Adgangskodeværktøj Tilbage til generator

Sikkerhedsguide

Hvad er tid til at knække en adgangskode?

Lær, hvad estimater for tid til at knække en adgangskode betyder, hvorfor antagelser om angrebshastighed er vigtige, og hvorfor estimater ikke er garantier.

Resumé

Tid til at knække en adgangskode er et estimat for, hvor lang tid et gætteangreb kan tage under en specifik model. Modellen betyder noget. Online gæt mod en live tjeneste er anderledes end offline knækning af en lækket adgangskode-hash. Et universelt “tid til at knække”-tal er vildledende uden antagelser.

Brug beregneren for tid til at knække adgangskoder og styrketjekkeren til at sammenligne scenarier lokalt.

Online gæt

Online gæt begrænses af tjenesten. Hastighedsbegrænsninger, låsninger, overvågning, MFA og anomalidetektion kan bremse eller stoppe angreb. En kort PIN-kode kan være acceptabel, kun fordi systemet begrænser forsøg.

Offline knækning

Offline knækning sker, når angribere har adgangskode-hashes eller krypteret materiale. Hastigheden afhænger af hash-algoritmen, omkostningsfaktoren, salt, hardware og angrebsstrategi. Langsom password-hashing som Argon2id, bcrypt eller PBKDF2 er beregnet til at reducere gæt per sekund.

Tilfældighed og mønstre

Matematikken bag knækketid giver kun mening, når adgangskoden faktisk er tilfældig. Password123! kan se kompleks ud, men den optræder tidligt i mønsterbaserede gæt. En tilfældig adgangskode på 20 tegn er anderledes, fordi den mangler menneskelig struktur.

Detaljeret vejledning

Denne guide fokuserer på at læse estimater for tid til at knække adgangskoder ansvarligt. Den er skrevet til brugere, der ser år-baserede estimater og vil vide, hvad de egentlig betyder, så det praktiske mål er ikke at skabe et dramatisk sikkerhedskrav. Målet er at vælge en adgangskode-vane, der kan overleve daglig brug: login-formularer, adgangskodeadministratorer, mobile tastaturer, kontogendannelse, delte enheder og lejlighedsvis en tjeneste med mærkelige valideringsregler. En sikker anbefaling er kun nyttig, hvis en rigtig person kan følge den konsekvent.

Det sikreste udgangspunkt er tilfældighed plus unikhed. Tilfældighed betyder, at værdien er valgt fra et stort rum af en kryptografisk egnet tilfældig kilde, ikke opfundet fra en fødselsdag, et kæledyrsnavn, et tastaturmønster eller et yndlingscitat. Unikhed betyder, at den samme adgangskode ikke bruges andre steder. En adgangskode, der er lang, men genbrugt, kan fejle hurtigt efter et uafhængigt datalæk, mens en unik tilfældig adgangskode begrænser skaden til den enkelte konto, hvor den blev brugt.

For dette emne er en praktisk forudindstilling scenariebaserede estimater for online begrænsninger, langsomme hashes og hurtig offline gæt. Du kan anvende den forudindstilling med beregneren for tid til at knække adgangskoder og derefter gemme den endelige værdi i en betroet adgangskodeadministrator. PwdGen genererer værdier lokalt i browseren med Web Crypto; den genererede adgangskode sendes ikke til en PwdGen-server. Det lokale design reducerer eksponering på serversiden, men det beskytter ikke mod alle trusler. En ondsindet browserudvidelse, en kompromitteret enhed, en phishing-side eller usikker håndtering af udklipsholderen kan stadig afsløre en hemmelighed efter den er genereret.

De mest almindelige problemer at undgå er universelle knækketid-påstande, hardware-only antagelser, lækkede hashes, svag lagring og forudsigelige brugermønstre. Disse problemer betyder noget, fordi angribere sjældent behøver at brute-force alle mulige adgangskoder, når menneskelige vaner giver dem en genvej. Credential stuffing, phishing, lækkede adgangskodelister og misbrug af kontogendannelse er ofte mere realistiske end en ren matematisk søgning. Derfor kombinerer det bedste råd adgangskodekvalitet med kontoniveau-kontroller som MFA, adgangsnøgler, opbevaring af gendannelseskoder og regelmæssig gennemgang af gendannelses-e-mail eller telefonindstillinger.

Brug denne tjekliste, når du anvender anbefalingen:

Hvis et websted afviser den ideelle indstilling, så tving ikke adgangskoden ind i et svagere mønster manuelt. Juster én variabel ad gangen. Hvis symboler afvises, behold store bogstaver, små bogstaver og tal aktiveret og øg længden. Hvis en maksimal længde er lav, brug den største accepterede længde og sørg for, at værdien er unik. Hvis en adgangskode skal læses højt, udskrives eller tastes på en tv- eller routerskærm, overvej at udelade forvirrende tegn og øge længden for at kompensere for det mindre alfabet.

Endelig, husk grænsen for adgangskoderåd. En stærk adgangskode er ét lag af forsvar, ikke en garanti. Den kan ikke gøre en phishing-side sikker, fikse malware eller kompensere for en tjeneste, der opbevarer legitimationsoplysninger dårligt. Den nyttige vane er kedelig, men holdbar: generer en unik værdi, opbevar den sikkert, beskyt gendannelsesvejen, og udskift den hurtigt, hvis du har mistanke om eksponering.

Et sikkert næste skridt

Efter at have læst denne guide, lav én lille kontoaudit i stedet for at prøve at fikse alt på én gang. Vælg den konto, der ville forårsage mest besvær, hvis den blev overtaget, bekræft at dens adgangskode er unik, og tjek gendannelses-e-mailen, gendannelsestelefonen, MFA-metoden og opbevaring af backup-koder. Hvis nogen del af den kæde er svag, forbedr den del, før du går videre til konti med lavere risiko. Denne rækkefølge holder arbejdet overskueligt og beskytter de konti, som angribere mest sandsynligt vil bruge som springbræt. For hvad er tid til at knække en adgangskode?, er det bedste resultat en gentagelig vane: generer lokalt, opbevar omhyggeligt, og undgå genbrug.

Ofte stillede spørgsmål

Hvorfor er knækketidsberegnere uenige?

De bruger forskellige antagelser om tilfældighed, hash-type, hardware, online begrænsninger, og om adgangskoden allerede er kendt fra læk.

Er offline knækning hurtigere end online gæt?

Normalt ja. Offline angribere kan prøve gæt uden hastighedsbegrænsninger, mens online systemer kan begrænse, låse og overvåge forsøg.

Skal jeg stole på et enkelt “millioner år” resultat?

Behandl det som et estimat under angivne antagelser, ikke en garanti for sikkerhed.

Kilder