Passordverktøy Tilbake til generator

Sikkerhetsveiledning

Passordentropi forklart

Forstå passordentropi, søkerom, alfabetstørrelse, lengde, og hvorfor teoretiske bits kun er et øvre estimat.

Sammendrag

Passordentropi er en måte å beskrive størrelsen på søkerommet en angriper må utforske. For et uniformt tilfeldig passord er en nyttig øvre grenseformel:

bits = length × log2(alphabet size)

Bruk kalkulatoren for passordknekkingstid for å sammenligne forutsetninger.

Alfabetstørrelse

Alfabetstørrelse er antall mulige tegn. Små bokstaver gir 26 muligheter. Store og små bokstaver gir 52. Legger du til sifre får du 62. Symboler kan øke mengden ytterligere, men bare hvis tjenesten aksepterer dem og generatoren velger dem tilfeldig.

Lengde

Lengde multipliserer søkerommet. Et lengre tilfeldig passord gir vanligvis en større praktisk forbedring enn et kort passord pyntet med forutsigbare symboler.

Advarsel om øvre grense

Formelen antar at hver posisjon er valgt uniformt fra alfabetet. Den gjelder ikke for menneskelige fraser, gjenbrukte passord, ordboksord, datoer, tastaturmønstre, lekkede legitimasjonsopplysninger eller redigert utdata. Den modellerer heller ikke hashing på tjenestesiden eller online hastighetsbegrensninger.

Praktiske anbefalinger

Detaljert veiledning

Denne veiledningen fokuserer på å tolke passordentropi uten overdrivelse. Den er skrevet for lesere som sammenligner lengde, alfabetstørrelse og passfrase-ordlister, så det praktiske målet er ikke å skape en dramatisk sikkerhetspåstand. Målet er å velge en passordvane som kan overleve daglig bruk: innloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og den sporadiske tjenesten med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.

Det sikreste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien er valgt fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at samme passord ikke brukes noe annet sted. Et passord som er langt, men gjenbrukt, kan mislykkes raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.

For dette emnet er en praktisk forhåndsinnstilling lengde multiplisert med log2 av den tilfeldige alfabetstørrelsen for uniformt tilfeldige passord. Du kan bruke den forhåndsinnstillingen med passordstyrkesjekkeren og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Det lokale designet reduserer eksponering på serversiden, men det beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller utrygg håndtering av utklippstavlen kan fortsatt eksponere en hemmelighet etter at den er generert.

De vanligste problemene å unngå er å bruke den enkle formelen på menneskevalgte passord, ignorere gjenbruk og behandle estimater som garantier. Disse problemene betyr noe fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer den beste rådgivningen passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.

Bruk denne sjekklisten når du anvender anbefalingen:

Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster for hånd. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller tastes inn på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øk lengden for å kompensere for det mindre alfabetet.

Til slutt, husk grensen for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer legitimasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, oppbevar den sikkert, beskytt gjenopprettingsveien, og bytt den ut raskt hvis du mistenker eksponering.

Et trygt neste steg

Etter å ha lest denne veiledningen, gjør én liten kontorevisjon i stedet for å prøve å fikse alt på en gang. Velg kontoen som ville forårsake mest trøbbel hvis den ble overtatt, bekreft at passordet er unikt, og sjekk gjenopprettings-e-posten, gjenopprettingstelefonen, MFA-metoden og lagring av sikkerhetskopikoder. Hvis noen del av den kjeden er svak, forbedre den delen før du går videre til kontoer med lavere risiko. Denne rekkefølgen holder arbeidet håndterbart og beskytter kontoene som angripere mest sannsynlig vil bruke som et springbrett. For passordentropi forklart, er det beste resultatet en repeterbar vane: generer lokalt, oppbevar nøye, og unngå gjenbruk.

Ofte stilte spørsmål

Hva er den enkle entropiformelen?

For uniformt tilfeldige tegn er en vanlig øvre grenseformel lengde multiplisert med log2 av alfabetstørrelsen.

Hvorfor er entropi bare et estimat?

Den antar uniformt tilfeldig valg og tar ikke hensyn til gjenbruk, lekkasjer, menneskelige redigeringer, kompromitterte enheter eller lagring hos mottaker.

Gir symboler alltid mer entropi?

Symboler øker alfabetstørrelsen når de velges tilfeldig, men å øke lengden gir ofte en større og lettere å bruke fordel.

Kilder