Sikkerhetsveiledning

Slik lager du et sterkt passord

En praktisk veiledning for å lage sterke, unike passord med lokal generering, passordbehandlere, MFA og trygge gjenopprettingsvaner.

Sammendrag

Et sterkt passord er ikke bare en streng som «ser komplisert ut». Det er langt nok for bruksområdet, tilfeldig generert, unikt for én konto og lagret sikkert. Den mest pålitelige daglige arbeidsflyten er enkel: generer en unik tilfeldig verdi, lagre den i en passordbehandler, og slå på MFA eller en passnøkkel når tjenesten støtter det.

Bruk den gratis tilfeldige passordgeneratoren eller 16-tegns passordgeneratoren når du trenger et nytt kontopassord.

Hva gjør et passord sterkt

De sterkeste praktiske passordene velges av en tilfeldig prosess, ikke oppfunnet av en person. Menneskelagde passord inneholder ofte navn, datoer, tastaturmønstre, merkenavn, sangtekster eller kjente erstatninger. Angripere kjenner disse mønstrene og prøver dem tidlig.

Tilfeldig generering endrer situasjonen. Et generert passord som en 16, 20 eller 32 tegns verdi har ingen personlig historie, ingen kalenderdato og ingen praktisk ordbokstruktur. Det er fortsatt bare nyttig hvis det forblir unikt og privat.

Praktiske anbefalinger

1. Generer et nytt passord for hver konto.
2. Foretrekk minst 15–16 tilfeldige tegn for vanlige kontoer.
3. Bruk 20 eller flere tegn for e-post, bank, jobb og admin-tilgang når det aksepteres.
4. Inkluder symboler når destinasjonen aksepterer dem.
5. Lagre passord i en pålitelig passordbehandler.
6. Aktiver MFA eller passnøkler.
7. Gå gjennom innstillinger for kontogjenoppretting, fordi angripere ofte angriper gjenopprettingsveier.

Hva lokal generering løser og ikke løser

PwdGen genererer verdier lokalt med Web Crypto og laster ikke opp genererte passord. Det beskytter mot at nettstedet med vilje samler inn den genererte verdien. Det beskytter ikke mot en kompromittert nettleserutvidelse, usikker utklippstavlebehandler, skadelig programvare, phishing-side eller en tjeneste som håndterer passordlagring dårlig.

Detaljert veiledning

Denne veiledningen fokuserer på å lage et sterkt passord fra et blankt ark. Den er skrevet for personer som erstatter svake eller gjenbrukte kontopassord, så det praktiske målet er ikke å lage en dramatisk sikkerhetspåstand. Målet er å velge en passordvane som kan overleve daglig bruk: påloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og den sporadiske tjenesten med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.

Det sikreste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien er valgt fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at det samme passordet ikke brukes noe annet sted. Et passord som er langt, men gjenbrukt, kan mislykkes raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.

For dette emnet er en praktisk forhåndsinnstilling 20 tegn, store bokstaver, små bokstaver, tall og symboler når det aksepteres. Du kan bruke den forhåndsinnstillingen med 20-tegns passordgeneratoren og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Det lokale designet reduserer eksponering på serversiden, men det beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller usikker utklippstavlehåndtering kan fortsatt eksponere en hemmelighet etter at den er generert.

De vanligste problemene å unngå er personnavn, bursdager, tastaturvandringer, gjenbrukte avslutninger og forutsigbare erstatninger som å erstatte a med @. Disse problemene betyr noe fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer den beste rådgivningen passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.

Bruk denne sjekklisten når du følger anbefalingen:

• Bruk en annen verdi for hver konto.
• Foretrekk tilfeldig generering fremfor personlige mønstre.
• Lagre resultatet i en passordbehandler.
• Slå på MFA eller passnøkler når tilgjengelig.

Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster for hånd. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert, og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller skrives på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øke lengden for å kompensere for det mindre alfabetet.

Til slutt, husk grensen for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer legitimasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, lagre den sikkert, beskytt gjenopprettingsveien, og bytt den ut raskt hvis du mistenker eksponering.

Ofte stilte spørsmål

Hva er den enkleste regelen for et sterkt passord?

Bruk et langt, tilfeldig, unikt passord for hver konto og lagre det i en pålitelig passordbehandler.

Er et komplekst kort passord bedre enn et lengre tilfeldig?

Vanligvis nei. Lengde og uforutsigbarhet betyr mer enn kjente erstatninger som å bytte ut bokstaver med symboler.

Bør jeg bruke MFA med et sterkt passord?

Ja. MFA eller passnøkler gir ekstra beskyttelse når et passord blir phishet, gjenbrukt andre steder eller eksponert av et datainnbrudd.