Sikkerhetsveiledning
Passord vs passfrase
Sammenlign tilfeldige tegnpassord og tilfeldige ord-passfraser, inkludert huskbarhet, entropi, lagring og trygge bruksområder.
Sammendrag
Et passord er vanligvis en streng med tilfeldige tegn. En passfrase er vanligvis en sekvens med ord. Begge kan være sterke hvis de genereres tilfeldig, er unike og lagres eller huskes på en sikker måte. Det riktige valget avhenger av om du trenger maksimal kompakthet, enkel skriving eller huskbarhet.
Bruk passfrasegeneratoren når du vil ha tilfeldige ord, eller passordgeneratoren når et nettsted forventer et kompakt tegnpassord.
Tilfeldige tegnpassord
Tilfeldige tegnpassord er effektive: hvert tegn kan øke søkerommet. De er ideelle for passordbehandlere, adminpaneler, WiFi, bank, e-post og utviklerhemmeligheter. Ulempen er at de er vanskelige å huske og ubehagelige å skrive på små tastaturer.
Tilfeldige ord-passfraser
Passfraser er lettere å lese og skrive. Det viktige ordet er «tilfeldig». En setning du finner på, et sitat, en sangtekst eller en kjent frase kan gjettes av mønsterbaserte verktøy. En passfrase bør bestå av uavhengig valgte ord fra en tilstrekkelig stor liste.
Praktiske anbefalinger
- Bruk tilfeldige tegnpassord for de fleste kontoer som lagres i en passordbehandler.
- Bruk passfraser for påloggingsinformasjon du kanskje må huske.
- Ikke gjenbruk noen av formatene.
- Unngå personlige fraser, sitater, navn og datoer.
- Sjekk om mellomrom eller skilletegn aksepteres av destinasjonen.
Detaljert veiledning
Denne veiledningen fokuserer på å velge mellom tilfeldige tegnpassord og tilfeldige passfraser. Den er skrevet for personer som trenger både sikre lagrede passord og huskbare påloggingshemmeligheter, så det praktiske målet er ikke å komme med en dramatisk sikkerhetspåstand. Målet er å velge en passordvane som kan overleve daglig bruk: innloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og av og til en tjeneste med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.
Det sikreste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien velges fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at det samme passordet ikke brukes noe annet sted. Et passord som er langt, men gjenbrukt, kan mislykkes raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.
For dette emnet er en praktisk forhåndsinnstilling fire til seks tilfeldige ord for huskbarhet, eller tilfeldige tegn for lagring i passordbehandler. Du kan bruke den forhåndsinnstillingen med passfrasegeneratoren og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Den lokale utformingen reduserer eksponering på serversiden, men beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller usikker håndtering av utklippstavlen kan fortsatt eksponere en hemmelighet etter at den er generert.
De vanligste problemene å unngå er håndskrevne fraser, kjente sitater, sangtekster, personlige slagord og ordbokfraser valgt av et menneske. Disse problemene er viktige fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer det beste rådet passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.
Bruk denne sjekklisten når du følger anbefalingen:
- Bruk tilfeldig valgte ord, ikke en setning du finner på.
- Hold skilletegn konsistente med destinasjonsskjemaet.
- Ikke gjenbruk en passfrase på tvers av kontoer.
- Bruk en passordbehandler for lange tilfeldige passord.
Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster for hånd. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert, og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller skrives på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øke lengden for å kompensere for det mindre alfabetet.
Til slutt, husk grensen for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer påloggingsinformasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, lagre den sikkert, beskytt gjenopprettingsstien, og bytt den ut raskt hvis du mistenker eksponering.
Ofte stilte spørsmål
Er en passfrase alltid sterkere enn et passord?
Nei. En tilfeldig passfrase kan være sterk, men et kjent sitat eller en setning tilsvarer ikke tilfeldig valgte ord.
Når bør jeg velge en passfrase?
Velg en passfrase når du kanskje må huske eller skrive den manuelt, spesielt for en hovedpassord til passordbehandler.
Hvor mange ord bør en passfrase ha?
Fire tilfeldige ord er et praktisk utgangspunkt; legg til flere ord for høyere verdier eller mindre ordlister.