsvis en tjeneste med mærkelige valideringsregler. En sikker anbefaling er kun nyttig, hvis en rigtig person kan følge den konsekvent.

Det sikreste udgangspunkt er tilfældighed plus unikhed. Tilfældighed betyder, at værdien er valgt fra et stort rum af en kryptografisk egnet tilfældig kilde, ikke opfundet fra en fødselsdag, et kæledyrsnavn, et tastaturmønster eller et yndlingscitat. Unikhed betyder, at det samme password ikke bruges andre steder. Et password, der er langt, men genbrugt, kan fejle hurtigt efter én uafhængig lækage, mens et unikt tilfældigt password begrænser skaden til den enkelte konto, hvor det blev brugt.

For dette emne er en praktisk forudindstilling længde ganget med log2 af det tilfældige alfabets størrelse for ensartet tilfældige passwords. Du kan anvende den forudindstilling med password-styrke-tjekkeren og derefter gemme den endelige værdi i en betroet password-manager. PwdGen genererer værdier lokalt i browseren med Web Crypto; det genererede password sendes ikke til en PwdGen-server. Det lokale design reducerer server-side eksponering, men beskytter ikke mod alle trusler. En ondsindet browserudvidelse, en kompromitteret enhed, en phishing-side eller usikker clipboard-håndtering kan stadig eksponere en hemmelighed efter den er genereret.

De mest almindelige problemer at undgå er at anvende den simple formel på menneskevalgte passwords, ignorere genbrug og behandle estimater som garantier. Disse problemer betyder noget, fordi angribere sjældent behøver at brute-force alle mulige passwords, når menneskelige vaner giver dem en genvej. Credential stuffing, phishing, lækkede passwordlister og misbrug af kontogendannelse er ofte mere realistiske end en ren matematisk søgning. Derfor kombinerer den bedste rådgivning passwordkvalitet med kontoniveau-kontroller som MFA, adgangsnøgler, opbevaring af gendannelseskoder og regelmæssig gennemgang af gendannelses-e-mail eller telefonindstillinger.

Brug denne tjekliste, når du anvender anbefalingen:

Hvis et websted afviser den ideelle indstilling, så tving ikke passwordet ind i et svagere mønster manuelt. Juster én variabel ad gangen. Hvis symboler afvises, behold store bogstaver, små bogstaver og tal aktiveret og øg længden. Hvis en maksimal længde er lav, brug den største accepterede længde og sørg for, at værdien er unik. Hvis et password skal læses højt, udskrives eller tastes på en tv- eller routerskærm, overvej at udelade forvirrende tegn og øge længden for at kompensere for det mindre alfabet.

Husk endelig grænsen for password-rådgivning. Et stærkt password er ét lag af forsvar, ikke en garanti. Det kan ikke gøre en phishing-side sikker, reparere malware eller kompensere for en tjeneste, der opbevarer legitimationsoplysninger dårligt. Den nyttige vane er kedelig, men holdbar: generer en unik værdi, opbevar den sikkert, beskyt gendannelsesvejen, og udskift den hurtigt, hvis du har mistanke om eksponering.

Et sikkert næste skridt

Efter at have læst denne guide, lav én lille kontoaudit i stedet for at prøve at fikse alt på én gang. Vælg den konto, der ville forårsage mest besvær, hvis den blev overtaget, bekræft at dens password er unikt, og tjek gendannelses-e-mailen, gendannelsestelefonen, MFA-metoden og opbevaring af backup-koder. Hvis nogen del af den kæde er svag, forbedr den del, før du går videre til konti med lavere risiko. Denne rækkefølge holder arbejdet overskueligt og beskytter de konti, som angribere mest sandsynligt vil bruge som springbræt. For password-entropi forklaret er det bedste resultat en gentagelig vane: generer lokalt, opbevar omhyggeligt, og undgå genbrug.

Ofte stillede spørgsmål

Hvad er den simple entropiformel?

For ensartet tilfældige tegn er en almindelig øvre grænseformel længde ganget med log2 af alfabetstørrelsen.

Hvorfor er entropi kun et estimat?

Den antager ensartet tilfældig udvælgelse og tager ikke højde for genbrug, lækager, menneskelige redigeringer, kompromitterede enheder eller destinationslagring.

Tilføjer symboler altid mere entropi?

Symboler øger alfabetstørrelsen, når de vælges tilfældigt, men at øge længden giver ofte en større og lettere anvendelig fordel.

Kilder