Sikkerhedsguide

Adgangskode vs Adgangssætning

Sammenlign tilfældige tegn-adgangskoder og tilfældige ord-adgangssætninger, herunder huskbarhed, entropi, opbevaring og sikre brugsscenarier.

Resumé

En adgangskode er normalt en streng af tilfældige tegn. En adgangssætning er normalt en sekvens af ord. Begge kan være stærke, hvis de genereres tilfældigt, er unikke og opbevares eller huskes sikkert. Det rigtige valg afhænger af, om du har brug for maksimal kompakthed, let indtastning eller huskbarhed.

Brug adgangssætningsgeneratoren, når du ønsker tilfældige ord, eller adgangskodegeneratoren, når et websted forventer en kompakt tegn-adgangskode.

Tilfældige tegn-adgangskoder

Tilfældige tegn-adgangskoder er effektive: hvert tegn kan øge søgerummet. De er ideelle til adgangskodeadministratorer, adminpaneler, WiFi, bank, e-mail og udviklerhemmeligheder. Ulempen er, at de er svære at huske og ubehagelige at indtaste på små tastaturer.

Tilfældige ord-adgangssætninger

Adgangssætninger er lettere at læse og indtaste. Det vigtige ord er “tilfældig”. En sætning, du finder på, et citat, en sangtekst eller en velkendt sætning kan gættes af mønsterbaserede værktøjer. En adgangssætning bør bestå af uafhængigt valgte ord fra en tilstrækkelig stor liste.

Praktiske anbefalinger

• Brug tilfældige tegn-adgangskoder til de fleste konti, der opbevares i en administrator.
• Brug adgangssætninger til legitimationsoplysninger, du muligvis skal huske.
• Genbrug ikke noget af formaterne.
• Undgå personlige sætninger, citater, navne og datoer.
• Kontrollér, om mellemrum eller separatorer accepteres af destinationen.

Detaljeret vejledning

Denne guide fokuserer på at vælge mellem tilfældige tegn-adgangskoder og tilfældige adgangssætninger. Den er skrevet til personer, der har brug for både sikre opbevarede adgangskoder og huskelige login-hemmeligheder, så det praktiske mål er ikke at skabe et dramatisk sikkerhedskrav. Målet er at vælge en adgangskodevane, der kan overleve daglig brug: login-formularer, adgangskodeadministratorer, mobile tastaturer, kontogendannelse, delte enheder og lejlighedsvis en tjeneste med mærkelige valideringsregler. En sikker anbefaling er kun nyttig, hvis en rigtig person kan følge den konsekvent.

Det sikreste udgangspunkt er tilfældighed plus unikhed. Tilfældighed betyder, at værdien er valgt fra et stort rum af en kryptografisk egnet tilfældig kilde, ikke opfundet fra en fødselsdag, et kæledyrsnavn, et tastaturmønster eller et yndlingscitat. Unikhed betyder, at den samme adgangskode ikke bruges andre steder. En adgangskode, der er lang, men genbrugt, kan fejle hurtigt efter ét uafhængigt databrud, mens en unik tilfældig adgangskode begrænser skaden til den enkelte konto, hvor den blev brugt.

For dette emne er en praktisk forudindstilling fire til seks tilfældige ord for huskbarhed eller tilfældige tegn til opbevaring i adgangskodeadministrator. Du kan anvende denne forudindstilling med adgangssætningsgeneratoren og derefter opbevare den endelige værdi i en betroet adgangskodeadministrator. PwdGen genererer værdier lokalt i browseren med Web Crypto; den genererede adgangskode sendes ikke til en PwdGen-server. Det lokale design reducerer eksponering på serversiden, men beskytter ikke mod alle trusler. En ondsindet browserudvidelse, en kompromitteret enhed, en phishing-side eller usikker håndtering af udklipsholderen kan stadig afsløre en hemmelighed efter den er genereret.

De mest almindelige problemer at undgå er håndskrevne sætninger, berømte citater, sangtekster, personlige slogans og ordbogssætninger valgt af et menneske. Disse problemer betyder noget, fordi angribere sjældent behøver at brute-force alle mulige adgangskoder, når menneskelige vaner giver dem en genvej. Credential stuffing, phishing, lækkede adgangskodelister og misbrug af kontogendannelse er ofte mere realistiske end en ren matematisk søgning. Derfor kombinerer det bedste råd adgangskodekvalitet med kontoniveau-kontroller såsom MFA, adgangsnøgler, opbevaring af gendannelseskoder og regelmæssig gennemgang af gendannelses-e-mail eller telefonindstillinger.

Brug denne tjekliste, når du anvender anbefalingen:

• Brug tilfældigt valgte ord, ikke en sætning, du finder på.
• Hold separatorer konsistente med destinationsformularen.
• Genbrug ikke en adgangssætning på tværs af konti.
• Brug en administrator til lange tilfældige adgangskoder.

Hvis et websted afviser den ideelle indstilling, skal du ikke tvinge adgangskoden ind i et svagere mønster manuelt. Juster én variabel ad gangen. Hvis symboler afvises, skal du holde store bogstaver, små bogstaver og tal aktiveret og øge længden. Hvis en maksimal længde er lav, skal du bruge den størst accepterede længde og sikre, at værdien er unik. Hvis en adgangskode skal læses højt, udskrives eller indtastes på en tv- eller routerskærm, bør du overveje at udelade forvirrende tegn og øge længden for at kompensere for det mindre alfabet.

Endelig skal du huske grænsen for adgangskoderåd. En stærk adgangskode er ét lag af forsvar, ikke en garanti. Den kan ikke gøre en phishing-side sikker, reparere malware eller kompensere for en tjeneste, der opbevarer legitimationsoplysninger dårligt. Den nyttige vane er kedelig, men holdbar: generer en unik værdi, opbevar den sikkert, beskyt gendannelsesvejen, og udskift den hurtigt, hvis du har mistanke om eksponering.

Ofte stillede spørgsmål

Er en adgangssætning altid stærkere end en adgangskode?

Nej. En tilfældig adgangssætning kan være stærk, men et velkendt citat eller en sætning svarer ikke til tilfældigt valgte ord.

Hvornår skal jeg vælge en adgangssætning?

Vælg en adgangssætning, når du muligvis skal huske eller indtaste den manuelt, især til en adgangskodeadministrators hovedlegitimationsoplysning.

Hvor mange ord skal en adgangssætning bruge?

Fire tilfældige ord er et praktisk udgangspunkt; tilføj flere ord til højere værdi-brug eller mindre ordlister.