Sikkerhetsveiledning

Hvor langt bør et passord være?

Lær når du bør velge 12, 16, 20 eller 32 tegn, og hvorfor passordlengde, unikhet og lagring er viktigere enn visuell kompleksitet.

Sammendrag

For de fleste moderne kontoer er 16 tilfeldige tegn en solid praktisk basislinje. Bruk 20 eller flere for viktige personlige kontoer, e-post, bank, jobb eller administrator. Bruk 32 tegn når passordet lagres i en passordbehandler og beskytter høyverdig tilgang.

Prøv 16-tegns, 20-tegns eller 32-tegns generatorer.

Lengdebånd

Korte passord er lettere å gjette fordi det er færre mulige kombinasjoner. Seks til ni tegn er normalt for kort for kontosikkerhet. Ti til fjorten tegn kan aksepteres av mange tjenester, men bør ikke behandles som det foretrukne valget for viktige kontoer.

Seksten tilfeldige tegn er en god standard når en passordbehandler lagrer verdien. Tjue tegn gir ekstra margin samtidig som det er kompatibelt med mange nettsteder. Trettito tegn er nyttig for administratorpaneler, krypterte filer, databaselegitimasjon og lokale hemmeligheter.

Tilfeldig lengde versus menneskelig lengde

Et tilfeldig 16-tegns passord er svært forskjellig fra en menneskeskapt 16-tegns setning. Mennesker velger ofte ord, datoer, navn og forutsigbare avslutninger. Angripere tester disse mønstrene før de prøver ren brute force.

Praktiske anbefalinger

• Bruk 16 tegn som normal basislinje.
• Bruk 20–32 tegn for høyverdige kontoer.
• Bruk en passfrase hvis memorering er viktig.
• Bruk forhåndsinnstillinger uten symboler eller uten tvetydige tegn kun når kompatibilitet krever det.
• Gjenbruk aldri et passord bare fordi det er langt.

Detaljert veiledning

Denne veiledningen fokuserer på å velge passordlengde for ulike kontorisikoer. Den er skrevet for lesere som sammenligner valg på 12, 16, 20, 24 og 32 tegn, så det praktiske målet er ikke å komme med en dramatisk sikkerhetspåstand. Målet er å velge en passordvane som kan overleve daglig bruk: innloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og den sporadiske tjenesten med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.

Det sikreste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien er valgt fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at samme passord ikke brukes noe annet sted. Et passord som er langt, men gjenbrukt, kan svikte raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.

For dette emnet er en praktisk forhåndsinnstilling 16 tegn for vanlige kontoer, 20 eller flere for viktige kontoer, og 32 for hemmeligheter som lagres heller enn skrives inn. Du kan bruke denne forhåndsinnstillingen med 32-tegns passordgeneratoren og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Denne lokale utformingen reduserer eksponering på serversiden, men beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller utrygg håndtering av utklippstavlen kan fortsatt eksponere en hemmelighet etter at den er generert.

De vanligste problemene å unngå er korte tilfeldige verdier, maksimale lengdegrenser, eldre skjemaer og å anta at et fast tall er trygt for alle systemer. Disse problemene betyr noe fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer den beste rådgivningen passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.

Bruk denne sjekklisten når du anvender anbefalingen:

• Bruk mer lengde når symboler ikke er tillatt.
• Sjekk destinasjonens maksimale lengde før du lagrer.
• Unngå å forkorte passord for enkelhets skyld.
• Bruk passfraser når memorering er viktig.

Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster for hånd. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert, og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller skrives inn på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øke lengden for å kompensere for det mindre alfabetet.

Til slutt, husk grensene for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer legitimasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, lagre den trygt, beskytt gjenopprettingsveien, og bytt den ut raskt hvis du mistenker eksponering.

Ofte stilte spørsmål

Er 12 tegn nok?

Et tilfeldig 12-tegns passord kan være nyttig for kompatibilitet, men 16 eller flere er en bedre standard når tjenesten aksepterer det.

Når bør jeg bruke 20 eller 32 tegn?

Bruk 20 eller flere for viktige kontoer og 32 for administrator-, kryptert-fil- eller utviklerhemmeligheter som lagres i en passordbehandler.

Kan et passord være for langt?

Noen tjenester pålegger maksimale lengder eller avviser symboler. Bruk den lengste unike tilfeldige verdien destinasjonen aksepterer.